3줄 요약
1. NIA 자문위원 등 개인정보 엑셀 파일 외부 유출..내부 소행
2. 소속·핸드폰 번호·이메일·생년월일·주민번호·주소·계좌번호 등 빼돌려
3. NIA, 지난해 이어 보안사고 잇단 발생..근본 대책 마련 절실
[보안뉴스 김경애 기자] 한국지능정보사회진흥원(NIA)에서 개인정보 유출 사고가 발생했다. 내부 직원이 NIA 자문위원 등의 개인정보가 담긴 엑셀 파일을 외부로 빼돌렸다. 정보유출 피해자들에게 스미싱 등 2차 피해가 우려된다.
▲개인정보 유출 내역 조회 화면 [자료: 보안뉴스]
NIA는 최근 실시한 자체 감사 결과, 한 내부 직원이 개인정보가 포함된 자료를 유출한 사실을 최종 확인했다고 3일 밝혔다. 유출 정보는 NIA 외부 자문위원 등의 개인정보다. 유출 항목은 해당 자문위원 개인의 소속과 핸드폰 번호, 이메일, 생년월일, 주민번호, 주소, 계좌번호 등이다.
NIA 고위 관계자는 이날 <보안뉴스>와의 통화에서 “외부로 유출된 자료는 모두 회수한 상태”라며 “유출 사실 인지 직후, 관계기관 신고 등 추가 유출 방지를 위한 조치를 진행중”이라고 말했다.
문제는 NIA의 보안사고가 최근 반복되고 있단 점이다. 앞서 지난해 7월과 9월에도 NIA는 산출물 시스템이 해킹돼 중요 자료가 외부로 유출된 바 있다. 불과 5개월 만에 또 개인정보 유출 사고가 발생한 것이다. 국가 공공보안을 책임지고 있는 NIA의 보안의식과 내부 시스템에 본원적 개혁이 불가피하단 지적이다.
이번 사고 역시 NIA 내부자에 의한 개인정보 유출 사고였다. 접근권한 등 보안관리 문제에 구멍이 뚫렸단 얘기다. NIA와 같이 국민 개인정보는 물론, 국가 보안정보 등을 다량 보유중인 공공기관은 내부 중요문서 유출 방지를 위해 보다 강력한 보안 강화 정책이 요구된다.
[자료: 보안뉴스]
최복희 엘세븐시큐리티 대표는 “이번 유출자가 개인정보 접근 가능 자격자였는지 먼저 따져야 할 것”이라며 “개인정보를 암호화 또는 마스킹해 보관하고 있었냐도 조사의 주요 포인트”라고 꼽았다.
개인정보 문서는 직원 PC에서 개인정보 보유 현황을 검사하는 솔루션을 통해 반출입이 통제된다. 외부 유출 시도시, 해당 통제 시스템이 작동하는 방식이다. 비식별 기술을 활용해 개인정보가 직접 노출되지 않도록 보호돼야 한다.
정진교 피앤피시큐어 전무는 “민감정보 생성을 실시간 관리하고, 사용자를 식별했어도 ‘지속 인증’ 절차를 반드시 거쳐야 한다”며 “어이 없는 보안사고가 반복되고 있는 만큼, 제로트러스트 관점에서 NIA 보안 시스템에 혁신적 고도화가 이뤄져야 할 것”이라고 강조했다.
[김경애 기자(boan3@boannews.com)]
1. NIA 자문위원 등 개인정보 엑셀 파일 외부 유출..내부 소행
2. 소속·핸드폰 번호·이메일·생년월일·주민번호·주소·계좌번호 등 빼돌려
3. NIA, 지난해 이어 보안사고 잇단 발생..근본 대책 마련 절실
[보안뉴스 김경애 기자] 한국지능정보사회진흥원(NIA)에서 개인정보 유출 사고가 발생했다. 내부 직원이 NIA 자문위원 등의 개인정보가 담긴 엑셀 파일을 외부로 빼돌렸다. 정보유출 피해자들에게 스미싱 등 2차 피해가 우려된다.
▲개인정보 유출 내역 조회 화면 [자료: 보안뉴스]
NIA는 최근 실시한 자체 감사 결과, 한 내부 직원이 개인정보가 포함된 자료를 유출한 사실을 최종 확인했다고 3일 밝혔다. 유출 정보는 NIA 외부 자문위원 등의 개인정보다. 유출 항목은 해당 자문위원 개인의 소속과 핸드폰 번호, 이메일, 생년월일, 주민번호, 주소, 계좌번호 등이다.
NIA 고위 관계자는 이날 <보안뉴스>와의 통화에서 “외부로 유출된 자료는 모두 회수한 상태”라며 “유출 사실 인지 직후, 관계기관 신고 등 추가 유출 방지를 위한 조치를 진행중”이라고 말했다.
문제는 NIA의 보안사고가 최근 반복되고 있단 점이다. 앞서 지난해 7월과 9월에도 NIA는 산출물 시스템이 해킹돼 중요 자료가 외부로 유출된 바 있다. 불과 5개월 만에 또 개인정보 유출 사고가 발생한 것이다. 국가 공공보안을 책임지고 있는 NIA의 보안의식과 내부 시스템에 본원적 개혁이 불가피하단 지적이다.
이번 사고 역시 NIA 내부자에 의한 개인정보 유출 사고였다. 접근권한 등 보안관리 문제에 구멍이 뚫렸단 얘기다. NIA와 같이 국민 개인정보는 물론, 국가 보안정보 등을 다량 보유중인 공공기관은 내부 중요문서 유출 방지를 위해 보다 강력한 보안 강화 정책이 요구된다.
[자료: 보안뉴스]
최복희 엘세븐시큐리티 대표는 “이번 유출자가 개인정보 접근 가능 자격자였는지 먼저 따져야 할 것”이라며 “개인정보를 암호화 또는 마스킹해 보관하고 있었냐도 조사의 주요 포인트”라고 꼽았다.
개인정보 문서는 직원 PC에서 개인정보 보유 현황을 검사하는 솔루션을 통해 반출입이 통제된다. 외부 유출 시도시, 해당 통제 시스템이 작동하는 방식이다. 비식별 기술을 활용해 개인정보가 직접 노출되지 않도록 보호돼야 한다.
정진교 피앤피시큐어 전무는 “민감정보 생성을 실시간 관리하고, 사용자를 식별했어도 ‘지속 인증’ 절차를 반드시 거쳐야 한다”며 “어이 없는 보안사고가 반복되고 있는 만큼, 제로트러스트 관점에서 NIA 보안 시스템에 혁신적 고도화가 이뤄져야 할 것”이라고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
