보안관닷컴 [우키의 보안 이야기]

▶ 누가  대형유통업체의 매출정보를 빼내갔나?
  롯데와 현대, 신세계, 갤러리아 등 대형 백화점과 이마트 등이 공정거래위원회로부터 총 13억7000만원의 과징금을 부과받았습니다.  거래하는 납품업체를 통해서 경쟁 유통업체의 매출 정보를 빼내는 등 불공정거래 행위를 해온것이 드러났기 때문입니다.     롯데백화점은 경쟁사 매출정보 부당 취득과 입점방해 행위로 7억2800만원의 과징금을, 현대백화점과 신세계백화점은 경쟁 백화점 매출정보 부당 취득 행위로 각각 3억2000만원의 과징금을 내게 됐다.

▶ 어떻게  매출정보를 빼내갔나?
  공정위가 전한 바에 따르면 롯데와 현대, 신세계는 납품업체로부터 계정과 패스워드를 얻어 경쟁 백화점의 전자상거래시스템 전산망에 침입, 하루 판매량과 팬매금액, 할인행사 실적 등 경쟁사의 각종 매출정보를 무단으로 빼냈다고 합니다.

▶ 각 기업에 주는 시사점은 무엇인가?
  1. 업체 관리감독의 강화
  유통업체가 아니라 하더라도 모든 산업분야에 이런 사례를 좋은 경계가 된다고 생각됩니다.  아웃소싱을 통해 좀더 효율적인 경영을 하고자 하는 기업들이 많기 때문에  협렵업체 또는 거래업체들에게 일정부분 기업의 정보와 네트워크를 오픈할수 밖에 없는 현실입니다. 이들 업체를 어떻게 관리감독할 것인가 하는것은 중요한 문제로 대두되었습니다.
    아래의 요소들이 필요할 것으로 보여집니다.
   - 업무상 취득한 정보를 다른곳에 유출하지 않도록 보안서약서를 쓰게 하는것
   - 관계 업체들에 대한 관리감독 책임을 명확하게  담당직원에 부여, 정기 감사를 받게 할 것
   - 관계 업체에 대한 보안교육 강화

  2. 보안 정책의 강화
  도급직원이나 협력업체 직원들에게 계정을 발급하고 일정 데이타에 대한 접근권한을 부여하게 되는데  이것이 잘 관리되어야 합니다.
    이를 위해선 아래의 요소들이 필요할 것 같습니다.
   - 계정관리의 정확성: 계정발급및 폐기절차가 보안요구수준에 부합해야함.  계정유효기간 제한/ 정기 비번변경
   - 권한관리의 적절성:  꼭 필요한 만큼의 최소한의 권한만 부여하는 것이 필요 (Least Privilege)
   - 어플리케이션단의 정확성:  제한된 인터페이스가 제공되어야 함 (Restricted Interface), 권한제어만으로는 부족함.

기사원문: http://www.boannews.com/media/view.asp?page=&gpage=&idx=11244&search=&find=&kind=13

  

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안뉴스 정보유출, 협력업체 관리

   지난 3월 21일  [강씨]가 운영하는 블로그에  LG텔레콤의 휴대전화 번호를 입력하면 주민등록번호, 서비스 가입일, 휴대폰 모델 등 3개 항목을 조회할 수 있는 페이지가 올려졌습니다.  (고객 이름과 주민번호 뒷자리는 별표처리하여  비노출)    KISA가 이를 경찰에 신고했다고 알려져있습니다.  

   사건발생을 인지한 LG텔레콤은 3월 24일과 25일, 두 차례에 걸쳐 해당 블로그및  CP 접속을 폐쇄시켰는데   가입자 주민등록번호가 조회됐을 수 있는 건은 최대 171건으로 예상된다고 합니다.   더욱 어처구니 없는 것은 애초에  [강씨]가 참조한 엠샵 이란 사이트에서는 휴대폰 번호만 입력하면 URL상에 LG텔레콤 가입고객 정보가 그대로 노출되고 있었다는 사실입니다. 그것도 주민등록번호 뒷번호가지 고스란히 조회가 가능했다고 합니다. 그리고   LG텔레콤은 이것을  5년간동안이나  몰랐다는 것이구요..

   보안 전문가들은 “이번 사건의 핵심은 LG텔레콤측이 CP업체인 엠샵에 고객정보를 그대로 노출되도록 연결시켜 놓은 부분과 서버 접근 관리자 계정을 누구나 볼 수 있는 URL상에 올려놓았다는 점에 대해 무한책임을 져야 한다”라고 이야기 하고 있는 상황입니다.

