kcs 로고

News Room

뉴스룸

각종 이슈부터 꼭 필요한 정보까지!
한국기업보안의 소식과 뉴스를 알려드립니다.

  • 보도자료
  • 기사

SCROLL

NEWS ROOM

KCS 뉴스룸

  • 정보보호 안전진단 평가, 허술한 관리로 ‘구멍’

    경찰조사 앞둔 22개 업체 중 '문제없음' 진단 받은 업체도 포함


    [보안뉴스 오병민] 2003년 인터넷대란 이후, 기업들의 정보보호 안전을 진단하는 목적으로 시행된 정보보호 안전진단 평가가 허술하게 관리돼 실효성에 대한 의문이 제기되고 있다.

    국회 문화체육관광통신위원회의 서갑원 의원(전남 순천)은 24일 한국인터넷진흥원 업무보고에서 개인정보 보호와 관련, 업체 관리에 구멍이 뚫렸음을 지적했다.

    서갑원 의원은 최근 행정안전부에서 개인정보 유출 실태를 100개 업체만 한정적으로 실시했음에도 78개 업체가 적발되고 22개 업체는 경찰 수사를 받게 됐다고 밝혔다. 서갑원 의원은 “경찰수사를 앞둔 22개 업체 중 2개 업체는 이미 서면심사와 현장검증으로 인터넷진흥원의 정보보호 안전진단에서 별다른 조치사항이나 개선사항이 없음으로 판명 받은 곳”이라고 밝혔다.




    [기사전문보기]

    2010-06-30

  • 정부, ‘민간분야 주민번호 수집·이용 엄격 기준’ 마련 추진

    행안부-방통위, ‘민간분야 주민번호 수집·이용 가이드라인’ 마련추진


    [보안뉴스 김정완] 행정목적으로 도입된 주민등록번호는 개인식별의 편리성으로 인해 민간영역에서도 광범위하게 수집·이용되고 있으나, 관행적인 수집 및 과다 보유에 따른 각종 유·노출 사고가 빈번하게 발생되고 있는 상황에서 행정안전부와 방송통신위원회는 공동으로 ‘민간분야 주민번호 수집·이용 가이드라인’ 마련을 추진하고 있는 것으로 알려져 주목된다.

    지난해 7월 행안부 등 5개 정부부처·기관은 주민등록번호의 과도한 사용을 제한하고, 국내·외로의 유출을 근절하기 위해 ‘주민등록번호 보호 종합대책’을 수립하고 범정부 차원에서 강력 추진키로 했다고 밝힌 바 있다. 5개 분야 17개 추진과제를 포함한 이러한 종합대책은 다만 최근 지자체 등 공공기관이 주민번호 DB 암호화사업을 진행할 때 필요한 ‘가인드 라인(안)’만을 만들었을 뿐 이후 실효를 거두지 못했던 것이 사실이다.

    더구나 지난 3월 대량의 개인정보 유출사건 등이 연이어 발생함에 따라 4월 임시국회에서는 ‘개인정보보호법(안)’ 제정이 이루어지는 듯 했으나 결과적으로는 이번에도 법제정이 무산됐다. 특히 현재 국회에 계류 중인 ‘개인정보보호법’에 의하면 주민등록번호는 정보주체로부터의 별도 동의 법령상의 근거 등에 따라 수집을 허용하고, 주민등록번호 대체수단 및 암호화 조치를 이행토록 하고 있다.

    따라서 현재까지 기업 등은 주민등록번호 수집·이용 없이 다른 또는 다른 대체수단을 활용해 서비스 등을 제공하는 등 적합한 방안을 자율적으로 강구할 수 있는 기준이 없었던 것.

    이에 행안부와 방통위는 ‘민간분야 주민등록번호 수집·이용 가이드라인’을 통해 그간 서비스 특성이나 법령상의 근거 등을 고려하지 않고 주민등록번호를 수집해 온 관행을 기업 등이 자율적으로 개선할 수 있도록 관련 기준을 마련하는 것.

