꼰머의 보안공부

지난달 14일, 22일에 한국인터넷진흥원 침해센터에 문의한 내용에대한 답변을 받았다. 결론부터 말하면 해당 사안의 경우 개인정보호법 제29조 안전조치의무를 위반하는 행위에 속한다는 것이다. 처음 문의를 할 때, 문의 내용과 관련된 사례를 찾아보았고, 이미 문의 내용이 개인정보보호법을 위반한 것이라고 생각했다.

개인정보보호법에서는 제29조 안전조치의무 위반에 대한 벌금과 과태료를 규정하고 있다.

제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자

제75조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
6. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

개인정보보호법에서는 법 위반에 따른 제재 또는 처벌로 벌금, 과징금, 과태료를 규정하고 있으며, 각각의 특징을 정리하면 다음과 같다. 벌금의 경우 전과기록이 남고, 과태료와 과징금의 경우 의무위반에 따른 금전적인 벌이기 때문에, 처벌의 무게는 벌금 > 과태료 = 과징금인것 같다.

① 벌금

- 과태료, 과징금에 비해 가장 강력한 재산형

- 법을 어긴 경우 적용되는 형벌이며, 형벌 중 금전적인 벌에 해당

- 형사처분이므로 벌금형을 받을 경우 전과기록이 남음

② 과태료

- 행정법상 의무위반에 대한 제재로 부과되는 금전적인 벌

- 이익 여부와 상관없이 행정상 질서를 유지하기 위해 내리는 징계

- 행정처분이므로 전과기록이 남지 않음

③ 과징금

- 행정법상 의무위반에 대한 제재로 부과되는 금전적인 벌

- 주로 불법으로 얻은 경제적 이익을 환수하기 위해 처분

- 행정 제재와 부당 이득 환수라는 두 가지 성격을 가짐

만약 해당 사안을 개인정보 유출로 신고한다면 어떠한 제재나 처벌을 받을지 고민해 보았다. 구체적으로 "A를 위반하면 B에 처한다"로 규정하지 않고 여러 조항에 걸쳐 "A를 위반하면 B, C에 처한다" 처럼 규정하고 있다. 따라서, 위반행위의 종류, 내용, 경위, 지속기간, 빈도, 주체, 피해자, 해당 기관의 개인정보 보호 관리체계 및 조치 등을 종합적으로 고려하여 경중을 따져 벌금, 과태료, 과징금 중에서 가장 합당한 처벌을 부과하는 것 같다고 생각한다.

23.04.14 한국인터넷진흥원 침해센터에 이메일 내 개인정보(본인을 제외한 다른 사용자 29명의 이메일 주소)와 관련한 유출 문의에대한 답변이 왔다. 답변을 다음과 같이 요약할 수 있었다.

① 개인정보의 유출이란 『표준 개인정보 보호지침』 제25조에 의거, 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 권한이 없는 자에게 개인정보가 전달되는 것을 말함. 즉 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것

② 본 사안과 같이 정보주체의 정보에 대하여 권한이 없는 자에게 전달되었거나 접근을 허용하였다면 위 내용에 따라 개인정보 유출로 볼 소지가 있음

③ 관련하여 『개인정보 보호법』 제29조 및 동법 시행령 제30조에서는 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하도록 규정

④ 피신고업체가 상기 법률에 따른 안전성 확보에 필요한 조치의무를 하지 아니하였다면 동법 제75조제2항 제6호에 따라 법 위반의 소지가 있음

해당 기관의 홈페이지 개인정보 처리방침을 확인해보니 "개인정보의 안전성 확보조치에 관한 사항"이 있었고, 내용은 개인정보 취급 직원의 최소화 및 교육, 비인가자에 대한 출입 통제 등이 있었다. 이에 따라, 기존 문의 사항이 개인정보 유출에 해당하는지 검토를 요청하였다.

그리고, 공부하면서 혼동이 생겼던 부분에 대해서도 문의를 진행하였다.

개인정보보호법과 CPPG 공부를 시작하면서, 관련 웹 사이트 및 법령, 그리고 관련된 뉴스 등을 찾아보고 있다. 평소에 블로그 글을 게시하면서 혹은 게시하기 위해 보안뉴스를 매일 읽어본다.

