[데일리시큐]개인정보위, 한국파파존스 고객정보 유출 조사…파라미터 변조 취약점 ‘경고’

내용 요약

한국파파존스에서 홈페이지 소스코드 관리 소홀로 2017년 1월부터 8년 넘게 저장된 고객 주문 정보(이름, 전화번호, 주소 등)가 온라인에 노출되는 사고가 발생했습니다. 개인정보보호위원회는 6월 26일 현장 조사에 착수하여 유출 경위, 피해 규모, 기술 및 관리적 보호조치 준수 여부를 조사할 예정입니다. 파파존스는 법정 보유 기간인 5년을 초과하여 데이터를 저장하고 있었던 것으로 드러났습니다.

핵심 포인트

• 홈페이지 소스코드 관리 소홀로 고객 정보 유출 사고 발생
• 유출 정보: 고객 이름, 전화번호, 주소 등 주문 정보
• 유출 기간: 2017년 1월부터 8년 이상 (법정 보유 기간 5년 초과)
• 개인정보위원회 현장 조사 착수: 유출 경위, 피해 규모, 기술 및 관리적 보호조치 준수 여부 조사 예정

기술 세부 내용

1️⃣ Source Code Management (소스 코드 관리)

• 정의: 소프트웨어 개발 과정에서 소스 코드의 변경 사항을 추적하고 관리하는 것을 의미합니다. 버전 관리 시스템(Version Control System, VCS)을 이용하여 변경 이력을 관리하고, 여러 개발자가 동시에 작업할 수 있도록 지원합니다. 효율적인 협업과 안정적인 소프트웨어 개발을 위해 필수적입니다.
• ️ 주요 기능:
  • 버전 관리: 코드 변경 이력 추적 및 이전 버전으로 복원
  • 협업 지원: 여러 개발자의 동시 작업 및 병합 관리
  • 브랜치 관리: 기능 개발, 버그 수정 등을 위한 독립적인 개발 환경 제공
  • 코드 리뷰: 코드 변경 사항 검토 및 품질 관리
• 관리 소홀 시 발생할 수 있는 문제점:
  • 중요 정보(API Key, Database 접속 정보 등) 노출 위험
  • 악성 코드 삽입 및 시스템 공격 가능성 증가
  • 버전 관리 부실로 인한 개발 과정 혼란 및 오류 발생
  • 데이터 유출 및 개인정보 침해 사고 발생
• 보안 강화 방안:
  • VCS 접근 권한 관리 강화: 필요한 권한만 부여하고 정기적으로 검토
  • 중요 정보 암호화: API Key, Database 접속 정보 등 민감한 정보 암호화
  • 정기적인 보안 검사: 소스 코드 취약점 점검 및 보안 패치 적용
  • 개발자 보안 교육: 안전한 코딩 기법 및 보안 인식 제고
• 이번 사건과의 연관성: 파파존스는 소스코드 관리 소홀로 인해 고객 주문 정보가 포함된 소스코드가 유출되는 사고를 겪었습니다. 이는 VCS 접근 권한 관리, 중요 정보 암호화, 정기적인 보안 검사 등의 보안 조치가 미흡했음을 시사합니다.

2️⃣ Data Retention Policy (데이터 보유 정책)

• 정의: 기업이 특정 데이터를 얼마나 오랫동안 보관해야 하는지를 규정하는 정책입니다. 법적 요구사항, 비즈니스 요구사항, 보안 요구사항 등을 고려하여 수립해야 합니다.
• 법정 보유 기간: 개인정보보호법 등 관련 법령에 따라 개인정보는 특정 기간 동안만 보유할 수 있습니다. 이 기간을 초과하여 데이터를 보관하는 것은 불법입니다.
• ️ 보안적 측면: 불필요한 데이터를 장기간 보관할 경우 데이터 유출 시 피해 규모가 커질 수 있습니다. 따라서 데이터 보유 기간을 최소화하고, 불필요한 데이터는 안전하게 삭제하는 것이 중요합니다.
• 이번 사건과의 연관성: 파파존스는 법정 보유 기간인 5년을 초과하여 8년 이상 고객 주문 정보를 보관했습니다. 이는 Data Retention Policy를 제대로 준수하지 않았음을 보여주며, 데이터 유출 사고 발생 시 피해 규모를 키우는 요인으로 작용했습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167409