    이 가이드라인과 관련 행안부 관계자는 “서비스 특성, 업종별 특성 등에 따라 주민등록번호 수집을 지양하고 다른 대체 수단을 활용하거나, 불가피하게 수집·이용하는 경우에도 수집 및 보유 시 관련 절차 및 안전성 확보를 위한 조치를 마련하는 등의 구체적인 기준을 제시할 것”이라며 “또한 개인정보보호법 등 개인정보 관련 법안의 주요 사항을 가이드에 반영해 기업 등이 법률 시행 등 법제 환경 변화에 사전에 대비할 수 있도록 했다”고 설명했다.

    특히 이 가이드라인의 내용 중 일부 사항은 ‘정보통신망법’ 등 관련 법령에 따라 반드시 준수해야 할 사항을 일부 포함하고 있으나, 그 외의 조항은 기업 등이 자율적으로 주민등록번호 수집 제한 및 대체수단 활용 등의 사항을 정할 수 있도록 권고하는 수칙을 제시하고 있는 것으로 알려지고 있다.

    이와 관련 방통위 관계자는 “오프라인과 온라인 상에서의 기업들이 그간 주민등록번호 수집·이용에 대한 기준이 부재해 관행적인 수집이 만연해 과다 보유에 따른 유출 사례가 빈번하게 발생했다”며 “주민등록번호 라이프 사이클(수집·이용·제공·관리·파기)에 따른 엄격한 기준을 마련해 무분별한 수집·이용의 최소화를 위해 현재 행안부와 함께 가이드 마련을 위해 협의 중”이라고 밝혔다.


    [기사전문보기]

    2010-06-08

  • '전자금융거래 인증방법의 안전성 가이드라인' 확정

    '전자금융거래 인증방법의 안전성 가이드라인' 확정


    [보안뉴스 오병민] 인터넷뱅킹이나 30만원 이상의 전자결제에서도 공인인증서 외에도 인증방법이 허용될 전망이다. 앞으로는 금융기관이 스스로 인증방법을 선택할 수 있게 되기 때문이다.

    방송통신위원회(위원장 최시중)는 5월 31일 국무총리실, 금융위원회 등 관계부처와 공동으로 전자금융거래시 공인인증서와 병행하여 사용할 수 있는 인증방법에 대한 안전성 가이드라인을 확정, 발표했다.

    이는 현행 공인인증서 의무사용 규제가 스마트폰 등 새로운 인터넷 환경에 적용되기 어렵고 사용절차도 복잡해, 다른 보안기술도 병행하여 사용할 수 있도록 지난 3.31 정부와 한나라당이 합의한 ‘전자금융거래시 공인인증서 의무사용 규제완화 방안’의 후속조치로 이루어졌다.

    당정협의 이후 전자금융거래 안전성 기준제정을 위한 민관협의체를 구성하여 전문가  및 이해관계자의 의견수렴을 하였으며, 관계부처 협의를 거쳐 이날 ‘전자금융거래 인증방법의 안전성 가이드라인’을 최종 확정한 것이다.

    이로 인해 지난 4월부터 공인인증서를 사용하지 않고도 스마트폰을 이용한 30만원 미만의 소액결제가 가능하게 된 데 이어, 올 하반기 부터는 e-뱅킹과 30만원 이상의 전자결제에도 공인인증서 이외의 인증방법이 적용될 수 있게 되었다.

    이번 가이드라인은 전자금융거래시 적용될 인증방법이 갖추어야 할 기술적 안전성 요건을 규정한 것으로서, 여기에는 △이용자 확인, △서버인증, △통신채널 암호화, △거래내역의 위변조 방지, △거래부인방지 기능 등 5개 항목이 제시되었고, 금융기관 또는 전자금융업자가 각자의 거래유형이나 보안위험 등을 고려하여 안전한 인증서비스 제공을 위해 필요한 기술적 요건을 자율적으로 적용하도록 선택권을 부여했다.

    따라서, 금융기관 또는 전자금융업자는 공인인증서를 사용하지 않고도 이용자 인증, 서버인증 및 통신채널 암호화 요건을 갖춘 경우에는 인증방법평가위원회(이하 위원회)의 안전성 평가를 거쳐 다양한 전자금융 서비스를 제공할 수 있게 되었다.





