개인정보 침해사고 유출 대응_주요내용 요약

개인정보 유출사고가 발생하면 KISA의 경우, 굳이 담당부서를 찾지 않고 118에 전화하면 되고, 118은 신고를 접수받아 개인정보보호팀과 사고조사팀에 내용을 전달한다. 사고조사 팀에서는 개인정보의 안전성 확보조치 기준 4조의 5~10번에 해당하는 내용을 확인하고, 해당 내용이 준수되었음에도 사고가 발생한 것인지 확인한다.

 

제4조(내부 관리계획의 수립·시행 및 점검) 中

5. 접근 권한의 관리에 관한 사항

- DB의 개인정보취급자 계정관리 여부

- 홈페이지 관리자페이지에 특정 IP만 접속 허용 여부

6. 접근 통제에 관한 사항

7. 개인정보의 암호화 조치에 관한 사항

- PW는 무조건 SHA-256 이상

8. 접속기록 보관 및 점검에 관한 사항

- 개인정보처리시스템 뿐만 아니라, 개인정보가 처리되는 모든 부분을 따져야 하며, 홈페이지 관리자페이지의 경우인 웹로그가 특히 등한시됨.  

9. 악성프로그램 등 방지에 관한 사항

10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항

 

최근 공공기관 등에서 문제가 되고 있는 것이 크리덴셜 스터핑이며, 각 기업에서는 마이페이지에서 정보를 수정할 때 2차 인증을 요구하거나, 해외 IP를 차단하는 방식들을 사용하고 있음.

 

공격 표면은 모든 사태의 시작점으로, 인터넷에 노출된 영역이기에 보호하기가 매우 어렵다. 이유는 24시간 외부에 공개되어 있기에 공격자가 계속 들여다 볼 수 있기 때문임. 그래서 개인정보가 주로 유출되는 곳이 이 공격 표면임. 그래서 제로데이/원데이 공격이 항상 문제가 되고 있음.

 

공격자들은 일반적으로 홈페이지 취약점 공격을 통해 관리자 계정을 탈취하고, 관리자 페이지에 접속하여 웹쉘을 업로드함. 과거 파일 업로드 취약점 공격이 문제가 되면서 일반페이지에서는 업로드 기능을 없앴으나, 관리자 페이지에서는 파일 업로드 기능을 남겨두는 곳이 많음. 이로 인해 관리자 페이지를 통해 웹쉘을 업로드하는 것이 흔한 공격의 형태며, 공격자는 웹쉘을 업로드하여 서버를 장악함.

 

사실, 취약점 조치를 해도 DB에서 일부 정보가 빠져나가는 것을 막는 것은 매우 어려움. 이는 SQL Injection의 영향임. SQL Injection은 오래된 기법임에도 여전히 유효한 공격 기법이며, 이를 통해 관리자 계정을 탈취하는 경우가 있음. 보안 솔루션으로도 해당 공격을 탐지하기는 어려움. 따라서 SQL Injection 자체를 막는 것보다는 관리자 계정을 탈취하더라도 관리자 페이지에서의 웹쉘 업로드를 막는 것이 더욱 현실적인 방안임.

 

접근제어가 통제되고 있을 때, 관리자페이지에 로그인을 실패한 이력을 관리하는 게 매우 중요함. 왜 실패했는지 확인을 해야 함. 해커는 DB에서 정보를 탈취하는데, DB에는 기업의 정보보안 정책의 정보가 담겨있지 않기에 해커는 우선 TRY를 하는 것이며, 따라서 로그인 실패 이력이 중요한 키가 될 수 있음.

 

OTP도 유용한 방식이지만, OTP의 적용/미적용 자체가 문제가 아니라, OTP가 얼마나 유지가 되는지가 중요함. OTP의 세션값을 해커가 가져갈 수 있기 때문임.

 

VPN을 통해 일어난 사고는 보통 DB관리자 한 명만 찍기 어렵기에 회사 임직원 중 하나의 VPN을 훔쳐 DB에 붙게됨. 그렇기에 평소에 붙지 않는 IP를 확인하는 것이 필요함.

 

웹셸은 업로드만 되면 서버 자체를 장악하기에 기록이 남지 않게 할 수 있다는 것이 중요함. 일반 유저처럼 WEB으로 접근할 수 있음. 웹셸을 탐지해준다는 솔루션은 믿을 수 없음. 그런 솔루션들은 그저 웹셸이 있는지 없는지만 확인해주는 것이므로 의미가 없음.

 

웹셸의 주요한 특징은 다음이 있음

① 웹셸에 접근할 수 있는 경로는 오직 공격자만 알고 있음

② 웹셸 파일에 접근한 이력이 있는 IP는 모두 공격과 관련이 있음

- 따라서 접근한 이력에 대해서는 모두 의심해야 한다. 그리고 접근한 페이지를 모두 확인해야 한다.

③ 공격자는 웹셸 파일에만 지속 접근한다. 그리고 대부분 POST 방식임

- GET GET GET으로 가다가 갑자기 POST 비중이 높아지는 경우 소스코드를 확인해야 함. 이것이 제로트러스트의 일환이며, 이를 통해 웹셸을 탐지할 수 있음. 소스코드를 보면 개발자들은 웹셸 여부를 확인할 수 있음.

 

웹셸을 쓰면 무조건 웹로그에 남게 되어있음. 그러나 웹셸은 서버 자체를 장악하기에 웹로그를 지울 수 있으며, 그렇기에 웹로그를 백업하는 것이 매우 중요한 것임. 웹로그를 오래 보관하면 할수록 좋음.

