유출항목, 이름·아이디·암호화된 비밀번호·연락처·이메일·소속지역 및 기관·회원접속 IP
보안전문가, 개발 서버에서 개인정보 이용 문제와 외부망 접근통제 등 보안 강화 필요성 지적
[보안뉴스 김경애 기자] 대한결핵협회 사이버연수원에서 개인정보가 일부 유출된 것으로 드러났다. 유출된 개인정보 항목은 이름, 아이디, 암호화된 비밀번호, 연락처, 이메일, 소속지역, 소속기관, 회원접속 IP 등 총 8개 항목이다.
▲지난 27일 대한결핵협회 사이버연수원에서 개인정보 유출 사실에 대해 홈페이지 팝업창을 통해 공지했다.[이미지=대한결핵협회 사이버연수원 홈페이지]
지난 27일 대한결핵협회는 “사이버연수원 개발용 서버에 저장된 데이터가 해킹으로 인해 유출된 것으로 추정된다”며 “지난 19일 유출된 사실을 인지하고, 해당 IP 및 불법접속 경로를 차단했다”고 밝혔다. 또한 현재 운영 중인 사이버연수원 홈페이지의 웹 방화벽을 점검한 결과 이상 없음을 확인했다고 덧붙였다.
그러면서 2차 피해 예방을 위해 비밀번호 변경를 권고하며, 개인정보 악용 의심 전화와 메일, 문의사항에 대해서는 담당부서로 연락할 것을 당부했다.
이후 29일 대한결핵협회는 홈페이지 팝업창을 통해 “대한결핵협회 서버 점검을 30일에 진행할 예정”이라며 “협회 정보화시스템 서비스 전체가 중단될 예정”이라고 공지했다. 점검 내용은 서버 보안 패치 적용이다.
▲29일 대한결핵협회는 홈페이지 팝업창을 통해 서버 보안 패치 적용 등 서버 점검을 30일 진행할 예정이라고 밝혔다.[이미지=대한결핵협회]
순천향대학교 염흥열 교수는 이번 개인정보 유출사고와 관련해 개발 서버 보안과 개인정보 이용에 관한 두 가지 측면에서의 보안 취약점이 존재했다고 지적했다.
첫 번째는 개발 서버 보안의 중요성이다. 이와 관련 염흥열 교수는 “보안 측면에서 개인정보처리시스템인 개발 서버의 외부망에서의 접근 통제 등 보안 강화가 요구되다”고 당부했다.
두 번째는 개발 서버에서 실제 정보주체의 개인정보을 이용해서는 안 된다는 것이다. 염흥열 교수는 “개발 과정에서는 가명 데이터나 익명 데이터를 활용하는 게 바람직하다”며 “어쩔 수 없이 실제 개인정보를 이용해야 한다면 정보보호최고책임자 또는 개인정보보호최고책임자의 승인하에서 이용해야 하고, 개인정보 유출 사고가 발생하지 않도록 개인정보 처리 시스템에 대한 안전성 조치를 적용해야 한다”고 설명했다.
누리랩 최원혁 대표는 “개발용 임시 서버에서 개인정보가 유출된 것은 보안 관리의 부실함을 보여주는 것”이라며 “개발 환경에서는 테스트 데이터를 사용해야 하며, 민감한 개인정보를 저장해서는 안 된다”고 지적했다.
이어 최 대표는 “개발용 서버에 실제 데이터가 저장된 상태로 외부에 노출되었다는 것은 보안 규정이 제대로 적용되지 않았음을 시사한다”며 “이와 같은 환경에서는 데이터가 노출되지 않도록 엄격한 관리와 접근 통제가 필요하다”고 강조했다.
리니어리티 한승연 대표는 “개발, 테스트, DR, 백업 등 정식 서비스에 사용되지 않는 서버에서 개인정보 유출 사고가 빈번하게 발생하고 있다”고 우려하며, “보안 설비나 시큐어 코딩이 적용되지 않은 상태로 인터넷에 노출되면 공격 위험이 높아질 수밖에 없다”고 지적했다.
한 대표는 이어 “정식 서비스에 사용되지 않는 시스템은 네트워크를 분리해 허가받지 않은 접근을 차단해야 하며, 개발 서버 등에서는 실제 개인정보 대신 가명정보를 사용하는 게 보다 안전한 운영에 도움이 된다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>