    [기사전문보기]

    2010-06-01

  • 또 개인정보 무더기 유출

    또 개인정보 무더기 유출
    지지옥션 1만2000명 등 25개 사이트 해킹

    [로컬세계] 국내 유명 부동산 경매 사이트인 지지옥션의 회원 1만2000명을 비롯해 25개 사이트 개인정보가 대량으로 유출됐다

    26일 본사 취재진의 확인 결과 지지옥션측은 인천경찰청이 범인 검거 전까지 회원들의 개인정보가 해킹된 사실을 까맣게 모르고 있었던 것으로 드러났다.

    지지옥션 측은 지난 3월3일 정보를 빼낸 범인이 검거된 뒤 한 달이 지나서야 회원들에게 해킹사실을 알리고, 비밀번호 변경을 권하는 메일을 뒤늦게 보낸 것으로 드러났다.

    범인들은 회원들의 이름과 주민등록번호, 주소는 물론 전화번호와 아이디까지 상세한 개인정보를 빼내 스팸 메일 발송업자에게 팔아넘기려다 덜미를 잡혔다.

    개인정보가 유출된 지지옥션 회원 신모씨(48)는 “수개월간 해킹사실 조차 몰랐던 해당업체의 무책임한 행동을 이해하기 어렵다”며 “그동안 범인들이 개인정보를 범죄에 악용했을까 걱정” 이라고 말했다.




    [기사전문보기]


     

    2010-05-17

  • [긴급]자바 제로데이 취약점 이용한 악성코드 주의!!!

    JDT 취약점으로 원격코드 실행...이 취약점 이용한 악성코드 등장 


    썬마이크로시스템즈(이하 썬)의 자바 런타임 환경(JRE)에서 원격코드를 실행하는 제로데이 취약점이 발견돼 사용자들의 주의가 요구되고 있다.

    공격자는 이 취약점을 이용해 악의적인 웹 페이지를 구축하고 방문자가 방문하도록 유도해 공유된 네트워크에 위치한 악의적인 파일을 실행시킬 수 있는 것으로 확인됐다.

    'Java Web Start (JWS)' 는 자바 개발자들이 'Java Networking Launching Protocol(*.jnlp)' 파일에 URL을 이용하여 응용 프로그램을 실행하고 설치할 수 있는 방법을 제공한다.
    썬 사는 ‘자바 6 업데이트 10 버전(Java 6 Update 10)' 이후로 개발자들이 최종 사용자에게 응용 프로그램을 배포하기 쉽도록 'Java Deployment Toolkit(JDT)'이라 불리는 NPAPI 플러그인과 ActiveX 컨트롤을 배포했다.
    이 툴 킷은 기본적으로 JRE에 의해 설치되며 스크립팅하기 안전한 것으로 표시돼있다.

    흔히 ‘자바 런타임’이라고도 알려져 있는 JRE는 자바 응용프로그램 개발도구인 JDK의 일부이다.
    JRE는 자바 응용프로그램이 실행되는데 필요한 최소한의 요건을 제공하며, JVM과, 핵심적인 클래스들, 그리고 각종 지원 파일들로 구성된다.

    그러나 보안업계에 따르면, 썬 사의 JDT 커맨드 라인 파라미터에 대한 적절한 검증을 수행하지 않아 임의의 명령 코드를 실행하는 것이 가능한 취약점이 존재하는 것으로 전해지고 있다.

    외국에서는 이미 이 취약점을 이용해 악성코드를 전파하는 사례가 외국 유명 가사사이트에서 발견됐으며, 게다가 이 취약점을 이용한 악성코드 유포 키트도 발견돼 국내 유입도 오래 걸리지 않을 것이라는 것이 전문가들의 예상이다.



