[ISDP 2025] KISA 장웅태 선임 “해커들, SQL인젝션·웹쉘 업로드·파라미터 변조 공격으로 개인정보 유출”

개인정보보호 조치는 사후 대응이 아니라 사전 예방이 더욱 중요

2월 11일, 삼성동 코엑스에서 열린 상반기 최대 보안 컨퍼런스 제13회 정보보호&데이터보안 컨퍼런스(ISDP 2025)가 성황리에 개최됐다. 데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원(KISA), 한국정보보호산업협회(KISIA)가 후원한 이번 행사에는 공공, 금융, 기업 정보보호 담당자 1,700여 명이 참석해 최신 보안 트렌드와 정책을 공유했다.

이날 컨퍼런스에서 한국인터넷진흥원(KISA) 장웅태 선임연구원은 ‘공공분야 개인정보 유출사고 분석 및 대응방안’을 주제로 강연을 진행했다. 그는 최근 증가하는 공공기관의 개인정보 유출 사고 사례를 분석하고, 이에 대한 대응 방안을 제시했다.

장 연구원은 먼저 개인정보 ‘유출’과 ‘노출’의 개념적 차이를 설명했다. 그는 “유출은 개인정보처리자가 통제권을 상실하거나 권한 없는 자가 접근했을 때 발생하며, 노출은 개인정보가 홈페이지 등에 공개되어 누구든 접근 가능한 상태를 의미한다”고 말했다.

이어 최근 공공기관에서 발생한 주요 개인정보 유출 사고를 유형별로 소개했다. 그는 “공공기관의 개인정보 유출 사고는 주로 데이터베이스(DB)에 대한 비인가 접근, 문서나 저장 매체의 잘못된 전달, 웹사이트에 개인정보가 포함된 게시물 업로드 등에서 발생한다”고 설명했다. 특히 최근 공공기관에서 발생한 유출 사고의 주요 원인은 해킹, 담당자 실수, 내부자의 고의 유출이 가장 큰 비중을 차지했다고 강조했다.

그는 최근 공공기관과 교육기관을 중심으로 개인정보 유출 사고가 증가하고 있으며, 해커들의 공격 패러다임이 변화하면서 대량의 개인정보를 수집하는 기관이 집중적인 타겟이 되고 있다고 설명했다. 대표적인 사례로, 교육기관에서 발생한 대규모 개인정보 유출 사고를 들며 “해킹 기법이 발전하면서 웹 애플리케이션의 취약점이나 파라미터 변조를 이용한 유출이 증가하고 있다”고 지적했다.

장 선임은 개인정보 유출 사고 대응 절차에 대해 구체적으로 설명했다. 그는 “개인정보 유출이 발생하면 KISA는 기술적 지원을 제공하며, 유출 원인, 규모, 대응 경위 등을 분석하는 역할을 수행한다”고 말했다.

그는 개인정보 유출 신고 절차를 설명하며, 개인정보처리자는 유출 사실을 알게 된 후 지체 없이 신고해야 하며, 정당한 사유 없이 72시간을 초과해서 신고하는 것은 허용되지 않는다고 강조했다. 개인정보 보호위원회 또는 KISA에 신고해야 하며, 특히 1,000명 이상의 정보주체의 개인정보가 유출되었거나 민감정보 및 고유식별정보가 포함된 경우, 외부 해킹에 의해 유출된 경우 반드시 신고해야 한다고 설명했다.

KISA는 유출 사고 발생 시, 다음과 같은 절차를 통해 사고를 분석하고 대응한다.

-유출 사고 인지 및 신고 접수: 개인정보처리자가 유출 사실을 신고하면, 사고의 개요를 확인하고 사전 자료를 수집한다.

-자료 확인 및 분석: 유출된 개인정보의 범위와 유출 경로를 분석한다.

-현장 조사 및 기술 지원: 필요시 현장에 조사관이 파견되어 로그 분석, 네트워크 점검 등을 진행한다.

-원인 분석 및 조치 계획 수립: 유출 원인을 규명하고 대응 방안을 마련한다.

-사고 보고 및 후속 조치: 사고 결과를 관계 기관과 공유하고 추가 보안 조치를 권고한다.

그는 KISA가 이러한 사고 대응 과정에서 기술적인 사항을 자문하고, 개인정보 보호위원회의 조사 절차를 지원하는 역할을 수행한다고 덧붙였다.

■공공기관 개인정보 유출 주요 사례 분석

장 연구원은 공공기관에서 발생한 주요 개인정보 유출 사례를 분석하며, 그 원인을 설명했다. 그는 최근 공공기관에서 발생한 개인정보 유출 사례 대부분이 “파라미터 변조 공격”을 통해 이뤄졌다고 밝혔다.

대표적인 사례로, 한 공공기관 홈페이지의 비밀번호 변경 기능의 취약점을 악용해 135만 건의 개인정보가 유출된 사건을 언급했다. 그는 “해커는 기존에 유출된 계정 정보를 활용해 비밀번호 찾기 기능의 취약점을 탐색했고, 이를 통해 다수 계정의 비밀번호를 변경한 후 개인정보를 탈취했다”고 설명했다.

이러한 유형의 공격이 성공한 이유로, 비밀번호 변경 요청자의 신원을 검증하지 않은 점, 웹 애플리케이션의 입력값 검증이 미흡했던 점이 주요 원인으로 지목됐다. 그는 “최근 해커들은 SQL 인젝션, 웹쉘 업로드, 파라미터 변조 등의 기법을 활용해 공공기관 시스템을 집중적으로 노리고 있다”고 경고했다.

또한 해킹 외에도 내부자의 고의 유출과 담당자의 과실 역시 주요한 유출 원인으로 분석됐다. 특히 일부 기관에서는 퇴직자가 USB를 이용해 개인정보를 무단 반출하거나, 담당자가 이메일을 잘못 발송하는 사례도 있었다.

■공공기관의 개인정보보호 강화 방안

장 선임은 개인정보 유출을 예방하기 위한 방안을 제시하며 “공공기관은 안전조치 의무(개인정보보호법 제29조)를 철저히 준수해야 한다”고 강조했다. 그는 개인정보보호법상 주요 안전조치 의무를 다음과 같이 정리했다.

-접근권한 관리 강화: 개인정보 처리 시스템에 대한 접근 권한을 최소화하고, 반기별 점검을 의무화해야 한다.

-암호화 조치: 저장된 개인정보는 반드시 암호화해야 하며, 특히 주민등록번호 등 고유식별정보는 강력한 암호화 방식으로 보호해야 한다.

-접속기록 관리: 개인정보 조회 및 처리 이력을 상세히 기록하고, 이상행위를 탐지하는 시스템을 도입해야 한다.

-보안 패치 적용: 웹 애플리케이션, DBMS 등 주요 시스템에 최신 보안 패치를 즉시 적용해야 한다.

-보안 장비 운영 강화: 침입차단시스템(IDS), 침입방지시스템(IPS), 웹 방화벽(WAF) 등 보안 장비를 적절히 운영해야 한다.

특히 그는 “개인정보보호 조치는 사후 대응이 아니라 사전 예방이 더욱 중요하다”고 강조하며, 체계적인 보안 정책 수립과 실천이 필요하다고 덧붙였다.

장 선임은 강연을 마치며 “공공기관의 개인정보 유출 사고가 계속해서 증가하는 만큼, 기관별 맞춤형 보안 조치가 필요하다”며 “KISA는 앞으로도 공공기관의 보안 강화를 위해 기술 지원과 가이드라인 제공을 지속할 것”이라고 말했다.

ISDP 2025 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★