2019.08.07

강은성의 보안 아키텍트 | 무결성과 접속기록 위·변조 방지

강은성 | CIO KR
전통적으로 디지털 데이터의 전송과 저장에서 무결성을 검사하기 위해 패리티 비트나 체크섬을 사용했다. 보안에서는 더욱 강력한 방법으로 메시지 인증코드(MAC)나 암호학적 해쉬를 이용한다. 내가 읽으려고 하거나 받은 데이터가 위·변조되었는지 검증하는 방법이다. 모바일 앱의 위·변조 여부를 검사하는 것 역시 무결성의 영역이다. 

일반적으로 정보보안에서 위·변조 방지는 접근 통제와 인증, 권한 관리를 통해 구현된다. 이러한 보호 대책은 계정정보의 도용, 권한 상승 등 보안 공격을 통해 무력화되기도 한다. 무결성 검증을 이용해 위·변조 여부를 탐지하고, 데이터의 재수신 또는 백업해 놓은 데이터의 복구 등을 통해 원본을 복원함으로써 결과적으로 위·변조 방지를 구현할 수도 있다.

개인정보 보호 법규에도 위·변조 방지에 관한 내용이 있다. 

제5조(접속기록의 위·변조방지)
③ 정보통신서비스 제공자 등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.
(‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시, 2015.5.19))

이 조항의 취지는 해킹 등으로 개인정보 사고가 발생했을 때 이를 분석, 대응하기 위한 증거를 확보하는 것이다. 증거가 있어야 범인의 행위, 경로, 피해 규모 등의 분석과 범인 추적이 가능한데, 범인이 자신의 범죄 행위가 기록된 로그를 삭제하고 도망가는 경우가 많기 때문이다. 실세계로 치면 범죄자가 자신이 찍힌 CCTV 영상을 지운다는 얘기다. 해킹 사건 분석을 담당하는 보안전문가들의 주요 애로사항 중 하나이다.

 「개인정보의 기술적·관리적 보호조치 기준 해설서」에서는 제5조 제3항의 구현을 위한 구체적인 방법으로 다음 몇 가지를 예로 들고 있다. 

● 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록이 위‧변조되지 않도록 다음과 같은 보호조치 등을 취하여야 한다.

  (1) 정기적으로 접속기록 백업을 수행하여 개인정보처리시스템 이외의 별도의 물리적인 저장장치에 보관
  (2) 접속기록을 수정 가능한 매체(하드디스크, 자기 테이프 등)에 백업할 때에는 위·변조 여부를 확인할 수 있는 정보를 별도의 장비에 보관·관리
  (3) 다양한 접속기록 위‧변조 방지 기술의 적용 등 
(방송통신위원회, 한국인터넷진흥원, 「개인정보의 기술적·관리적 보호조치 기준 해설서」, 2017.12)

하지만 정기적 백업 방법을 명시한 방법 (1)이나 위·변조 탐지 방법을 규정한 방법 (2)는 접속기록의 위‧변조 방지를 요구한 고시의 내용이나 취지에 부합하지 않는다. 대부분의 기업 보안 담당자들은 고시의 의무사항을 해설서에 설명한 대로 구현하는데, 어찌 보면 고시 해설서에서 고시의 내용과 취지에 부합하지 않는 방법을 알려 준 셈이 되었다. 짧은 고시 조문에서 기술하지 못한 여러 가지 강력한 보호조치를 상세하게 서술하는 다른 조문에 대한 해설과는 결이 좀 다르다. 고시의 취지와 내용을 충족하는 것은 해설서에서도 명시했듯이 방법 (3)이다. 행정안전부가 펴낸 「개인정보의 안전성 확보조치 기준 해설서」(2019.6)에서는 ‘덮어쓰기 방지 매체’의 예로 CD-ROM과 DVD-R, WORM을 들었다. 

