[출처: 보안뉴스]

대용량 트래픽 처리로 개인정보 유출 차단

[보안뉴스= 최복희 나솔 이사] 2006년 중반부터 개인정보의 중요성이 인식되기 시작하면서 관련 솔루션 도입과 개발에도 관심이 높아지기 시작했다. 그리고 8년여가 지난 지금 많은 변화가 있었다. 2011년 9월 30일 개인정보보호법 발효는 그 동안 개인정보보호를 등한시 했던 많은 기관, 대학교, 기업 등이 개인정보보호에 대해 새로운 시각을 가질 수 있는 계기가 됐다.

현재 개인정보의 유출을 차단하기 위해서는 어떤 솔루션이 효과적일까? DB 암호화 제품, DB 접근제어 제품, 개인정보 이력관리 제품, PC용 개인정보 유출 차단 제품, 홈페이지용 개인정보 유출 차단 솔루션이 대표적이다. 이중에서 개인정보 유출이 가장 쉽게 발생할 수 있는 홈페이지를 통한 개인정보 유출에서 효과적인 대응방안은 무엇인지 살펴본다.

그동안 개인정보에 대한 중요성이 크게 인식되지 못해 크고 작은 유출사건이 빈번하게 발생했다. 하지만 개인정보에 대한 중요성과 유출의 심각성에 대한 사회의 관심이 커지면서 이를 보호하기 위한 다양한 방안이 마련되고 있다. 솔루션을 도입해 개인정보 유출을 막는 것도 중요하지만 이에 앞서 어떤 형태로 개인정보가 유출됐는지를 먼저 파악할 필요가 있다.

관공서 등의 개인정보 유출 형태

관공서와 지자체가 개인정보 차단 솔루션 도입을 가장 먼저 실시했고, 현재는 어떠한 형태로든 대부분의 기관이 개인정보 차단 솔루션을 도입했다. 도입 초기와 달리 최근엔 여러 기관에서 개인정보 상시 감시 시스템을 통해 개인정보의 유무를 스캔하고 기관에 통보해 삭제처리를 하라고 공문을 발송한다. 또한 개인정보영향평가를 통해 기관의 보안 상황을 꾸준히 평가하기도 한다.

기관의 경우에 개인정보 유출 형태를 보면, 개인정보차단 솔루션을 도입했지만 장비의 장애로 인해 시스템이 다운되면서 개인정보가 유출되거나, 장비의 처리량이 작아 In Bound만 차단하다가 웹 서버에 보유하고 있던 개인정보가 유출되기도 했다.

또한, 보안서버를 구축하라는 지침에 홈페이지 전체에 대해 HTTPS 통신을 한 후 개인정보 차단 솔루션에는 인증키를 등록하지 않아 개인정보차단 솔루션이 개인정보를 차단하지 못했던 경우도 있었으며, 웹 방화벽에서 개인정보를 차단하도록 정책설정을 했지만 차단 못하는 문서가 생겨 개인정보가 유출된 경우 등 다양하다.

대학의 개인정보 유출 형태

대학은 일반적인 지자체나 교육청과 다른 시스템 구성을 갖고 있다. 웹서비스와 학교 행정 시스템을 운영하고 있는 DMZ 구간과 학과나 일반 PC들이 연결돼 있는 구간으로 크게 나뉜다. DMZ 구간은 웹 방화벽이나 기타 보안시설의 설치로 어느 정도 보안이 잘 지켜지고 있으나, 학생들이 사용하는 PC와 학과가 연결된 구간은 얼마만큼의 홈페이지 시스템이나 URL을 사용하고 있는지 아무도 모른다. 요즘은 홈페이지 서버를 누구나 쉽게 만들고 삭제할 수 있기에 더욱 다양한 웹 시스템들이 존재한다.

이런 상황에서 개인정보가 유출돼 지적받는 시스템을 보면 대부분 학과 홈페이지에서 유출이 되고 있으며, 적은 건수에서 많은 량의 개인정보가 유출 되는 것이 큰 특징이다. 이런 상황에서 학교 전체의 개인정보를 효과적으로 차단할 수 있는 제품의 도입이 중요하다.

현재 개인정보 차단 솔루션을 도입하기 전까지는 웹 방화벽으로 개인정보 유출 차단을 하고 있는데 이에 대한 관리도 중요하다. 수강신청이나 합격자 발표 등과 같이 사용자가 폭주하는 기간에 웹 방화벽에서 개인정보 차단 세팅을 제거했다가 오랜기간 개인정보 차단 세팅을 하지 않아서 개인정보가 유출되는 사례도 많이 있다. 개인정보가 이슈화 되지 않았을 때 주민등록번호를 수정해달라고 접수를 받았던 게시판이 삭제되지 않고 있다가 개인정보가 대량으로 유출된 사례도 있고, 논문이나 기타 보고서 작성시 참여자의 주민번호를 모두 적었다가 유출된 사례, 동아리 명부의 유출, 직원의 급여 대장이 유출되는 사례 등 다양하다.

개인정보를 더욱 완벽히 차단하는 방법

개인정보 차단은 입력시(In Bound) 차단하는 방법과 출력시(Out Bound) 차단하는 방법이 있다. 입력시 차단하는 방법은 사용자가 게시판에 글을 등록할 때, 등록할 컨텐츠에 대해 개인정보를 검색해 차단하는 방법이고, 출력시 차단하는 방법은 사용자가 홈페이지의 게시판의 글을 클릭시 전송될 컨텐츠에 대해 개인정보를 검색하고 개인정보가 없을 때만 전송하는 방법이다. 입력과 출력을 동시에 차단해야만 더욱 완벽한 개인정보 차단이 가능하다.

