암호화 전송 후 개인정보 그대로 보여 문제…해결 가능한 솔루션 필요

- ‘https(암호화 전송)로 접속 했는데도…’ 개인정보는 줄줄?

뉴스 제공

2013-07-24 09:32

가

가 가 가 가

서울--(뉴스와이어)--개인정보보호 담당자인 A모씨는 최근 보안접속(SSL암호화)환경으로 웹페이지를 적용하면서 보다 안전한 홈페이지를 구축했다고 생각했다. 하지만 이는 오산이었다. 평소 개인정보 필터링 솔루션을 통해 관리를 하고 있었음에도 고객게시판에 개인정보가 그대로 노출되어 보인 것이다. 암호화 전송이 적용된 홈페이지에서 왜 이런 개인정보 유출 사건이 발생했을까?

암호화 전송 ‘후’에는 개인정보 그대로 보여 문제…웹서버 개인정보 필터링 어떻게 해야 하나

관리자의 실수로 공지사항의 첨부파일에 합격자 개인정보가 올라가거나 문의게시판에 민원인 본인의 개인정보를 올려 구글에서 검색되는 등 개인정보 유·노출 사건이 지속적으로 발생하고 있다. 이를 방지하기 위해서 다수의 기관 및 기업들은 웹서버 개인정보보호 솔루션을 구축해 활용하고 있다. 이 솔루션은 웹페이지에 있는 개인정보를 진단하거나 신규 글에 개인정보가 포함되어 있을 경우 차단하는 역할을 한다.

하지만 보안접속환경에서는 개인정보 필터링이 제대로 적용되지 않는 문제가 발생한다. 데이터를 주고 받을 시에 ‘암호화 전송’을 하므로 솔루션이 실제 내용 안에 존재하는 개인정보 유무를 파악할 수 없다.

언뜻 보기에 안전해 보이는 보안접속 환경이지만, ‘전송 시’에만 암호화가 진행되고 전송 후에는 다시 복호화 되므로 게시판에는 사용자가 작성한 개인정보 글이 그대로 노출되는 보안 허점이 존재하는 것이다.

웹페이지에 보안접속환경을 적용 시 꼭 필요한 전자상거래나 로그인 페이지만 적용하는 경우에는 개인정보 유·노출 사건 발생이나, 솔루션 적용에 별 문제가 없다.

문제는 무분별한 보안접속환경 적용이다. 특히 불필요하게 전체 사이트를 보안접속환경으로 적용하여 일반게시판 등 모든 페이지를 암호화 적용을 한 경우가 가장 큰 문제다.

이 경우 전송 시 개인정보 필터링 솔루션이 암호화된 값을 해독하지 못해 개인정보 유무를 정확히 알 수 없다. 제대로 개인정보 필터링이 되지 않은 데이터는 암호화 전송 후 게시판에서 암호화가 풀리는 동시에 개인정보가 그대로 나타나게 된다. 이는 곧 개인정보 유출 및 노출사건으로 연결된다.

보안접속 환경에서도 OK, 웹서버 개인정보 필터링 솔루션 진화

웹페이지 환경 변화에 관련 보안 솔루션들도 발맞추어 진화하고 있다. 개인정보보호 전문기업 컴트루테크놀로지는 이 방면의 업계 1위 솔루션 셜록홈즈 PrivacyCenter(프라이버시센터)에 보안접속 환경에서도 개인정보 필터링을 할 수 있는 기술을 추가적으로 개발하였다고 밝혔다.

이 회사의 웹 개인정보보호팀 관계자는 “사용자가 요청한 암호화 패킷이 바로 웹서버로 전송되는 것이 아니라 신뢰된 인증서를 가진 셜록홈즈 PrivacyCenter에 먼저 도달하게 된다. 안전한 환경에서 먼저 개인정보를 필터링 한 뒤 이상이 없을 경우 다시 안전하게 암호화 하여 웹서버로 전달한다”고 강조했다.

암호화 전송구간 사이에 신뢰된 정류장을 하나 만들어 그 곳에서 검열을 한다고 생각 하면 쉽다. 즉 보안접속환경에서도 개인정보 필터링을 통해 전송 시뿐만 아니라 전송 후 게시판, 첨부파일 내의 개인정보가 남지 않도록 안전하게 보호할 수 있다.

특히 공공기관의 경우 7월 말까지 안행부가 공공홈페이지 전체 공개를 진행하면서 기관 홈페이지 내 개인정보의 유무를 파악하고 처리하는 데 공을 들이고 있다.

컴트루테크놀로지 관계자는 “웹서버 개인정보보호 솔루션인 셜록홈즈 PrivacyCenter는 경상남도청, 충청남도청, 경기도교육청, 성균관대학교 등 다양한 공공기관에서 활용 중에 있다. 특히 감사원, 안양시청 등 보안접속환경이 적용된 웹페이지에서도 안전하게 개인정보보호 작업을 수행하고 있다”고 말했다.

※보안접속(SSL암호화) 환경이란?

매일 접속하는 웹(web)페이지 주소창은 늘상 ‘http://’로 시작한다. 이러한 일반 웹사이트의 경우 사용자가 웹서버와 데이터를 주고 받을 때 단순 텍스트를 통해 진행한다. 그러다 보니 네트워크 중간에서 누군가 내용을 탈취한다면 텍스트 그대로 노출되는 보안 상의 단점이 존재한다.

이를 해결하기 위해 나타난 것이 보안접속(SSL, Secure Sockets Layer)이다. 이러한 보안접속환경에서는 사용자와 웹서버 간의 데이터를 안전하게 암호화 하여 주고 받는다. 이 경우 중간에서 내용을 가로채더라도 내용이 암호화 되어있어 해석이 불가능하다.

금융권의 홈페이지나, 전자상거래 및 로그인 요청 시에는 이러한 보안접속 환경을 통해 안전하게 암호화 접속을 진행한다. 이러한 웹페이지에 접속했다는 것을 알려주는 주요 특징에는 초록색으로 주소창 변경, 주소창에 자물쇠 모양의 아이콘 생성, ‘http://’에서 ‘https://’로 접속방법 변경 등이 있다.

컴트루테크놀로지 개요
컴트루테크놀로지는 인공지능 및 정보보안 전문기업으로 자체 개발 인공지능(AI)기술을 탑재한 aiSee(OCR, 안면인식), eKYC aiDee(비대면 본인확인)등의 제품과 인공지능 이미지 개인정보 검출 기능을 탑재한 개인정보보호 솔루션 브랜드인 ‘셜록홈즈 정보보안 솔루션’을 공급하고 있다.

웹사이트: http://www.comtrue.com