    [기사 원문보기]

    2010-04-15

  • 법안심사소위 15일 임시국회, 계류법안 ‘개인정보보호법’ 거론예정

    법안심사소위 15일 임시국회, 계류법안 ‘개인정보보호법’ 거론예정
    인권위·민변 등 개인정보보호 기구 관련 정부안 반대의견서 제출


    <순서>

    1. 과거 개인정보유출 사건을 통해 본 정보화 사회의 개인정보보호

    2. ‘개인정보보호법’의 추진경과

    3. 개인정보보호를 위한 제도적 도입연구 등 소개

    4. [인터뷰]진보네트워크센터 장여경 정책활동가

    5. [인터뷰]방송통신위원회 오상진 개인정보보호윤리과장

    6. [인터뷰]행정안전부 이필영 개인정보보호과장

    7. 개인정보보호를 위해 풀어야할 문제들!?


    우리나라 개인정보보호 관련법들의 특징은 겉으로는 지나치리만큼 엄격한 규제로 정직하게 개인정보를 수집·이용하려는 기업들에게는 많은 비용과 노력을 요구하지만, 개인정보의 보호와 활용을 위한 세부적인 장치는 부족해 편법적 수집·이용·제공에는 너무나 무기력하다는 것이 전문가들의 의견이다.

    따라서 정상적인 개인정보 수집·이용·제공 활동에 대해서는 규제를 완화하되, 소비자 또는 이용자들이 통상 예상하기 어려운 개인정보의 수집·이용·제공 활동에 대해서는 편법적인 방법이 통하지 않도록 법제 개선이 필요하다고 전문가들은 지적한다.

    지난 2008년 옥션·GS칼텍스 유출사건을 비롯해 최근의 인터넷쇼핑몰 등에서의 2천만건 유출 등 최근의 개인정보 침해는 대형화·지능화·다양화되는 추세지만, 개인정보보호에 대한 일반법이 없어 법적용의 사각지대가 발생하고 개별법간 처리기준 등이 상이해 국민의 혼란을 초래함은 물론 현행 개인정보보호 법제·체계는 개인정보 유출 대응에 한계가 있는 것이 사실이다.

    그런 만큼 2008년 국회에 제출된 개인정보보호법에 관심이 집중되는 것은 당연하다. 이에 개인정보보호법의 추진 경과 등을 살펴본다.

    ■ 개인정보보호법 제정 추진경과

    2009년 개인정보침해사고 신고건수 32,422건 중 무려 22,067건 68.1%가 법적용 제외사업자라는 통계자료가 있다. 즉 공공기관(공공기관 개인정보보호법), 정보통신사업자(정보통신망법) 등 개별법 체계로 법원 등 헌법기관, 오프라인 사업자, 비영리기관 등은 법적용이 배제돼 있는 상황이다.

    그런 상황에서 2008년 2월 옥션과 동년 8월 GS칼텍스 1천만건 이상의 대형 개인정보유출사건이 발생함으로써 개인정보유출이 국가사회 전반에 걸쳐 심각한 피해를 초래함에 따라 개인정보보호법에 대한 제정의 필요성이 더욱 부각되면서 2008년 8월 이혜훈 의원안이 발의 되고, 2008년 10월에는 변재일 의원안이 발의됐다.

    그리고 동년 11월 28일 개인정보보호법 정부안이 국회에 상정되기 전인 그해 6월과 8월에 걸쳐 법제정을 위한 공청회가 2회 개최됐으며, 그렇게 국회 상정된 개인정보보호법은 2009년 2월 20일 국회 행정안전위원회에 상정돼 3일 후인 23일 법안심사소위원회에 상정됐으며 꼭 한달 후인 4월 23일에는 행안위 주관으로 공청회가 개최돼 곧 개인정보보호법이 제정·공포될 것처럼 보였지만 2년여의 시간을 허비하는 결과를 초래했다.


    [기사전문보기]

    2010-04-13

  • 中 이번엔 ‘야후’ 이메일 해킹

    [서울신문]세계 최대의 인터넷 검색 엔진 구글이 중국 정부당국의 인터넷 검열과 해킹에 반발, 중국 사업을 철수한데 이어 중국에 파견된 외신기자들의 '야후' 이메일이 해킹당했다.

