주식회사 누리아이티

정보자산의 보안강화를 위한 다계층 인증SW (BaroPAM) 전문기업.

▶ BaroSolution/기술문서

망분리된 공공기관서 잇달아 개인정보 유출 사고 발생...망분리도 무용지물

누리아이티 2024. 6. 1. 06:52

 

"망분리" 했다고 해커들을 침투를 100% 막을 수 없다는 걸 인정해야만 하는 때가 도래했다. 이 시대에는 피해를 줄이는 게 보안의 가장 큰 임무였다.
 
이게 어디까지 갔냐면, "사이버 공격자들이 이미 네트워크에 들어와 있는 걸 상정하고 보안 전략을 마련해야 한다"가 보안의 명제가 됐다.

 

[데이터넷] 5월 한달간 보안사고는 끊이지 않았다.

매일이 사고의 연속으로, ‘역대급’, ‘최대규모’라는 수식어가 붙는 사고가 연이어 일어났다.

망분리도 무용지물 ··· 공공기관 개인정보 비상

법원이 2021년부터 2023년까지 2년간 해킹을 당해 1TB 이상 개인정보가 유출된 것으로 확인되면서 공공기관의 개인정보 보호에 비상이 걸렸다.

이 사고에서 주목해야 할 점이 몇 가지 있는데, 그 중 하나가 망분리의 맹점이다.

2년동안 1TB 분량이면, 1초에 17KB씩 빠져나갔다.

즉 망분리를 해도 소량의 정보가 장기간 유출되는 것은 막지 못하며, 망분리 돼 있기 때문에 안전하다는 믿음은 버려야 한다는 것을 단적으로 보여준다.

 

법원 해킹 개요/ 경찰청 국가수사본부

 

망분리된 공공기관에서 쉴새없이 보안사고가 일어난다.

5월 한달만해도 경기도평택교육지원청 500여명 지방공무원 개인정보 유출, 교육부 1만명 개인정보 유출, 국가유산청 2000명 개인정보 유출 등의 사고가 일어났다.

공공기관의 개인정보 유출 사고에 대한 처벌은 민간에 비해 매우 낮은 편이며, 공공기관은 CISO 의무 대상도 아니어서 개인정보 보호와 보안에 대한 대책이 부족하다는 지적이 이어지고 있다.

또한, 탈취한 크리덴셜 이용 시 공격 시간·비용을 80% 줄일 수 있으며, 이에 대한 대안은 모든 정보자산에 보안강화를 위하여 2차 인증 적용하는 것이 시급하다.

우리가 잘 알고 있는 망분리, 서버 접근제어 솔루션으로 보안이 강화된다는 것은 어불성설이며, 지금은 보안에 대한 인식의 대전환이 필요하다.

정보자산의 보안강화를 위해서는 무엇보다도 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안인 일회용 인증키는 본인이 소유하고 있는 일회용 인증키 생성매체를 사용해서 본인이 직접 일회용 인증키를 생성하여 본인이 직접 접근하고자 하는 정보자산에 입력 및 검증해야 그나마 보안 사고를 예방할 수 있는 최선책이다.

 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.

 

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.