최근 읽었던 보안뉴스 중 KISA는 ‘2023년 1분기 AI 스피커 보안 취약점 집중신고포상제’ 시행 과정에서 이메일 동보 발송으로 인해 이메일 주소 1,509건의 개인정보 유출이 있었다.

그리고, 오늘 개인정보보호법 중 '개인정보 유출통지 및 신고' 관련 내용을 학습하다가 이메일 관련 FAQ를 볼 수 있었다.

그 내용은 "공문 발송 시 수신자 각자의 개인정보가 포함되는데 이 경우도 개인정보 유출에 해당하는지"이며, 관련 답변은 "수신자별로 공문 발송이 이루어져야 하며, 단체 메일 발송 시 수신자의 메일 주소가 공개된 경우 개인정보보호법 상의 개인정보 유출에 해당한다"이다.

관련하여 혹시 수신한 메일 중에 해당 사항이 있는지 확인해 보았다. 과거에 한 기관에서 모집 안내 관련 메일을 수신한 적이 있는데 수신자에 본인을 제외한 타 사용자의 메일 주소가 포함되어 있었다.

앞서 확인한 뉴스와 FAQ 내용을 토대로 해당 메일이 개인정보 유출에 해당하는지 KISA 개인정보 침해센터에 문의를 하였다.

정보보안기사나 네트워크, 데이터베이스 등을 공부할 때 명령을 입력해 보고, 테이블을 직접 만들어 보면서 공부를 했는데 글로 보는 것보다 훨씬 이해하기 쉬웠고, 기억에도 오래 남는 것 같다. 개인정보보호법과 CPPG는 법이라는 특성상 단어나 내용이 이해가 되지 않아 어려운 점이 많다. 그러다 보니 흥미도 또한 상대적으로 떨어지게 되는 것 같다. 이번 이메일 사례처럼 혹시나 본인과 관련된 사항은 없는지 또는 관련된 사례나 결과가 어떻게 되었는지 등을 확인해 보면 이해도나 기억력 부문에서 앞선 경험처럼 오래 남을 것 같다.

마지막으로 현재는 패치가 완료된 상태이나 Log4j 취약점 대응방안을 정리한다.

1. KISA

주요 골자는 최신 버전 업데이트 적용이며 업데이트가 불가능할 경우 JndiLookup 클래스를 제거한다.

2. 취약점 점검

먼저 현재 사용중인 Log4j의 버전을 확인하여, 취약점이 존재하는 버전일 경우 최신 버전으로의 업데이트를 적용한다.

로그프로세소 등의 기업이 취약점 대응을 위한 스캐너를 배포하였으며, 해당 스캐너 등을 사용한다.

Log4j 버전 확인 방법

1. pom.xml 파일을 열고 "Log4j-core"로 검색해 설치된 버전 정보를 확인 가능하다.

2. 리눅스의 경우 find / -name | grep 'log4j' 명령을 수행하여 파일명 "log4j-core-버전명.jar"를 확인한다.

해당 취약점 점검 도구 중 https://log4shell.huntress.com/를 이용하면 보다 편리하게 점검할 수 있다. 해당 사이트에서 LDAP 서버를 구축해 수행하는 쿼리도 제공 한다. 하지만 해당 사이트에 대한 정당한 보안성 검토가 필요하다.

3. 보안 장비에서 탐지

공격자들이 해당 취약점을 이용하기 위해 일정한 패턴(%{jndi:ldap 등)을 사용하는데, 

해당 패턴들을 보안 장비에 등록하여 공격 시도를 탐지 및 차단할 수 있도록 한다.

위 사진을 통해 공격이 발생하지 않도록 할 수 있는 상황은 다음과 같다(이중 하나라도 차단이 되면 공격 불가).

1) WAF를 통해 패턴 차단

2) Log4j를 사용하지 않는 경우

3) Log4j 취약점이 패치된 최신 버전을 사용중인 경우

4) JNDI LookUp을 사용하지 않는 경우

5) Log4j를 사용하나 로그 기록 형태를 공격자가 알 수 없는 형태로 기록하는 경우

6) 공격자의 LDAP 서버와의 통신이 불가한 경우 (IP, Port 차단 또는 도메인 차단 등)