    AP통신 등 외신에 따르면 중국에서 활동하고 있는 외신기자 3명과 분석가 한명은 최근 몇 주간 야후 이메일 계정에 접속할 수 없었다고 30일 밝혔다. 이들은 야후로부터 "당신의 메일 계정에서 문제점을 발견했다. 야후에 문의하라"는 내용의 안내 메일을 받았다고 말했다.

    이에 대해 야후의 한 기술자는 "기자 한명의 이메일 계정이 해킹당했지만 복구했다."면서 "다른 사람들의 경우도 이것과 연관돼 있는지는 명확하지 않다."고 밝혔다.

    야후 아시아 및 런던 관계자들은 관련 논평을 거부하고 캘리포니아 본사로 문의하라고 했다.

    한편 중국에서 홍콩으로 철수해 우회적으로 검색 서비스를 제공하고 있는 구글은 이날 최근 발생한 중국 내 검색서비스 장애가 중국 정부가 관리하는 인터넷 방화벽 때문이라고 밝혔다. 중국에서는 지난 23일 구글 차이나가 홍콩으로 철수한 이후 구글 검색 서비스가 차단되는 현상이 간헐적으로 발생해 왔다.

    구글은 이러한 검색 차단에 대해 기술적인 결함에서 그 원인을 찾았지만 이날 성명을 통해 중국 정부의 방화벽이 검색을 차단했다고 공식 발표했다.




    [기자전문보기]

    2010-04-01

  • 옥션 개인정보유출, 782만명 더 있었다

    옥션 개인정보유출, 782만명 더 있었다

    온라인 쇼핑몰 옥션은 경찰수사 결과 2008년 2월 발생한 개인정보유출사고 피해자가 1863만명으로 확인됐다고 25일 밝혔다. 기존 발표했던 1081만명보다 782만명 증가한 수치로 2008년 초 옥션 회원 전체의 개인정보가 유출된 것이다.

    사고 당시 경찰은 해커의 중간경유지에서 발견한 데이터 삭제 흔적을 복원한 결과 전체 유출건수를 1081만명으로 추정했고 옥션 측은 이를 발표했다.

    이후 경찰은 중국 해커의 소행에 무게를 두고 중국 공안과 공조수사를 벌여오다 최근 해커가 빼낸 데이터를 찾아낸 것으로 전해졌다. 이번에 확인된 데이터에는 기존과 동일하게 회원 이름과 주민번호 아이디 주소 등의 개인정보가 포함됐다.




    [기사전문보기]

    2010-03-25

  • 개인정보 오남용 피해예방 10계명

    제 1계명

    회원가입을 하거나 개인정보를 제공할 때에는 개인정보취급방침 및 약관을 꼼꼼히 살핍니다.

    ※ 개인정보취급방침이 없는 사이트는 가입하지 않는다.


    제 2계명

    회원가입 시 비밀번호를 타인이 유추하기 어렵도록 영문/숫자 및 특수문자를 조합하여 8자리 이상으로 설정합니다.


    제 3계명

    가급적 안전성이 높은 주민번호 대체수단(아이핀: i-PIN)으로 회원가입을 하고, 꼭 필요하지 않은 개인정보는 입력하지 않습니다.

    ※ 참고사이트 : http://www.1336.or.kr


    제 4계명

    자신이 가입한 사이트에 타인이 자신인 것처럼 로그인하기 어렵도록 비밀번호를 주기적으로 변경합니다.


    제 5계명 

     타인이 자신의 명의로 신규 회원가입 시 즉각 차단하고, 이를 통지받을 수 있도록 명의도용확인서비스를 이용합니다.

    ※ 크레딧뱅크(http://www.creditbank.co.kr)
        사이렌24(http://www.siren24.com)
        마이크레딧(http://www.mycredit.co.kr)


    제 6계명

    자신의 아이디와 비밀번호, 주민번호 등 개인정보가 공개되지 않도록 주의하여 관리하며 친구나 다른 사람에게 알려주지 않습니다.


    제 7계명

    인터넷에 올리는 데이터에 개인정보가 포함되지 않도록 하며, P2P 로 제공하는 자신의 공유폴더에 개인정보 파일이 저장되지 않도록 합니다.


