국가공인 정보보호전문가 자격증 모임  스텝으로 활동하고 있는 엄님의 소스제공으로 SBS에서 방송한 SBS "뉴스추적 -2천만 한국인을 노리는 중국발 사이버테러" 라는 프로그램이 방영이 되었습니다.

사용자 삽입 이미지

정말 이제는 "테러"라는 표현도 맞는 것 같습니다.. 우리나라 2천만명의 개인정보가 털리도록 정부는 무엇을 했는지...참 ..한심스럽습니다.

개인정보보호법 그렇게 만들어야 된다고 이야기 해도 나랏님들 정신 못차리다가 이제 와서 아이핀(i-pin)제도를 의무화 하겠다는 방안과 올해 안으로 개인정보보호법을 제정하겠다는 것을 참 어이가 없습니다.

올해 할꺼 왜 진작 하지 못했을까?  모든 걸 잃어 버리고 하면 무얼 하나 하는 느낌도 들었습니다...

안철수 의장이 귀국 기자회견에서도 밝혔지만

"옥션 해킹 사건은 이미 예견이 되었던 것이다. 미국은 IT 정보의 10%를 보안에 투자 하는데 한국은 1%이다.."  -안철수 의장

"필요한 관리비용을 쓰지 않으니 누구나 예견 할수 있는 일이었다. - 안철수 의장

이런 의미에서 SBS 에서 방영한 뉴스추적 프로그램을 보면 조금 더 얼마나 안전 불감증에 있고 보안의식을 일깨워야 하는지를 알수 있다.

보안에 대한 대책은 무엇보다 담당PD가 프로그램을 만들기 위해 취재 하고난 취재 후기가 엑시스가 될것입니다.  가슴에 와 닿는 내용이 많으니 참고 하시기 바랍니다.

뉴스추척 취재 후기

부디 여러사람들 개인정보 유출되었다고 2-3원내고 소송 참여보다 보안 의식을 깨어 보안에 투자하라..특히 윗에 계신 나랏님들 이제 보안투자 좀 하게끔 정책 수립 좀 하시죠?

Posted by 엔시스

최근에 취약성 발표와 개인정보유츌, 산업기술 유출등으로 많은 이슈가 되고 있는 가운데 취약성을 찾아서 공개하는 사람이 어떻게 하는지 방법을 몰라 불특정 다수인에게 경각심을 알리고자 자신의 블로그나 홈페이지에 올렸다가 오히려 전과자가 될 처지에 있어 안타까움을 금할길이 없다. 조금 더 능동적으로 대처 할수 있는 방법이 있는지 살펴 보고자 한다.  -엔시스  sis@sis.pe.kr


우연히 접하게 된 포스팅 중에서 개인정보보호와 관련된 사항이라서 유심히 살펴 보았다. 그런데 한가지 안타까운 점이 발견이 되었다. 우선 자세한 사항은 아래 포스팅을 참고 하기 바란다.
http://fguy.tistory.com/entry/LG-텔레콤-개인-정보-유출-건 에 대한 반박을 자신의 블로그에다 올려 놓았다.

간단하게 살펴보면 아래 박스 내용과 같이 요약할수 있다.

취약점 발견자는 우연히 모 통신사 개인정보가 유출되는 취약성을 알게 되었고 지인의 휴대폰 번호를 이용하여 검색한 결과 개인정보가 유출되는 것을 알았다. 그런 가운데 여러사람에게 경각심을 알리려고 스스로 html 웹페이지를 만들어 간단하게 정보를 조회 할수 있는 페이지를 만들었다.  그런데 이 사실을 먼저 알게 된 모 이통사에서 경찰에 신고하는 바람에 당사자는 피의자 신분이 될 처지에 놓였다.