필자를 포함해 보안업계에서 오래 종사한 사람들 중에는 WORM을 악성 프로그램의 일종 정도로 알고 있고, 저장매체라고 해도 CD-ROM이나 DVD-R을 포함하는 분류 용어 정도로 이해하는 분들이 많을 것이다. 보안솔루션이 아니기 때문이다. WORM(Write Once Read Many)은 정확하게 표현하면 WORM 스토리지이다. 하드디스크나 SSD 기반의 대용량 스토리지 시스템이면서, 보존 기간 동안 어떤 권한으로도 삭제나 수정, 덮어쓰기를 방지하기 때문에 위·변조 방지의 법적 요건을 갖추면서 보존 기간이 지난 뒤에는 해당 영역을 재사용할 수 있다. 실시간 처리가 가능하다는 점에서 CD-ROM이나 DVD-R과는 사용성이 크게 다르다. 악성 프로그램 대응 방법 이외의 뾰족한 대책을 찾지 못했던 랜섬웨어에 대한 실질적인 대책도 될 수 있다. 찾아보니 WORM 스토리지 솔루션을 제공하는 국내외 업체가 꽤 있고, 클라우드 WORM 서비스도 여러 곳에서 제공하고 있었다. 
 
사실 ‘개인정보의 기술적·관리적 보호조치 기준’ 제5조(접속기록의 위·변조 방지)와 이와 거의 같은 내용의 ‘개인정보의 안전성 확보조치 기준’ 제8조(접속기록의 보관 및 점검)는 사업자에게 전형적인 컴플라이언스용 조항이 되었다. 대책의 실효성이 떨어진다고 생각하니 규제 준수용 증적 확보에 집중하기 때문이다. “개인정보 유출 사고의 분석을 위한 범죄 증거(접속기록)의 확보”라는 이 조항의 취지가 실제로 구현되게 하려면, 방송통신위원회와 행정안전부의 고시 해설서의 해당 부분은 개정되어야 하리라 생각된다. 사정상 해설서의 방법 (1), (2)가 필요하다 하더라도 보유한 개인정보의 수와 사업의 규모가 작은 사업자(행정안전부 고시의 개인정보처리자 분류의 유형 1 정도)에게 예외적으로 허용하는 것이 적절할 것이다.

* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr

 



2019.08.07

강은성의 보안 아키텍트 | 무결성과 접속기록 위·변조 방지

강은성 | CIO KR
전통적으로 디지털 데이터의 전송과 저장에서 무결성을 검사하기 위해 패리티 비트나 체크섬을 사용했다. 보안에서는 더욱 강력한 방법으로 메시지 인증코드(MAC)나 암호학적 해쉬를 이용한다. 내가 읽으려고 하거나 받은 데이터가 위·변조되었는지 검증하는 방법이다. 모바일 앱의 위·변조 여부를 검사하는 것 역시 무결성의 영역이다. 

일반적으로 정보보안에서 위·변조 방지는 접근 통제와 인증, 권한 관리를 통해 구현된다. 이러한 보호 대책은 계정정보의 도용, 권한 상승 등 보안 공격을 통해 무력화되기도 한다. 무결성 검증을 이용해 위·변조 여부를 탐지하고, 데이터의 재수신 또는 백업해 놓은 데이터의 복구 등을 통해 원본을 복원함으로써 결과적으로 위·변조 방지를 구현할 수도 있다.

개인정보 보호 법규에도 위·변조 방지에 관한 내용이 있다. 

제5조(접속기록의 위·변조방지)
③ 정보통신서비스 제공자 등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.
(‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시, 2015.5.19))

이 조항의 취지는 해킹 등으로 개인정보 사고가 발생했을 때 이를 분석, 대응하기 위한 증거를 확보하는 것이다. 증거가 있어야 범인의 행위, 경로, 피해 규모 등의 분석과 범인 추적이 가능한데, 범인이 자신의 범죄 행위가 기록된 로그를 삭제하고 도망가는 경우가 많기 때문이다. 실세계로 치면 범죄자가 자신이 찍힌 CCTV 영상을 지운다는 얘기다. 해킹 사건 분석을 담당하는 보안전문가들의 주요 애로사항 중 하나이다.

 「개인정보의 기술적·관리적 보호조치 기준 해설서」에서는 제5조 제3항의 구현을 위한 구체적인 방법으로 다음 몇 가지를 예로 들고 있다. 