    제 8계명

    금융거래 시 신용카드 번호와 같은 금융정보 등은 암호화하여 저장하고, PC 방 등 개방환경을 이용하지 않습니다.


    제 9계명

    인터넷에서 아무 자료나 함부로 다운로드 하지 않습니다.


    제10계명

    개인정보가 유출된 경우 해당 사이트 관리자에게 삭제를 요청하고, 처리되지 않는 경우 즉시 개인정보침해신고센터(1336, www.1336.or.kr)에 신고합니다.





    [기사전문보기]

     

    2010-03-19

  • 개인정보보호조치 의무불이행, 정보유출업체 최초 입건

    경찰, 3천만 개인정보 해킹 정보 판매 시도한 피의자 등 5명 검거

    서울지방경찰청 사이버범죄수사대는 지난 2009년 7월 1일부터 최근인 지난 2월 25일까지  중국 해커 등으로부터 구매한 인터넷 회원정보를 국내에 판매하거나 불법도박 스팸발송에 사용해 1천만원 상당의 부당이득을 취득한 김모씨(22세) 등 3명을 불구속 입건하고, 개인정보의 암호화 등 기술적 보호조치의무(2009.4.30)를 이행하지 않아 51만개의 인터넷 회원 정보를 누출한 모 인터넷거래 중개업체 등 2개업체, 2명을 불구속 입건했다고 16일 밝혔다.

    경찰은 판매업자 김모씨는 ‘44개 업체 약3,100만개의 개인정보를 판매한다’는 인터넷 광고 글을 게시하고, 중국 해커 등으로부터 구매한 15개 업체 1,000만개의 개인정보를 국내에 판매하거나 도박 스팸문자 발송에 사용했고, 구매자 이모씨(27세)는 다른 판매자 김모씨(38세)로부터 모통신사 고객정보 14만개를 300만원(개당 20원)에 구매해 인터넷 가입자 유치 전화영업에 불법 사용했다고 설명했다.

    특히 경찰은 모 인터넷거래 중개업체에 대해 개인정보 암호화 등 기술적 보호조치 의무를 이행하지 않아 51만명의 인터넷 회원 정보를 누출한 혐의를 최초 적용해 형사입건했다.

    사건의 특이점으로서는 중국사이트는 공격하지 않고 한국사이트만 공격한다는 중국 애국자를 자처하는 중국 해커의 소행, 중국 해커, 한국 유명백화점 등 인터넷 사이트의 고객 DB정보를 해킹해 보유하고 있다고 버젓이 중국 인터넷사이트에 공개해 보안에 취약한 영세쇼핑몰이나 불법 도박 등 사이트의 고객정보를 해킹해 인터넷을 통해 국내 공급해 온 것.

    또한 불법 도박 등 스팸문자발송 및 인터넷 가입 유치 텔레마케팅업자 등이 유출된 개인정보의 주된 수요처인 것으로 알려지고 있다.


    [기사전문보기]


     

    2010-03-19

  • 대명리조트도 해킹, 80만 건 개인정보 유출!

    2009년 4월 29일 이전 회원정보 유출가능성 높아!

    최근 경찰에서 발표한 25개 기업 2천여만 명의 개인정보 해킹과 관련해 대명리조트에 가입된 고객 중 80만 여만 건의 개인정보가 유출된 것으로 인천 경찰청 사이버수사대의 조사결과 확인됐다.

    유출된 정보는 비교적 최근인 2009년 4월 29일 이전의 회원 정보로 유출시점 당시의 개인정보로 이름과 주민등록번호, 아이디, 비밀번호, 연락처 등으로 알려지고 있다.

    유출된 사실이 확인되자 대명리조트 측은 시급히 개인정보 유출 파장에 따른 진화 조치에 나섰다. 우선 대명리조트 웹사이트에 개인정보 유출에 대한 공지 사항을 띄웠으며 회원들에게 패스워드와 같은 개인정보를 수정하도록 권고했다.




    [기사전문보기]


     

    2010-03-19