참 안타까운 일이 아닐수 없다. 필자는 이 사건을 보고 지난번 모 대학교 연구실 교수팀이 각종 포털,공공기관 ,금융기관 아이디 패스워드 취약점을 발표 했다가 큰 사회적 이슈가 된 적이 있었다. 아마 취약점 발표 연구실에서는 많은 이목이 집중 되었음에는 분명 할 것이다. 공개하고도 정신적 부담이 있지 않았을까?

그럼 원초적으로 누구의 잘못인가?
사용자 삽입 이미지


지금 최대 이슈가 되고 있는 개인정보보호는 모 이통사가 우선 책임을 면할 길이 없다. 원인 제공을 한 곳이기 때문이다.  왜냐하면 누군가는 이미 그 상황을 충분히 이용하고 유출이 되고 있었을지도 모른다 . 단지 널리 퍼뜨리거나 알리지 않고 알고만 있었을 수도 있다. 그런 차원에서 원인 제공자는 책임을 져야 한다.


왜 위 포스팅이  안타까운가?

누군가 이런 취약점을 발견하면 우선 그렇게 유출된다는 것에 대하여 경악을 금치 못하고 최대한 이슈가 되고 있기 때문에 경각심을 알리고 싶어 할 것이다. 그런데 위 사건을 보면 안타까운 점이 몇가지 발견이 된다.  우선 댓글에도 달려 있지만 추측컨데 위 사람은 취약점 공개로 인하여 광고를 목적으로 하지 않았나 하는 의혹이 든다. 해당 광고 문구는 html 에서 해당 소스를 붙여 넣어야만 동작이 되기 때문이다.  그런데 잠시 다른 곳에 신경을 쓰고 있다가 보니 일이 이렇게 커질줄 몰랐던 것이다. 특히 이통사를 상대로 하는 것이였다면 더욱 신중 했었어야 했다.

그럼 보고도 잠자코 있어야 하나?

참 이런 문제에 대해서는 trade-off 한 문제이다. 공개하고도 오히려 더 귀찮아 지고 공개한 사람을 더 피곤하게 한다는 이유로 꺼려 한다는 것이다. 그래서 일부는 외국 싸이트에 취약점을 공개하곤 한다.  그렇다고 국내 손에 꼽히는 이통사 싸이트가 개인정보 유출을 하고 있는데 가만히 보고 있을수도 없는 노릇이다.  그럼 어떻게 해야 했는가?

1. 해당 업체에 알려야 한다.
해당 업체에 연락을 해서 이러한 취약성이 있으니 수정 할 것을 권고 한다.  하지만 대부분 담당자들은 알려준 사람들을 이상한 시각으로 보거나 귀찮아 한다. 만약 , 그것이 받아들일 자세가 되었다면 그 담당자에게는 박수를 보내고 싶다.

2. 정보보호관련 기관에 알린다.
정보보호 해당 관련 기관에 위와 같은 사실을 알려서 더 이상 피해가 생기지 않도록 하여하 한다. 그리고 해당 기관은 신고자에게 보상까지는 아니더라도 알려준 사람에게 피해가 가서는 안될 것이다.  괜한 피해가 간다면 어느누구도 신고하지 않을 것이다. 그것은 국내 정보보호의 질적 수준을 떨어뜨리는 지름길이다. 이와는 반대로 외국에서는 취약성을 정부에서 구매 하는 경우도 있다고 한다.


마무리
전후 사정이야 어떻게 되었는지 자세히 모르겠지만 최초 개인정보 유출에 대한 책임은 원인 제공을 한 이통사에 있음에도 불구하고 공개한 사람의 방법상의 착오로 인하여 오히려 관련법 위반으로 자신을 반박하는 모습에 씁쓸한 생각이 들었다. 그리고 한가지 덧붙인다면 경찰에서도 개인이라고 무조건 몰아 붙이지 말고 전문가가 시시비비를 잘 가려 정상 참작을 잘 하여 한 사람의 인생을 전과자로 만들지 말았으면 한다. 참작할 건 하고,  잘못한 건 잘못 한것대로 가렸으면 하는 바램이다.





Posted by 엔시스