고객정보유출: 1개의 글

GS칼텍스 고객정보 유출사건

Posted by Patchman
2010.02.15 18:34 Univ Study/IT 거버넌스

국내에서 발생한 IT관련 사건/사고 사례

 

   

 

 

 

GS칼텍스 고객정보 유출사건

 

 



 

◎ 사건의 개요

 

2008년 9월 서울 강남 유흥가에서 1천119만2천97명의 개인정보가 담긴 DVD 1장과 CD 1장(총 2장)이 버려진 채 발견 됐다.

버려진 CD 2장을 주운 한 회사원이 이 내용을 언론에 제보하면서 경찰이 수사에 착수 하게 되었는데, CD에는 'GS Caltex 고객정보'라는 이름의 폴더내에 76개의 엑셀파일로 총 1천119만2천97명의 성명, 주민번호, 집과 회사주소, 이메일이 수록돼 있었으며, 고객명단에는 사회 각계각층의 국내 주요인사들이 포함돼 있어 더욱 큰 충격을 주었다.

김형오 국회의장과 청와대 정동기 민정수석, 정진곤 교육과학문화수석, 원세훈 행정안전부 장관, 이상희 국방부 장관, 김회선 국가정보원 2차장, 어청수 경찰청장 등 정부 부처의 고위관계자의 정보도 고스란히 담겨져 있었다.

 

해킹 흔적이나 돈을 노린 협박, 피해 사례가 접수된 것이 없어, 검찰수사는 내부관리자 조사에 초점이 맞추어졌고, 결국 사건발생 이틀만에 GS칼텍스의 콜센터 운영을 담당하는 자회사 직원 A(28) 씨 등 4명이 고객정보유출의 범임으로 밝혀졌으며, CD를 주워 언론사에 제보한 것 역시 사건을 이슈화 시켜 금전적 이득을 취하려는 이들의 자작극으로 밝혀졌다.

이 사건은 피해 고객들의 집단 소승으로 이어졌으며 모두 4만985명이 소송에 참가했다. 이들이 요구한 배상 금액은 일인당 100만원 정도로 총 액수는 408억8000만원에 달했다.

 

 

 


◎ 사건의 규모

 

미국 ‘오픈 시큐리티 파운데이션(OPEN Security Foundation)’이 공개한 세계에서 가장 규모가 컸던 10대 개인정보 사건(2008년 11월) 순위에서, GS칼텍스 정보유출 사건이 지난 5월 약 1250만 명의 주민번호 등이 노출된 미국 뉴욕 멜론 은행, 아치브 시스템에 이어 8위인 것으로 나타났다.

또 1위부터 7위까지는 모두 미국과 유럽권 기업·기관으로 나타나 GS칼텍스 사건은 아시아권 기업에서 발생한 개인정보 유출 사건 중 가장 큰 규모인 것으로 나타났다.

이 순위는 OSF가 전세계 네티즌들로부터 관련 언론보도나 자료 등을 다양한 채널을 통해 신고받아 작성하는 것. 지난 4월 약 1081만 명의 고객 개인정보가 유출됐던 옥션의 사례는 포함되지 않았다.

 

 


◎ 국내 기업의 정보보안 인식과 실태

 

'2009 중소기업(SMB) 보안 및 스토리지 현황 조사' 결과에 따르면 중소기업의 절반 이상이 보안·데이터 백업 솔루션을 갖추지 않아 데이터 손실에 무방비인 것으로 나타났다.

국내 기업중 68%는 실제 보안 침해를 당한 경헙이 있다고 답했고, 회사 정보를 저장하는 휴대용 기기에 대한 보안과 USB 등 이동매체를 통한 기밀 데이터 유출을 최우선 보안 과제로 선정했다. 하지만 국내 중소기업의 42%는 데이터손실방지(DLP) 솔루션 등을 사용하고 있지 않았다. 52%는 노트북 및 데스크톱용 암호화 소프트웨어를 설치하지 않았으며, 32%는 인가되지 않은 사용자의 네트워크 접속을 허용하고 있는 것으로 조사됐다.

 

국내 보안 사고 주요 원인으로는 ▲시스템 다운이나 하드웨어 고장(76%) ▲내부 직원의 의도적인 행위(59%) ▲디바이스 분실(47%) ▲직장 내 불충분한 보안 절차 및 교육(47%) 순이었다.

반면 실제 데스크톱 백업 및 복구 솔루션을 도입한 기업은 53%에 불과했다. 45%는 주간 단위 이상으로 백업을 수행한다고 응답해 관심 이슈와 실행 사이에 차이가 있었다.

 

또한 月刊 NETWORK TIMES의 설문조사(2008년 9월호, 통권 181호)에서 보안담당자들은 가장 문제시되는 보안 위협 중 하나로 ‘사용자들의 보안 정책 미준수’(46명, 15.4%)를 꼽았으며, 이는 실제적 보안위협인 DoS/DDoS 공격(60명, 20.1%), 웹해킹(55명, 18.4%) 등에 이어 세 번째로 높은 응답일 뿐 아니라 전통적 보안 위협인 웜·바이러스(37명, 12.4%)를 뛰어넘는 것이다.