초기에는 소프트웨어형의 제품으로 개인정보를 입력할 때만 차단하는 방법을 주로 사용했지만 개인정보의 유출 사례가 빈번히 발생하면서 이제는 하드웨어 일체형 제품으로 입력과 출력을 동시에 차단 할 수 있는 솔루션을 주로 도입하고 있는 추세다.

최근에는 개인정보를 출력할 때는 차단하지 않고 개인정보를 홈페이지에 보유하고 있는지 여부를 검색하는 솔루션으로 스캐너라는 것을 사용한다. 하지만 스캐너가 완벽히 모든 컨텐츠를 검색할 수 없다는 것에 주의를 해야 한다. 스캐너는 Java Script로 짜인 게시판, Ajax로 만든 게시판, Active X 컨트롤러가 적용된 게시판에는 자동으로 검색하기 어렵다. 때문에 스캐너로 검색을 해도 모든 게시판을 검색했는지 알 수 있는 방법은 없다는 것이 큰 문제로 스캐너에 대한 맹신은 큰 화를 불러 올 수 있다.

대용량 트래픽 처리

초창기 개인정보 차단 솔루션은 어떤 문서는 차단이 되고 어떤 문서는 차단이 안되는 경우가 발생 했다. 8년이 지난 지금은 차단 안되는 문서가 있다기 보다는 개인정보를 차단하면서 안정적인 웹 서비스를 할 수 있는지가 더 중요해 졌다.

개인정보를 입력만 차단 한다면 장비의 부하는 거의 없이 운영되겠지만 개인정보 유출 우려가 있고, 입력과 출력을 모두 차단하면 개인정보 유출 차단은 더욱 완벽해 지겠지만 홈페이지 응답속도가 느려질 우려가 있다. 이런 이유로 웹 가속기 엔진을 탑재한 솔루션이 주목을 받고 있다.

웹 가속기라는 것은 데이터의 압축 전송과 캐싱 기능을 동시에 수행하는 것으로 홈페이지에 있는 텍스트 데이터에 대해서는 실시간 압축 전송을 하고 이미지 데이터에 대해서는 캐싱을 해 사용자가 접속시 웹 서버에서 데이터를 전송하지 않고 장비의 메모리단에서 바로 처리하는 것이다. 이는 사용자 폭주시 웹 서버 부하를 현저히 감소시켜 주고 홈페이지 응답속도도 향상 시킬 수 있는 기술이다.

또한 개인정보 차단을 네트워크 단에서 흐르는 모든 웹 트래픽에 대해 감시를 하면서 개인정보가 포함된 컨텐츠가 전송되고 있으면 바로 차단하기에 완벽히 개인정보를 차단할 수 있다. 이러한 두 가지 기능을 동시에 탑재함으로서 개인정보를 검사하면서 발생 할 수 있는 응답속도 저하를 없애고 사용자 폭주시 웹서버의 부하를 줄일 수 있어 안정적인 웹 서비스가 가능하다.

정보의 차단은 모든 컨텐츠에 대해 개인정보를 유무를 검사해야 하기에 당연히 응답속도 저하는 생길 수밖에 없다. 그러나 이를 얼마나 빨리 검사하고 다시 사용자에게 전송해 줄 수 있느냐가 개인정보 차단 솔루션 도입에 가장 중요한 포인트가 되고 있다.

대학교 개인정보 차단 솔루션 설치 사례

대학의 경우 DMZ 구간과 학교 내에 흩어져 있는 홈페이지에 대해 개인정보를 차단하려면 라우터, 방화벽 등이 설치된 네트워크 상단에 설치할 수밖에 없다. 때문에 가장 중요시 되는 것이 장비의 처리량, 홈페이지 응답속도, 장애시 바이패스 등이다.

4년제 국립대학의 경우, 대부분 국내의 개인정보 차단 솔루션을 모두 검토해 네트워크 상단에서 설치 할 수 있는지를 검토했고 테스트 기간을 거쳐 개인정보차단 솔루션을 도입했다.

또한, 타 대학의 사례를 자체적으로 분석하고 네트워크 상단에 설치했을 때 개인정보의 차단이 입력과 출력이 동시에 차단 가능한지, 홈페이지 응답속도 저하와 대용량 트래픽 처리가 가능 한지를 중점적으로 판단해 도입했다.

개인정보 유출을 확실히 차단하고자 담당자들은 많은 고생을 하고 있다. 사용자의 교육을 통한 개인정보 차단, 솔루션을 통한 차단 등 다양한 방법이 있다. 솔루션을 통한 차단 방법에서는 개인정보의 입력과 출력을 동시에 차단하면서도 안정적인 웹 서비스를 할 수 있는 제품을 선정하는 것이 가장 중요하다.

일레로 필자의 회사에서 개발한 개인정보 차단 솔루션인 SmartXFilter는 웹 가속기와 개인정보 차단 기능을 동시에 수행하는 데 국내에서 가장 큰 처리량을 갖고 있으며, 8대의 장비로 초당 100,000세션을 처리하는 대형 사이트도 있다.

[글_최복희 나솔 이사(choi@nasol.co.kr)]