● 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록이 위‧변조되지 않도록 다음과 같은 보호조치 등을 취하여야 한다.

  (1) 정기적으로 접속기록 백업을 수행하여 개인정보처리시스템 이외의 별도의 물리적인 저장장치에 보관
  (2) 접속기록을 수정 가능한 매체(하드디스크, 자기 테이프 등)에 백업할 때에는 위·변조 여부를 확인할 수 있는 정보를 별도의 장비에 보관·관리
  (3) 다양한 접속기록 위‧변조 방지 기술의 적용 등 
(방송통신위원회, 한국인터넷진흥원, 「개인정보의 기술적·관리적 보호조치 기준 해설서」, 2017.12)

하지만 정기적 백업 방법을 명시한 방법 (1)이나 위·변조 탐지 방법을 규정한 방법 (2)는 접속기록의 위‧변조 방지를 요구한 고시의 내용이나 취지에 부합하지 않는다. 대부분의 기업 보안 담당자들은 고시의 의무사항을 해설서에 설명한 대로 구현하는데, 어찌 보면 고시 해설서에서 고시의 내용과 취지에 부합하지 않는 방법을 알려 준 셈이 되었다. 짧은 고시 조문에서 기술하지 못한 여러 가지 강력한 보호조치를 상세하게 서술하는 다른 조문에 대한 해설과는 결이 좀 다르다. 고시의 취지와 내용을 충족하는 것은 해설서에서도 명시했듯이 방법 (3)이다. 행정안전부가 펴낸 「개인정보의 안전성 확보조치 기준 해설서」(2019.6)에서는 ‘덮어쓰기 방지 매체’의 예로 CD-ROM과 DVD-R, WORM을 들었다. 

필자를 포함해 보안업계에서 오래 종사한 사람들 중에는 WORM을 악성 프로그램의 일종 정도로 알고 있고, 저장매체라고 해도 CD-ROM이나 DVD-R을 포함하는 분류 용어 정도로 이해하는 분들이 많을 것이다. 보안솔루션이 아니기 때문이다. WORM(Write Once Read Many)은 정확하게 표현하면 WORM 스토리지이다. 하드디스크나 SSD 기반의 대용량 스토리지 시스템이면서, 보존 기간 동안 어떤 권한으로도 삭제나 수정, 덮어쓰기를 방지하기 때문에 위·변조 방지의 법적 요건을 갖추면서 보존 기간이 지난 뒤에는 해당 영역을 재사용할 수 있다. 실시간 처리가 가능하다는 점에서 CD-ROM이나 DVD-R과는 사용성이 크게 다르다. 악성 프로그램 대응 방법 이외의 뾰족한 대책을 찾지 못했던 랜섬웨어에 대한 실질적인 대책도 될 수 있다. 찾아보니 WORM 스토리지 솔루션을 제공하는 국내외 업체가 꽤 있고, 클라우드 WORM 서비스도 여러 곳에서 제공하고 있었다. 
 
사실 ‘개인정보의 기술적·관리적 보호조치 기준’ 제5조(접속기록의 위·변조 방지)와 이와 거의 같은 내용의 ‘개인정보의 안전성 확보조치 기준’ 제8조(접속기록의 보관 및 점검)는 사업자에게 전형적인 컴플라이언스용 조항이 되었다. 대책의 실효성이 떨어진다고 생각하니 규제 준수용 증적 확보에 집중하기 때문이다. “개인정보 유출 사고의 분석을 위한 범죄 증거(접속기록)의 확보”라는 이 조항의 취지가 실제로 구현되게 하려면, 방송통신위원회와 행정안전부의 고시 해설서의 해당 부분은 개정되어야 하리라 생각된다. 사정상 해설서의 방법 (1), (2)가 필요하다 하더라도 보유한 개인정보의 수와 사업의 규모가 작은 사업자(행정안전부 고시의 개인정보처리자 분류의 유형 1 정도)에게 예외적으로 허용하는 것이 적절할 것이다.

* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr

 

X