 

파라미터 변조 취약점을 이용한 공격은 막기 어려움. 이유는 이 공격은 특정 페이지에 관한 이슈이기 때문에 그렇게 상세하게 모든 로직을 확인하기는 물리적으로 매우 어려움. 개인정보가 취급되는 파라미터가 있는 구간부터 이미 모르고, 변조 기록을 찾으려면 하나하나 수작업으로 하는 수밖에 없음. 따라서 도구의 도움을 많는 데에도 제약이 있음.

 

스피어 피싱: 악성코드가 설치되면 악성코드는 PC 안의 파일을 가져가는데, 정확히는 신원확인을 위한 파일을 가져감. 대상이 누구인지 명확하게 식별하여 공격할 가치가 있는지 확인하기 위함임. 스피어 피싱은 현실적으로 막을 수 없음. 솔루션도 전혀 쓸모 없으며, 스피어 피싱은 조직 내 PC 중 하나는 언젠가 하나는 감염된다는 것을 전제로 깔아야 함. 인바운드를 제어해도 공격이 들어오며, 아웃바운드 제어는 사실상 불가능하기 때문임.

 

 

 

스피어 피싱 공격의 진행 시나리오: 공격이 들어와 특정 PC A를 감염시키고, 아웃바운드 통신으로 정보가 해커의 서버에 전달됨. 그리고 해커는 PC의 프로세스나 하드디스크 등을 통해 NAS를 쓴다는 것을 알게 되고, NAS를 통해 측면이동을 하게 됨. (* 방어자 입장에서는 이 측면이동을 잡아내는 것이 중요함) NAS가 감염되면, NAS에 붙어있는 모든 사용자 PC가 감염되게 됨. NAS의 경우 인바운드, 아웃바운드 모두 차단해야 하지만, 인바운드만 차단하는 곳이 대다수임. 아웃바운드를 차단하지 못하는 이유는 워낙 많은 사람들이 다양한 사이트를 돌아다니기 때문임. NAS에 붙어있는 사용자들을 모두 감염하다 보면 DB관리자의 PC도 감염이 되고, 이는 결국 망분리 결함으로 지적되는 사항임. 왜냐하면, DB관리자의 PC가 인바운드/아웃바운드 모두 차단이 되어있어도 NAS를 통해 감염이 될 수 있기 때문임. 이후 해커는 RDP 접속이력이 있는 PC를 확인하여 연결을 시도함. (* RDP를 사용할 때만이 아닌, 계속 열어두는 것도 결함임) 그렇게 DB PC를 제어하게 되고, 기밀정보를 탈취하는 데 성공함. 마찬가지로 VPN을 통해 들어오고, 게이트웨이를 통해 들어옴.

 

DB PC에 대한 RDP 접속이력을 확인하였을 때 이상한 내역이 있으면, 접속한 내역이 있는 PC의 이용자에게 소명을 요구하면 안 됨. 개인이 과거의 기록을 온전히 기억하기 힘들며, 로그 기록을 상세히 살펴보는 방향으로 바뀌어야 함. 그리고 많은 호스트에 물려있는 지점을 집중하는 것이 중요함. DRM, DLP, SSO, AD 같은 것들이 대표적 예시임. 국내에서는 특히 내부망 보안이 취약하며, 이는 트랜잭션이 너무 많기 때문임. 그래서 스피어 피싱에 취약한 것이며, 보안담당자들은 공격이 전이되는 지점을 효과적으로 볼 수 있는 전략을 반드시 갖춰야 함. 진정한 제로트러스트는 DB 관리자 PC가 장악이 되었다고 해도 공격을 막을 수 있는 정책을 구성하는 것임. 그리고 해커는 언제나 TRY를 시도한다는 점에서 접속 실패 및 정책 위반의 기록을 반드시 면밀히 따져야 함. 접근제어의 목적은 접근을 못하게 하는 게 아니라, 해커의 실패를 파악하기 위함임을 잊지말아야 함.

 

사고 현장에 가면 담당자들은 백신업체 및 보안솔루션 직원들을 소집하여 왜 공격을 잡지 못했는지 추궁하는 경우가 많으나, 세상에 공격 활동이 진행되고 있음을 명확히 알려주는 솔루션은 존재하지 않으며, 그게 가능하려면 모든 망을 전부 모아서 봐야함. 침해사고는 보안솔루션의 문제가 아니며, 보안솔루션은 기록을 잘 하고있는 데에 의의가 있음. PC에서 이상한 파일을 발견했을 경우, 그 파일을 삭제하고 방화벽 등을 확인하는 게 아니라, 이상한 파일이 무엇인지, 그것의 규명부터 시작을 해야 함. 내부적으로 확인이 어렵다면, KISA에 해당 파일을 보내 어떤 파일이 확인해 달라고 보내면 됨. 이 문화를 조직에 정착하는 것이 매우 중요함.

 

최종적으로, 침해사고가 발생했을 때 개보위 등에서 배부한 매뉴얼대로만 하는 것은 좋은 선택이 아님. 수동적으로 하는 게 아닌 능동적인 행동을 하는 게 필요함. 침해사고가 발생한 이후, 노력을 계속하는 것이 중요함.

 

담당자가 기업 내 보안을 위해 지금부터 해야 하는 일

1. 접근제어 정책의 효과적 활용

2. 개인정보에 접근할 수 있는 모든 경로 파악

3. 가장 염려되는 구간부터 로그 기록하고 모니터링

4. 공격 표면 자산과 관련된 취약점 관리

5. DB 관리자 PC가 해킹에 안전하다는 생각 버리기