[보안뉴스]맨날 배달 주문했는데...개인정보위, 고객정보 홈페이지에 노출한 파파존스 조사 나서

내용 요약

한국파파존스 홈페이지 소스코드 관리 소홀로 2017년 1월 이후 고객 주문 정보(이름, 전화번호, 주소 등)가 온라인에 노출되는 사고 발생. 개인정보보호위원회는 26일 유출 조사에 착수.

핵심 포인트

• 한국파파존스 홈페이지 소스코드 관리 부실로 개인정보 유출 사고 발생.
• 유출된 정보: 고객 이름, 전화번호, 주소 등 주문 정보.
• 유출 시점: 2017년 1월 이후 주문 데이터.
• 개인정보보호위원회, 유출 사고 조사 착수.

기술 세부 내용

1️⃣ Source Code Management (소스 코드 관리)

• 소스 코드 관리는 소프트웨어 개발 과정에서 발생하는 소스 코드의 변경 사항을 추적하고 관리하는 것을 의미한다.
• 효율적인 소스 코드 관리는 버전 관리 시스템(Version Control System, VCS)을 통해 이루어진다. 대표적인 VCS로는 Git, SVN 등이 있다.
• 이번 사건처럼 소스 코드 관리가 부실할 경우, 개발 과정에서 실수로 중요 정보 (API Key, Database Credentials, 개인정보 등)가 소스 코드에 포함된 채 배포될 수 있다.
• 공격자는 노출된 소스 코드를 분석하여 시스템 취약점을 찾아 악용하거나, 개인정보를 탈취할 수 있다.
• 안전한 소스 코드 관리는 다음과 같은 사항들을 포함한다.
  • 접근 제어: 소스 코드에 대한 접근 권한을 적절하게 관리 (예: 필요한 개발자에게만 접근 권한 부여).
  • 정기적인 검토: 소스 코드를 정기적으로 검토하여 중요 정보 노출 여부 확인.
  • 보안 교육: 개발자 대상 보안 교육을 통해 안전한 코딩 기법 및 소스 코드 관리 방법 교육.
  • Secrets Management: 중요 정보(API Key, Database Credentials)를 소스 코드에 직접 저장하지 않고, 안전한 저장소를 이용하여 관리.
  • 코드 분석 도구 활용: 자동화된 코드 분석 도구를 사용하여 잠재적인 보안 취약점을 사전에 발견하고 제거.

2️⃣ Personal Information Protection (개인정보 보호)

• 개인정보보호는 개인의 정보를 수집, 이용, 제공, 파기하는 전 과정에서 개인의 권리를 보호하는 것을 의미한다.
• 이름, 전화번호, 주소와 같은 개인정보는 마케팅, 서비스 개선 등 다양한 목적으로 활용될 수 있지만, 악용될 경우 개인에게 심각한 피해를 줄 수 있다.
• 개인정보보호를 위한 핵심 기술 및 조치는 다음과 같다.
  • 암호화: 저장 및 전송되는 개인정보를 암호화하여 정보 유출 시에도 내용을 보호.
  • 접근 통제: 개인정보에 대한 접근 권한을 제한하여 권한이 없는 사용자의 접근 차단.
  • 익명화/가명화: 개인정보를 식별할 수 없도록 익명화하거나 가명화하여 개인 식별 가능성 최소화.
  • 개인정보 영향평가: 새로운 서비스 도입 또는 개인정보 처리 방식 변경 시, 개인정보보호에 미치는 영향을 사전에 평가하고 필요한 조치를 수행.
  • 침입 탐지 및 방어 시스템: 비정상적인 접근 시도를 탐지하고 차단하여 개인정보 유출 방지.

3️⃣ Data Breach Investigation (데이터 유출 조사)

• 데이터 유출 조사는 유출 사고 발생 원인, 유출된 정보의 범위, 피해 규모 등을 파악하고, 재발 방지를 위한 개선 방안을 마련하는 과정이다.
• 개인정보보호위원회는 이번 사건처럼 개인정보 유출 사고 발생 시, 조사를 통해 기업의 개인정보보호법 준수 여부를 확인하고 필요한 조치를 취한다.
• 데이터 유출 조사에는 다음과 같은 활동들이 포함될 수 있다.
  • 로그 분석: 시스템 로그를 분석하여 공격자의 침입 경로 및 유출된 정보 확인.
  • 네트워크 분석: 네트워크 트래픽 분석을 통해 악의적인 활동 탐지.
  • 시스템 및 애플리케이션 분석: 취약점 분석을 통해 유출 원인 파악.
  • 관련자 인터뷰: 사고 발생 경위 및 대응 과정 파악.

 

출처: http://www.boannews.com/media/view.asp?idx=137853&kind=&sub_kind=