안녕하세요.
요즘 정보보안쪽에 관심을 많이 갖고 있습니다.
보통 침해사고가 발생하면 보통 어떤식으로 인지를 하게되나요?
물론 여러가지 로그를 확인하고 장애가 생길경우로 판단 하기도 하겠지만....
그리고,, 개인정보.. 몇만건... 몇십만건 유출.. 이런식으로 피해 규모가 산정되는 경우는.
해당 데이터베이스에 어드민 계정이 탈취되어서 모든 권한을을 획득하게 되면.
해당 DB에 있는 모든 데이터베이스 자료는 다 유출된거로 가정하는건지요?
당연히 해커들이...나 여기 DB에서 데이터 몇개 가져갔다...라고 친절하게 기록을 남기는것도 아니구요..
보통.. 데이터 유출에 대한 흔적은 어떤식으로 파악하며 그에 따른 피해규모 산정은
어떤방식으로 이루어지는지 궁금합니다.
감사합니다.
6개의 답변이 있습니다.
그걸 위해 사전에 자산식별 자산평가 위험분석 단계를 거쳐야 합니다.
쉽게 말하면 우리 회사에서 처리하는 개인정보는 무엇인지 얼마나 있는지 어디에 있는지 어떻게 있는지 어떻게 보호하고 있는지에 대한 현황을 경영진을 포함한 담당자들이 알고 있어야 한다는 것이죠..
이러한 보호대책을 전사적인 측면에서 준비해서 운영하지 않는다면, 담당자만 죽는거죠 뭐;;;
개인정보 영향평가서 가이드를 참고하셔서 회사 내의 개인정보 처리 업무와 개인정보의 종류를 확인 해 보시고 개인정보 흐름도 한번 그려보세요
그러면 뭘 어떻게 해야 할것인지, 또 유출되면 어디에서 뭐가 얼마나 나갈것인지 더욱 쉽게 아실것입니다..
아래 사이트도 참고해보세요
https://www.digitalmarket.kr/component/file/ND_fileDownload.do?id=233591ab-112d-47ce-9d9e-34ac0f775954
침해사고가 발생하면 각종 보안 솔루션, 즉, 접근제어, 모니터링 솔루션을 통해서
침해사고 분석해서 유출건수를 산출하구요.
개인정보를 취급하거나 일정 규모의 사업 등은 법적으로 보호를 위한
각종 관리, 통제 등의 조치를 하게 되어 있습니다.
침해 사고가 발생하지 않으면 모르겠지만 침해사고가 발생하면 과징금 산출에서
보호의무를 소홀이 한정도에 따라 과징금 부과가 됩니다.
그래서 씁쓸하지만 실효성이 있다 없다를 떠나서 이런 부분에 면피를 하기 위해
이름뿐이 솔루션들을 많이 도입하죠
로그가 없으면 무슨일을 당해도 알수가 없는거지요...
로그로 인해 어떤 데이터에 접근을 했고, 어떻게 유출이 되었는지를 알수 있는거죠...
그런 로그가 없고, 침해는 당한 흔적은 있다.... 그러면 유추 해석 하는 방법 밖에는 없다 생각하네요.
대부분 대규모 유출이 발생 했을 경우 기업에서는 최소한으로 줄여서 발표를 한다고
생각합니다. 어느 누가 전체가 유출되었다고 발표를 할까요? ^^
접근 로그로 판단하지 않을까요..?
제일 먼저 침입이 있었는지 어떤지를 판단해야 할 것 같고요.
접속 로그 정보를 분석해서 어디에서 접근한 사용자, 어떤 계정 정보로 접근한 사용자 등을 판단해야 할 것 같고...
정당한 접근인지, 허용되지 않은 접근인지에 대한 정보를 분석해야 할 것 같고요.
접근한 후에 행한 행위들에 대한 로그 정보 분석으로 어떤 행위를 했는지를 판단해야 할 것 같고요.
어떤 서버에 접근했는지, 어떤 쿼리를 보냈는지... 등등...
어떤 트래픽이 흘러 들어 갔고, 어떤 트래픽이 흘러 나갔는지 등에 대한 네트워크 트래픽을 분석해서 빠져 나간 정보들을 기반으로 유출된 자료가 무엇이고, 얼마만큼 유출되었는지를 확인해야 할 것 같고요.
시스템이 로그를 충분히 남길 수 있게 구성되어 있다면 유출된 정확한 정보들을 확인해서 그에 따른 대책을 만련할 수 있을거라 보여지고요.
개인 정보 보호법으로 접근 제어 솔루션 및 로그 기록을 몇 개월 이상 유지하라는 내용이 이런 이유라 생각하면 될것 같고요.
116sig | 2년 이하 전
상세한 답변 감사드립니다. 말씀하신것 처럼 접근제어 관련된 절차나 솔루션이 잘
구비가 되어있고.. 정기적인 로그 분석이나 그런활동들이 없이....
즉 체계가 없다라고 한다면,, 침해사실 여부조차 모르고 지나가는경우도 있겠네요???
이런 경우, 나중에 다른 경로를 통해서 침해사실이 확인이 된다던가...
침해사실 조사과정에서 관련된 정보보호 체계가 갖추어져 있지 않다면
해당 기업측에서는 패널티를 물게 되는건가요?
침해사고 발생시.. 정보보호 체계가 잘 갖추어져 있는것이 어느정도 면책(?) 조건에
해당되는지도 궁금합니다.
감사합니다.
wansoo | 2년 이하 전
침해 당하고도 침해 당한줄 모르는 곳이 많을거라 생각됩니다.
APT 공격처럼 수개월에서 수년간 내부 시스템을 분석해 가면서 해킹하는 경우도 있을 것이고...
다른 사이트 해킹에 사용하기 위한 해킹 서버로 이용되는 경우도 있을 것 같고요.
명동쓰레빠 | 2년 이하 전
좋은 내용 감사합니다.
아마도 다 유출된것으로 가정하겠지요.
예전에 감사한번 받아 걸린 적이 있는데..
개인식별정보 암호화 안한 건수를 체크하는데..
select count(*) from 테이블;
distinct라도 걸어야 하는 거 아니냐고 항의라도 했어야 했는데...
116sig | 2년 이하 전
아.. 그럼.. 일단 DB계정이 털려서 비인가된 로그인을 한 흔적이 있으면
데이터가 모두 유출됬다고 보는게 일반적이다라는 말씀이시군요??!
그리고 개인식별 정보라하면... 휴대폰 번호등이 모두 포함될텐데...
사업자규모에 관계없이.. 모두 의무인가요??
감사합니다