 

한편 기업뿐 아니라 대학에서 역시 정보보안에 관련된 관심이 증가하고 있는 것으로 나타났는데, 2009년 IT Daily에서 국내 17개 대학을 대상으로 조사 발표한 결과에 의하면 올해 대학들이 도입할 솔루션 우선순위는 보안(68.2%), 백업 및 재해복구(24.7%), 그룹웨어 및 지식관리(21.2%), ERP(17.6%), 기타(12.9%- 인터넷 회선 증설 등) 순이었다.

이는 지난해 잇따라 발생한 대형 보안사고(옥션, GS칼텍스 정보유출 사고)들로 인해 보안의 중요성이 높아지면서 대학들 역시 보안 사고의 사전 예방 차원에서 보안 강화에 대한 관심이 높은 것으로 나타났다.

 


◎ 사건 분석과 문제점 & 대처방안

이 사건은 내부정보유출 방지를 위한 솔루션 관리통제의 부재와, 정보보호 책임자 실무자에 관한 정보보호 교육, 고객의 신상정보와 같은 중요정보에 대한 접근 통제를 수립하고 철저하게 적용하지 못한 결과로 발생한 사례라고 할 수 있다. 경제활동 인구의 절반 가까운 1,100만 명이 넘는 사람들의 이름과 주민등록번호, 주소, 전화번호, 전자우편 주소 등 온갖 신상 정보가 담긴 불법 CD가 유포될 뻔한 아찔한 사고임에 틀림없는데, 한 달에 걸쳐 수차례나 DB에 접근해 정보를 내려 받는데 아무런 제지도 당하지 않았고, 이를 파악하지 못한 내부 통제상의 문제가 심각하다.

특히 주민등록번호는 변경할 수 없기 때문에 유출에 따른 피해가 평생 이어질 수 밖에 없다는 점에서 그 피해는 더욱 크다고 할 수 있다.

 

이 문제로 인해 우리는 기업내부의 정보보안에 관련된 인식과, 솔루션 등에 대해 재고해 보지 않을 수 없는데, 위 ‘국내 기업의 정보보안 인식과 실태’ 조사에서 보여지듯, 국내 보안사고의 주요원인 중 59%가 내부직원의 의도적인 행위로 나타났으며, KT 등 초고속인터넷 사업체, 옥션, 다음 그리고 GS칼텍스 등에서 발생했던 개인정보 유출 사례 등 2년간의 대량 개인정보 유출사례 5건을 살펴보면, 그 가운데 해킹에 의한 정보유출은 모두 2건으로 1081만7000명 분의 개인정보가 새어나갔고. 나머지 3건의 경우 내부유출에 의해 발생한 것으로 총 2420만명의 국민이 개인정보 유출에 따른 피해대상이 됐다.

 

이처럼 이제 국내기업에게는 해킹이나 바이러스에 의한 악성코드 감염의 문제 뿐 아니라 보안 감사(Audit), 포렌직(forensic)의 중요성 인식하고 적용해야 하며, 이에 관련하여 내부정보 유출 방지를 위한 몇 가지 기술과 대처방안을 소개한다.

 

● 내부 정보 흐름을 추적하는 DLP(Data Loss Prevention) 솔루션

● 모든 보안 이벤트를 종합 분석하고, 원본 로그를 별도 저장해 법적 이슈에 대비하는

SIEM(Security Information & Event Management) 솔루션

● 허가 받지 않은 사용자의 DB 접근을 제한하고 내부자 등에 의해 DB가 유출됐다 하더라도

유출된 DB를 활용하지 못하도록 접근제어, 암호화, 감사 기능 등을 수행하는 DB보안 솔 루션

● 일회용 비밀번호인 OTP(One Time Password) 서비스




◎ 참고문헌

 

● 『소비자가만드는신문』 “GS칼텍스, '개인정보 유출' 조사 진행 ”

경제 투데이 “GS칼텍스, 사상최대 1100만명 개인정보 유출 '의혹' ”

이 데일리 “GS칼텍스, 1100만명 고객정보 유출됐나“

이뉴스투데이 “GS칼텍스 "고객 60~70% 정보 유출 맞다"

한국재경신문 “GS칼텍스 고객정보 유출은 ‘허술한 보안규정 탓”

www.datalossdb.com

IT Daily www.itdaily.kr

시만텍 코리아 www.symantec.co.kr

月刊 NETWORK TIMES

● 황경태『정보시스템 통제.감사』(삼영사)

'Univ Study > IT 거버넌스' 카테고리의 다른 글

ITA와 정보시스템 감리  (2) 2010.02.15
IS Auditing Guidline  (0) 2010.02.15
GS칼텍스 고객정보 유출사건  (0) 2010.02.15