1
Free-Talk
Xp
Free-Talk

인터파크의 개인정보 유출 관련...

 
10
  1767
Updated at 2016-07-30 00:45:58

기사를 보시면 아시겠지만..

인터파크는 주민번호(혹은 개인정보) 조차 암호화를 하지 않고 저장해오다 유출된것으로 파악되었습니다.
또한 인터넷이 가능한 외부망과 내부망 조차 분리 하지 않아 내부 직원이 스팸메일의 첨부파일을 클릭해 해킹되었습니다.

저는 금융회사에 근무하고 있습니다.

혹시 불안해 하실까봐 현재 금융사의 정보보안에 관련된 사항을 말씀드리려고 합니다.
제가 근무하는 회사기준이지만 우리회사가 했으면 대부분의 금융사가 했다고 생각됩니다.

1. (업무가 가능한)내부망과 (인터넷이 가능한)외부망과의 분리

 - 쉽게 말해 물리적으로 나누어져 있습니다.
    내부망과 외부방을 분리 및 단절시켜 양쪽간에 서로 접근이 불가능 하게 되어있습니다.

2. 암호화

 - 고객의 주민정보, 여권번호, 주소, 계좌번호 등 개인정보라 판단되는 모든 항목에는 암호화 솔루션이 적용되어있습니다. 프로그램상에 복호화를 해야만 정상적으로 조회가 됩니다.
   복호화를 하지 않은  접근시에는
    이름      : 가나다 
    주민번호 : 123456 - aosjhdpiuqpwiuh1-98x98=0981308 
   로 출력되는 식입니다.
   그리고 복호화가 수행되는 PC의 ip, 접근 사원번호, 시간, 업무 목적등이 기록됩니다.

3. 업무PC등에 솔루션 적용

 - (특히)전산실 내 허용되지 않은 전자 제품은 사용이 불가능 합니다. WIFI, 블루투스 조차 안됩니다.
   특정 솔루션이 적용되어 있지 않다면 IP할당조차 되지 않으며 혀용되지 않은 모든 프로그램은 실행하는 순간 자동 종료됩니다.

 - USB는 READ만 가능하며(이것도 특정 허용된 자만) 컴퓨터에 CDrom은 존재조차 하지 않습니다.

 - 개인정보 검출툴 적용으로 실시간으로 작업한, 혹은 저장된 모든 문서를 sacn합니다.
    실시간으로 리포팅되며 보안팀에서 "왜 보관하고 있는지 허가받은것인지 즉시 답변할것"을 요청받습니다.  소명하지 않으면 감사팀까지 소환됩니다.

 - 개인정보 접근에 대한 레벨적용
   쉽게 말해 정규직외에 일반 개발자나 업체소속은 개발계만 접근가능합니다. 
   대부분의 회사들은 개발계/검증계/운영계 레벨로 되어있으며, 운영은 실업무, 검증은 개발건에 대한 검증, 개발은 단순개발 을 위해 존재합니다.
   각각의 레벨에의 운영되는 DB가 물리적으로 다르며, 
   운영계에 10이 존재하면 검증계는 1 개발계는 data가 존재하지 않거나 허용된 data만 존재합니다.
   첨언하면 우리가 알고있는 농협사태 같은 개인정보 유출의 많은 부분은 내근직이 아닌 외주직원의 고의적인 소행이었습니다.

이외 많은 서류적인 감시, 전산 솔루션등 많은 방법으로 제약에 제약을 걸어 고객 정보를 지키고 있습니다. 

요즘같은 시대에 인터파크사의 개인정보 유출은..
피해자라고 주장하기에도 창피하고 수준낮은 아니..아예 보안이라는 개념이 존재하지 않는 회사라는걸 만천하게 알려진 케이스입니다.

물론 피해자라 주장 할 인터파크지만 최소한의 보완조차 지켜지지 않았다는걸 스스로 반성했으면 합니다.
물론 우리들의 보상은...피해자라 주장할테니까 바라지 않으시는게 좋을 듯 합니다.
11
Comments
2016-07-30 00:34:55

좋은 글 잘 봤습니다

회사 내부사정을 표현해주시니까 그래도 관리를 할수 있는 곳도 존재하는 군요?!?


능력있는 IT 보안 전문가들을 최저 몇 명 한도로 뽑아야 회사일을 하도록 법이 바뀌어야 되는 상태인가요?


회사 규모에 따라 인원수도 변동되고요


인터파크 사례는 너무 적은 인원에게 과중한 업무가 주워졌거나 인원들은 충분해도 기반 시설이나 투자를 전혀 제공하지 않아서 아무것도 못한 듯 싶습니다


회사는 나름대로 노력했다지만 보안은 전문가들을 확보한 뒤 충분한 지원이 뒷받침되는 게 맞다고 봅니다


그래도 대형마트인 홈 어쩌구저쩌구는 직접 고객 정보 판매하고도 지금 잘 굴러가는거 보니까 일단 우리 나라 입법부(법)과  사법체계(사법부)부터 전문가들로 구성해서 지원을 해줘야 하는 건가 정신을 차릴수가 없습니다 

WR
Updated at 2016-07-30 00:39:52
전살실내 보안인원 몇 %, 
일년 예산 중 보안비용 몇% 의무 할당,
전산실에 자사인력을 몇%이상등한다는 공통된 규정이 있습니다.

한때 의무였다가 지금은 권고 정도로 빠귄거로 압니다(금융회사들의 로비때문에요)
3,5,7 법인가 그랬는데요. 제가 기억이 나질 않습니다;;

그리고 공공 혹은 금융기관은 저 같은 개인정보와 관련된 문제 발생시 등급에 따라 사장해임등이 즉시 가능합니다.

저 회사는 보안에 대한 노력을 요즘 말로 1도 안한겁니다 보안의 개념조차 없고 비용은 아까워서 안쓴거에요.
2016-07-30 06:56:43

사실 규제를 강하게 때리면 됩니다
금융사들은 카드사, 은행, 보험회사들이 번갈아가면서 굵직한 사고 많이 내줬고
금융정보는 누출되면 큰일난다는 사회적 인식이 박혀서
보안사고 터지면 일단 임원이 날라가거든요.
근데 다른 업종들은 아직 법으로 규제를 빡빡히 안 하니까...

WR
2016-07-30 09:09:52

그러니까요.

개인정보는 모든곳에존재할텐데..

2016-07-30 00:52:03

반성만하면 뭐하나요. 나라 구조가 기업위주인데..

피해를 받아도 결국엔 개인 탓인 거죠 뭐







WR
2016-07-30 00:58:50

북한은 해킹을 참 잘하네요;;;
제가사는 집주소도알껍니다. 제핸드폰번호두요

2
2016-07-30 00:57:14

저딴 데 가입한 제 잘못이죠 뭐..

WR
2016-07-30 00:59:17

하아...깊은 빡침을...

2016-07-30 02:49:22

북한 해킹 실력은 세계최고인듯.... 아, 이러다 북한찬양으로 잡혀가려나요?

WR
1
2016-07-30 09:09:09

고양이가썼다구하세요!

2016-07-30 10:37:17

회사 특성상 인터파크 회원가입은 필수불가결했는데ㅠ


진짜 저런데서 피해보상받기는 상당히 어렵다고 하더라구요...

회사에서 우리는 최대한 보안조치를 취했다 라는게 증명되면...
법적으로도 승소할 가능성이 있다는 얘기를 들은 적이...
글쓰기
검색 대상
띄어쓰기 시 조건








SERVER HEALTH CHECK: OK