   이번 사건은 LG텔레콤의  허술한 고객정보 관리와 한 개인의 부족한 윤리의식에서 비롯된 것이라고 할수있을 것 같습니다.   물론  LG텔레콤이 고객정보를 허술하게 관리해 온 것이 가장 문제이죠...     아니라고 하지만 실제로는  고객확보차원에서  알면서도 모르는척 해온것은 아닌지 하는 생각이 드는것은 어찌된 일일까요.  지인의 말에 따르면   전화번호만 있으면 그 사람의 핸드폰 사용기종,생년,가족상황 등등을 모두 조회할수 있다고 합니다. (통신사 협력업체로 일한 한 친구에 들은 이야기라고 합니다.)  사실 LG텔레콤만의 문제가 아닐수도 있을지 모릅니다.    현재 LG텔레콤의 고객정보 노출사건에 대해 집단소송 준비가 진행되고 있다고 합니다.

LG텔레콤 정보유출 소송모임  http://cafe360.daum.net/_c21_/home?grpid=1Dj7p 

  부족한 윤리의식을 여기서 지적하고 싶습니다.   기업이든 개인이든  마땅이  지켜야할 도리가  있다고 생각됩니다.   [강씨]는 인터넷상에  LG텔레콤의 고객정보가 그대로 노출되고 있다는 것을 알고도 신고하기는 커녕  그 고객정보를 인터넷에서 조회할수있게 했습니다.  LG텔레콤 또한 고객들의 소중한 정보를 제대로 관리해야할 책임이 있으나 그렇게 하지않고  방조(?)한 책임이 있다고 할 수 있습니다.  

   [강씨]의 경우  LG텔레콤의 아웃소싱 업무도 한 경력이 있는 경력10년이 넘는 프로그래머였습니다.  [강씨]가 LG텔레콤의 고객정보 관리의 취약점을 바로 알려주었더라면 좋았을 것입니다.    IT 프로그래머들은 이런 류의 정보를 잘 다룰 수 있기때문에  또한  쉽게 악용할 가능성도 있습니다.  [강씨]가  이 정보로 상업적인 이득을 취했다거나 하지는 않았지만   경각심을 갖지 않고  인터넷에 재공개 함으로써  피의자로서  곤욕을 치르고 있는 상황입니다.  [강씨]는 억울함을 토로하고 있는 상황이지만  책임을 면하기는 힘들어 보입니다.

   IT기술을 배우기 이전에  먼저 IT 윤리를 배워야 할 듯  합니다.  이젠 학교의 윤리 시간의 한 과정으로  정보 윤리, 인터넷 윤리가 추가되어야 할 듯 합니다.   정보화시대을 사는 우리가  어떤 책임이 있는지, 어떤 결과를 초래하는지, 함께 사는 사회를 보호하고 유지하려면 어떤 윤리의식을 가져야 할지 어렸을 때부터 교육받아야 할 것 같습니다.   특히  IT 회사에 입사해서  프로그래머나 운영자 또는 기획자로 일하게 된다면  제일 먼저  IT윤리에 대해 교육받아야 할 듯합니다.   성과보다 중요한 것들이  사실 많다는 것을 잊어버리면 안될 듯 합니다.  경영자이든  개발자이든  일반 유저이든 윤리의식을 가지고  행동해야 할 것 같습니다.  고민할 문제가 아닌  당연히 지켜야할 의무요 사명이라고 생각하게끔  되어야 할 듯합니다.  

   그리고 기업들도 이젠 고객정보 관리에 책임감을 갖고  충분한 예산을 투자해서 고객에 대한 도리를 지켜야 한다고 생각합니다.  그것이 기업이  고객에게 지켜야할 윤리라고 생각되어 집니다. 최근 여러가지  정보유출에 대한 소송들이 진행되고 있습니다.  이번 기회를 통해 기업들의  고객정보에 대한 윤리의식이 제고되길 기대해봅니다.
  
  마지막으로  소송을 진행하고 있는 넥스트로 박진식 변호사의 말을 인용하며 글을 맺고자 합니다.  

   “고객의 정보를 노출된 상태로 5년간이나 방치했다는 것은 분명히 LG텔레콤이 법적인 책임을 져야 하는 상황입니다.  ....   법원은 정보를 유출될 수 있는 상황에 놓이게 한 자체만으로도 고객들에게 배상을 판결하고 있다. ....  이번 사건을 통해 대기업들이 얼마나 보안의식이 없고 가입자 유치에만 힘썼을 뿐 소중한 고객의 정보를 엄격하게 보호해야겠다는 의지가 전혀 없었다는 것을 알 수 있었다. ....  사회적 경종을 울리기 위해서라도 반드시 집단소송을 진행해 LG텔레콤이 잘못한 부분에 대해 법적 책임을 묻겠다”

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안교육 IT윤리, LG텔레콤, 윤리의식, 정보유출