시만텍이 제안하는 개인정보 유출시 2차 피해 예방 방안

최근 기업을 겨냥한 사이버 표적공격이나 해킹, 시스템 오류 및 P2P 사이트 등을 통한 개인정보 유출이 크게 증가함에 따라 이렇게 유출된 개인정보가 신원도용, 금융사기 등의 범죄에 악용되어 2차 피해를 키우지 않을까 우려하는 목소리 또한 높아지고 있다.

개인정보 유출시 예상 2차 피햬 유형과 대응 방안

명의 도용

• 인터넷 회원가입 명의도용: 휴대폰 등 본인 확인 시는 불가능하나 성명, 주민번호만으로 가입 가능한 사이트는 가능
• 기존회원 자격도용: 성명, 주민번호 등으로 비밀번호 유추 시 회원자격 도용 가능
• 오프라인 서비스 명의도용: 성명, 주민번호, 주소 등으로 타인명의 금융계좌 개설, 통신 서비스가입, 게임 계정 생성 등

대응 방법

• 아이디 및 패스워드를 즉시 변경한다.
• 개인정보가 유출이 확인되었을 시 개인정보 유출 사실을 입증하는 자료와 함께 개인정보침해신고센터(www.cyberprivacy.or.kr)에 문의한다.

개인정보 불법유통 및 유포

• 개인정보 불법유통: 통신사 영업점, 스팸발송업자, 텔레마케팅 업자 등에 판매되어 이용
• 인터넷 유포: 금전탈취 목적 개인정보 탈취의 경우 유포 가능성 낮으나 개인원한, 명예훼손 목적의 정보 유포 가능성

대응 방법

• 개인정보가 유출이 확인되었을 시 개인정보 유출 사실을 입증하는 자료와 함께 개인정보침해신고센터(www.cyberprivacy.or.kr)에 문의한다.

스팸 및 피싱

• 스팸 및 광고: 갑자기 스팸메일 및 광고전화가 많아짐.
• 보이스피싱: 개인정보를 미리 숙지하고 의심하지 않도록 한 후 비밀번호를 요구하거나 자녀납치, 사고신고 등을 가장하여 급히 송금 유도

대응 방법

• 외부메일 사용을 자제하고 각 통신사의 광고전화 차단 서비스를 신청한다.
• 스팸메일은 한국인터넷진흥원(02-1336)으로 신고해 추가 피해를 막는다.
• 사법기관 및 은행에서는 절대 전화로 비밀번호나 송금을 요구하는 경우가 없으므로 바로 전화를 끊고 해당기관으로 확인한다.
• 협박 및 사고소식에는 당황하지 말고 가족과 주변에 알려서 사실 여부를 확인하고 사법기관에 신고한다.

신분증 위조 및 금융범죄

• 신분증 위조: 여권, 주민등록증, 운전면허증 등 위조에 악용.
• 금융범죄: 공인인증서, 보안 카드 등 추가인증을 거치므로 도용 어렵지만 악용 가능성이 있음.

대응 방법

• 공인인증서를 비롯, 은행 사이트 ID, 비밀번호를 변경한다.
• 카드 비밀번호도 복잡한 조합으로 변경한다.
• 금융정보를 요구하는 어떠한 메일이나 메신저에도 응하지 않는다.

