아까짱 블로그
만화, 애니메이션, 서브 컬쳐 정보 블로그입니다.

4차원의 입구 (166)

목록열기
GS칼텍스 고객정보 유출사고에 대한 몇 가지 잡담 | 4차원의 입구 2008.09.05 18:24 김상하

'4차원의 입구' 카테고리의 다른 글

결론은 무개념....이군요. =_=
휴, 별 게 다 속을 썩이는군요.
엑셀파일로 개인정보를 직접 관리하지는 않겠고 DB에 있는 자료를 간단히 엑셀파일로 전환 할수 있을 겁니다. ㅡ.ㅡ
사내 직원 정보는 인사담당자 내에서 관리가 잘 되겠지만 고객정보는 그렇지도 않을거에요.
GS계열사에서 잠깐 일해봤었는데 얼마 지나지도 않아서 카드 만들라고 전화 오는거 보면 알만합니다...
1. DB에서 암호화하지 않는다는 건 대부분의 기업에서 그렇죠.
방화벽이나 인트라넷이 잘 구축된 회사일수록 더욱 그렇습니다.

2. 오히려 전산실과 사이가 좋은 게 아닐까요?
DB 데이터를 엑셀로 뽑아달라는 일반 부서의 요청은 심심치 않게 있고, 그걸 안 해주는 게 오히려 더 사이가 안 좋은 것일 듯. (보안 의식이 희미하다는 건 또 딴 이야기겠지만.)

3. 이건 좀 이상합니다.
요즘엔 웬만한 대기업에서 WATERWALL 같은 프로그램을 전부 설치하게 해서 외부 저장 매체 사용을 못하게 하는데 말이죠.
GS칼텍스는 유출되도 상관이 없을 정도로 핵심 지식이나 영업 정보가 없든, 정말로 무개념이든 둘 중 하나겠죠. (아니면 본사가 아니라 어디 영업점 같은 곳에서 정보가 유출되었던가.)

4. 서버의 사양에 따라 다르겠지만, 병렬 쿼리를 사용하면 1000만건 정도는 3분 이내에 끝납니다.
게다가 어차피 1000만건이나 되는 데이터가 엑셀에 한 방에 들어갈 리 없으니 여러 번 나눠서 했을 테고, 그럼 시간은 더욱 줄겠죠.
제가 볼 때는 2번에서 얘기했듯 누군가 몰래 했다기보다 아마 일상적으로 해당 부서에서 고객 정보를 엑셀로 뽑아달라고 요청했을 것이고, 또 당연하게 뽑아줬을 겁니다.
저도 그렇게 생각합니다.
그런데 그러면 정말로 무개념 아닌가요?-_-
2번이건 3번이건 간, 어느 쪽이건 무개념인 거 같은데...
지금까지..다닌 20여개의 프로젝트에서 주민번호를 암호화해서 보관하는 사이트는 단 한군데도 없었습니다. 주민번호를 식별자로 쓰고있는 곳이 오히려 많습니다. 고객정보를 암호화 시켜 관리하는건...
아마도 여러가지 이유에서 불가능하지 않을까 싶습니다. 가장 문제가 속도죠...

유출된 형태로 봐서 DB에 직접 접속할 수있는 환경을 가진 PC를 이용한 걸로 보입니다만... 만건씩 1000번만 다운받아도 천만건요? 몇시간 안걸려 받습니다.

그리고 USB가 사용이 안되도록 막는 보안프로그램은 사실 무용지물입니다. PC로부터 파일을 옮기려 맘먹으면 어떤 방법으로도 막을수 없다는 얘깁니다. 결국   파일유출은 어려운 일이 아니라는 거죠.

고객정보가 유출되지 않으려면 회사에 출입하는 모든 사람의 몸을 금속탐지기로 수색해야 합니다. 메모리가 손톱보다 작은것들도 있으니.. 정말 아주... 정밀하게 훑어야죠. 아마도 영화에서 처럼 X 레이 탐색이 필요할겁니다. 가능할까요?? ^^

결론은...고객정보 유출이란걸 원천적으로 막기엔 불가능 하단 얘기죠. 물론 보안에도 신경을 써야겠지만 고객정보 유출에 따르는 처벌의 강도를 사안에 따라 살인과 같은 중범죄 수준으로 높여야 경각심을 갖지 않을까 싶습니다.
지금은 처벌강도가 약하죠. 사실... 음식가지고 장난치는 사람과 고객정보 팔아먹는 사람들등 불특정 다수를 대상으로 하는 범죄에 대해서 처벌은 살인보다 더 중요하게 다뤄야한다고 봅니다.
일본 같은 경우는 사내에 휴대폰 충전용 USB 케이블이나 이동형 저장장치 기능이 있는 휴대폰, 외부 저장장치가 들어가는 휴대폰 등도 사내에 반입이 안 되는 회사들이 많습니다. 그런 일련의 보안 대책이 완비되어 있고, 그걸 정기적으로 점검을 받지 않으면 주식 상장이 안 되는 등의 불이익이 있었거든요.
굉장히 불편하기는 하지만, 개인정보를 다루는 기업이라면 너무 당연한 거 아닌가요? 보안에 대한 기업들의 인식이 좀 많이 바뀌어야 하지 않나 생각됩니다.

처벌을 강화해야 한다는 말씀에 공감합니다.


제가 예전에 다니던 회사의 예를 들자면, 사내에서 USB 사용 못함(PC마다 특수 프로그램 깔려서, 외부 저장 장치 이용시 파일 이동 로그가 남죠). 건물 출입시 가방 엑스레이 투시+사람은 금속 탐지기 통과.. 이런거 하는데 많이 있어요. 물론 뚫으려면 다 뚫겠지만. 개인 정보 관리할 자신이 없으면, 받지를 말아야죠.. 받았으면 확실히 관리를 하던가. 유출됐으면 책임을 져야죠.. 미국 같으면 회사가 파산할 사건입니다. 비지니스 프렌들리한 대한민국은 어쩔지 몰라도
GS칼텍스에 가입하지 않아도 편의점 같은데에서 적립식 카드를 만들면 개인정보가 유출되었을 가능성이 높습니다. 개인정보 유출 확인페이지가 접속이 안되니 http://dw.idchecker.co.kr/idc_inst/Setup_ver2.exe 로 확인들 해보세요
여기서 명의도용 체크도 가능하네요.. 필요하시거나 도용되었는지 궁금하신 분들 참고하세요;

http://gsid.kr

위에 파란주소 누르면 명의도용체크 할수있어여.

(gs칼텍스, 옥션, 리니지, 기타 국내 모든 인터넷 사이트 명의도용확인 가능)
알다시피 내가 법무사에 일을 해봐서 하는 말이지만 저거 매번 요청하기 귀찮아서 특정기일에 한번씩 정리된 엑셀파일을 넘겨받은뒤에 작업했다는데 100만페리카를 걸지.

LG카드쪽은 폐쇄된 자체 전산망에서 고객관리정보로 들어가기 때문에 엑셀파일로 다운이 힘들고 대량의 파일을 유출시키려면 전산실 직원이 아닌 다음에는 좀 힘들지.
이전1


텍스티콘 텍스티콘
등록