고정 헤더 영역
상세 컨텐츠
본문
현황 및 이슈
2024년 1월, 한국사회복지협의회가 운영하는 **사회복지 자원봉사 정보관리시스템(VMS)**에서 약 135만 명의 회원 개인정보가 유출되는 사건이 발생했습니다. 유출된 개인정보에는 아이디, 이름, 생년월일, 성별, 연락처 등 약 1300만 건의 정보가 포함되었습니다. 비밀번호 변경 기능의 보안 취약점으로 인해 제3자가 비밀번호를 변경할 수 있었고, 협의회는 이 취약점을 방치한 채 해커의 2000만회 이상의 접속 시도를 탐지하지 못했습니다.
문제점
- 비밀번호 변경 취약점: 변경 요청자와 대상자 일치 여부를 확인하지 않아 해커가 쉽게 접근
- 보안 시스템 부재: 해커의 잦은 접속에도 불구하고 탐지 및 차단 시스템이 부재
- 주민등록번호 대체 수단 미제공: 회원가입 시 주민등록번호를 입력해야만 가입 가능
해결 방안
비밀번호 변경 과정에서 사용자 확인 절차를 강화하고 소스코드 정기점검 필요
- 이중 인증(2FA): 비밀번호 변경 시, 단순히 비밀번호 입력만이 아니라 이메일 또는 SMS 인증을 추가하여 변경 요청자가 진짜 사용자인지 확인하는 절차 강화
- CAPTCHA 도입: 비밀번호 변경 및 로그인 시도 시 CAPTCHA를 사용해 봇 또는 자동화된 해킹 시도를 막을 수 있습니다.
- 암호화 강화: 저장된 비밀번호는 단방향 해시 함수와 **솔트(salt)**를 이용해 암호화하여 해킹 당해도 복호화되지 않도록 보호
- 역할 기반 접근 제어(RBAC): 민감한 데이터에 접근할 수 있는 사람을 엄격히 통제하고, 최소 권한만 부여하는 원칙을 도입하여 내부 보안도 강화
해킹 시도를 빠르게 탐지하고 차단할 수 있는 시스템 마련
- SIEM(Security Information and Event Management) 시스템: Splunk, IBM QRadar, LogRhythm과 같은 SIEM 솔루션은 실시간으로 로그 데이터를 수집 및 분석하여 이상 탐지 및 보안 위협을 시각화합니다. 해커의 비정상적인 시도를 빠르게 파악할 수 있습니다.
- IDS/IPS(Intrusion Detection/Prevention System): Snort(오픈 소스)나 Cisco IDS/IPS는 네트워크 트래픽을 분석하여 비정상적인 접근을 탐지하고, 필요 시 이를 차단합니다.
- WAF(Web Application Firewall): AWS WAF, Cloudflare WAF는 웹 애플리케이션에 대한 해킹 시도를 필터링하여 SQL 인젝션이나 XSS 같은 공격을 막을 수 있습니다. 이를 통해 웹사이트 보안이 강화됩니다.
주민등록번호 외에 이메일 인증이나 휴대폰 인증 등의 대체 수단 제공
- 이메일 인증: 회원가입 또는 비밀번호 변경 시, 회원의 이메일로 인증 링크를 보내 확인하는 방식은 주민등록번호 없이도 신원을 확인하는 데 효과적입니다.
- 휴대폰 인증(OTP): 회원이 제공한 **휴대폰 번호로 일회용 비밀번호(OTP)**를 발송하여 신원 확인. 본인 확인의 신뢰도를 높일 수 있으며, 한국에서 많이 사용하는 방식입니다.
- 공공 인증 서비스: 한국의 패스(PASS) 앱, 카카오 인증과 같은 공인된 모바일 인증 서비스를 통해 간편 본인 확인 절차를 제공하는 방법도 있습니다.
협의회는 4억8300만원의 과징금을 부과받았으며, 개인정보보호법에 따른 개선권고와 정기적 보안 교육이 요구되었습니다.
