2014년 3월 6일 목요일

순전히 개인적인 사견으로 본 금번 개인정보 유출사고에 대한 하기 쉬운 오해

순전히 개인적인 사견으로 본 금번 개인정보 유출사고에 대한 하기 쉬운 오해
(제가 오해하고 있는지도... ㅋㅋㅋㅋ)

1. 개인정보 암호화?
   DB암호화를 해도 어플리케이션에서 특히 사용자 UI 단에서 사용하기 위해 DB 쿼리를 해 오는 경우에는 복호화된 데이터가 사용자 컴퓨터 디바이스로 내려 옵니다. 사용자 단에서 저장된 임시 데이터를 암호화한다고 해도 사용자 UI 단에 복호화 모듈이 있어야 하기 때문에 보호 효과가 거의 없습니다. 따라서, 이 문제를 개인정보 암호화 문제로 보기에는 여러가지로 어렵습니다.

2. 파로스? 웹 취약점이 없다?
   기사들을 보면 파로스라는 툴에 집중되어 있는데, 파로스는 정말 툴일 뿐이고 다양한 방법으로 유사한 공격을 재현할 수 있습니다. 오히려 웹 사이트 내에 취약점이 없다고는 하지만, 공격 방식을 보면, 웹 어플리케이션 개발 및 배포시 우선 점검해 보아야 할 가장 기본적인 OWASP TOP10 2013 내 여려 취약점에 노출된 것으로 보입니다. 특히 주로 얘기되지 않은 한 가지만 선택하자면 안전하지 않은 직접 객체 참조(Insecure Direct Object References) 취약점에 노출된 것입니다. * 참고: https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References

3. 여전히 가시성은 숙제
   최근 보안사고들을 보면 비정상 행위에 대한 가시성에 있어서 많은 숙제가 있음을 알 수 있습니다. 1년 이상 상당 기간 비정상 행위가 있었음에도 그것에 대한 탐지가 되지 않았다는 것은 전반적으로 가시성에 대한 재점검이 필요함을 시사합니다.

4. 이번에도 솔루션의 부족한 점만 찾을 것인가?
   여러 점검을 다시 해 봐야 하겠지만, 항상 솔루션만의 문제는 아닙니다.
   정보보호 거버넌스 측면에서, 정책, 프로세스, 기술 그리고 사람에 있어, 
   전반적으로 미비한 점이 있는지 확인해 보고, 그런 미비점을 찾기 위해서
   기업마다 자신의 비즈니스에 맞는 보안 프레임워크를 수립하고,
   성과 관리를 통해 보안 성숙도를 높여 나가야 합니다.