기업 사용자 베스트 프랙티스

1. 특정 기술 또는 장애요소로부터 시스템을 보호하기 위해 복수의 방어 시스템을 중복적, 교차적으로 구현하는 심도 있는 보안 관행을 적용한다. 이는 클라이언트 시스템에 대해 정기적으로 업데이트된 안티바이러스, 방화벽, 침입탐지 및 침입 방지 시스템이 포함되어야 한다.
2. 불필요한 서비스를 비활성화하고 제거한다.
3. 하나 이상의 네트워크 서비스가 악성 코드나 위협에 공격받을 경우, 패치가 적용될 때까지 해당 서비스를 비활성화시키거나 접근을 막는다.
4. 항상 최신 패치를 적용 및 유지하고, 특히 HTTP, FTP, 메일, DNS 서비스 등 방화벽을 통해 접근 가능한 퍼블릭 서비스를 실행 중인 컴퓨터의 관리에 유의한다.
5. 감염된 모바일 사용자들을 네트워크에 접근하지 못하도록 하고 모든 네트워크에 들어오기 이전에 필요한 요건을 충족시킬 수 있도록 네트워크 컴플라이언스 솔루션 도입을 고려한다.
6. 패스워드 정책을 수립/시행한다.
7. 이메일 서버에서 바이러스 배포에 이용되는 첨부파일 유형(.VBS, .BAT, .EXE, .PIF, .SCR)을 차단 또는 제거한다.
8. 감염된 컴퓨터를 신속하게 격리하여, 추가적인 감염을 방지한다. 사후 분석을 수행하고 컴퓨터를 신뢰할 수 있는 미디어에 복구한다.
9. 직원들에게 첨부파일을 함부로 열지 말도록 교육한다. 또, 바이러스 스캔 작업을 거치기 전에는 인터넷으로부터 다운로드 한 소프트웨어를 열어 보지 않도록 주지시킨다.
10. 비상 대응 절차를 구현한다. 여기에는 외부 공격으로 인한 심각한 데이터 손실로부터 복구하기 위한 백업/복구 솔루션이 포함되어야 한다.
11. 보안 예산의 필요성에 대해 경영진 교육을 실행한다.
12. 보안 환경의 테스트를 통해 적절한 통제 환경이 구축되었는지 확인한다.
13. 파일 공유 프로그램, 무료 다운로드, 프리웨어/쉐어웨어 소프트웨어를 통해 컴퓨터에 자동적으로 설치될 수 있는 보안 리스크와 이메일 메시지의 첨부파일 링크 또는 인스턴트 메시징 클라이언트 등을 통해 노출될 수 있는 위험에 주의한다. 또한 기업 내부적으로 승인된 애플리케이션만을 데스크톱에 설치하도록 주의해야 한다.

개인 사용자 베스트 프랙티스

1. 안티바이러스, 방화벽, 침입 방지 및 취약점 관리 기능이 통합된 인터넷 보안 제품을 사용해 악성 코드나 다른 위협에 최상의 방어 상태를 유지하도록 한다.
2. 최신 보안 패치가 모든 취약 애플리케이션에 신속하게 설치될 수 있도록 한다.
3. 비밀번호는 글자와 숫자가 혼합된 형태로 설정하고, 유추가 가능하거나 사전에 있는 단어는 사용하지 않는다. 또한 비밀번호는 자주 변경하도록 한다.
4. 파일의 목적이나 보낸 사람이 불분명할 경우, 이메일 첨부파일은 절대 열어보거나 실행하지 않는다.
5. 바이러스 정의를 정기적으로 업데이트 한다. 이를 통해 사용자들은 활동이 보고된 최신 바이러스로부터 시스템을 안전하게 지킬 수 있다.
6. 개인 사용자들은 안티피싱 솔루션을 설치해야 한다. 요구하는 정보가 합법적인지의 여부가 파악되지 않으면 어떤 개인 정보나 금융 정보도 개방하지 말아야 한다.
7. 사용자들은 침입자를 추적 및 신고함으로써 사이버 범죄에 대응할 수 있다. 일례로 “시만텍 시큐리티 체크(영문 사이트: www.symantec.com/securitycheck)”의 추적 서비스를 사용해, 사용자들은 해커의 위치를 빠르게 추적하여 해당 정보를 공격자의 인터넷 서비스 공급자나 경찰에 신고할 수 있다.
8. 스파이웨어 및 애드웨어는 파일 공유 프로그램, 무료 다운로드, 프리웨어/쉐어웨어 소프트웨어를 통해, 또는 이메일 메시지의 첨부파일 링크를 클릭하는 경우, 또는 인스턴트 메시징 클라이언트 등을 통해 자동으로 시스템에 설치된다. 따라서 사용자들은 자신의 컴퓨터에 설치되는 프로그램에 대한 정보를 정확히 인지하고 선택적으로 설치할 수 있도록 해야 한다.
9. 최종 사용자 라이선스 계약(EULA)의 “네, 설치하겠습니다” 버튼을 무조건 클릭하지 않도록 한다. 몇몇 스파이웨어 및 애드웨어 애플리케이션은 사용자 동의 하에 설치되는 경우도 있다. 최종 사용자 라이선스 계약을 읽고 사용자 정보에 대한 조항을 확인하도록 한다. 이 계약은 제품의 기능에 대한 명확한 설명은 물론 제품 제거 기능도 제공하도록 되어있다.
10. 사용자 인터페이스에 광고를 집어넣은 프로그램들에 유의해야 한다. 많은 스파이웨어 프로그램들이 사용자들이 어떻게 이 광고들에 반응하는지를 추적한다. 인터페이스에 광고가 보일 경우, 이 프로그램은 스파이웨어일 가능성이 있다.

글 / IT동아 박민영(biareth@itdonga.com)