[방은주의 보안 산책] 잇달은 보안 사고 왜?

개인정보보호위원회(위원장 고학수)가 지난 26일 개인정보보호 법규를 위반한 2개 사업자(비즈니스온커뮤니케이션과 엔에이치엔위투)에게 총 1억 9810만 원의 과징금 (비즈니스온 1억 3700만원, 엔에이치엔위투 6110만원)과 1230만 원의 과태료(비즈니스온 270만원, 엔에이치엔위투 960만원) 를 부과했습니다. 시정명령과 공표명령도 함께 내렸죠.

과징금과 과태료의 차이를 아시나요? 과징금은 법을 위반한 행위를 제제, 벌금을 물리는 겁니다. 반면 과태료는 주정차위반과 불법현수막 게시 같은 사회 질서를 지키지 않았을 때 내리는 행정상의 처분입니다. 특히 과징금은 불법 행위에 따른 이익 환수 목적도 포함돼 있어 액수가 과태료보다 훨씬 큽니다.

과징금을 받은 기업 비즈니스온커뮤니케이션은 온라인 전자세금계산서 서비스 ‘스마트빌’을 운영하고 있습니다. 해커의 에스큐엘(SQL) 인젝션 공격을 받아 회원정보 17만9386건이 유출됐죠. 엔에이치엔위투 역시 해커에게 SQL 인젝션(SQL Injection) 공격을 받았습니다. 이 회사는 패션 분야 오픈마켓 ‘가방팝’을 운영하고 있는데요, '가방팝' 쇼핑몰에 입점한 판매자를 위한 전산시스템이 SQL 인젝션 공격을 받아 53만4903건의 판매자 및 고객의 개인정보가 털렸습니다. 유출 정보 중에는 회원의 주민등록번호도 포함됐구요.

AI분야에선 데이터를 석유라고 합니다. 그만큼 중요하죠. 하지만 데이터는 유출되면 독이 되기도 합니다. 그러니 고객 데이터는 더 신중히 '보호'해야겠죠. 두 회사를 해킹한 SQL 인젝션은 어떤 기술일까요? 최신 해킹 기술이 아닙니다. 비교적 오래된 기술입니다. 1990년대 후반 나왔습니다.

응용 프로그램의 보안 허점을 악용해 악의적인 SQL문을 실행하게 함으로써 데이터베이스(DB)를 비정상적으로 조작하는 코드 삽입(인젝션) 공격 방법이죠. 특수문자 몇 자로도 쉽게 해킹을 할 수 있는 쉬운기술이죠. 반면 큰 피해를 초래할 수 있어 정보보안 분야의 대표적 해킹으로 거론되곤 합니다.

SQL은 Structured Query Language의 약어입니다. 우리말로 하면 구조화 질의어 정도 되죠. 관계형 데이터베이스관리시스템(RDBMS)에 저장한 정보를 관리하고 처리하기 위한 프로그래밍 언어입니다. RDBMS 분야 세계 1위 기업은 미국 오라클이고, 마이크로소프트(MS)도 세계적 강자죠.

두 회사가 당한 SQL 인젝션 공격은 앞으로 또 나올 가능성이 높습니다. 사업자(기업)들, 특히 톱레벨 경영자들이 앞으로 보안에 보다 큰 관심을 기울여야 예방할 수 있습니다. 개인정보위는 SQL 인젝션 공격을 예방하기 위한 방법도 제시했습니다. 한국인터넷진흥원(KISA)에서 제공하는 ‘소프트웨어 보안약점 진단 가이드라인’을 참고할 것을 권고했죠. 권고안에 따르면 첫째, 웹 애플리케이션 방화벽(WAF)을 도입하고 둘째, 데이터베이스(DB) 접근권한을 최소화하고, 셋째, 코드 검토, 보안 취약성 스캔, 및 실제 시스템에 대한 모의해킹을 통해 보안 취약점을 식별하고 강화할 것을 주문하고 있습니다. WAF 솔루션 도입 외 나머지는 상식 수준입니다. 상식이 통하지 않은 거죠.