개인정보 보호위원회

업무 현장에서 궁금해 할 만한 개인정보 관련 법‧제도‧정책‧사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 분들께는 현안, 이슈를 두루 살펴볼 수 있는 유용한 창구가 되기를 기대합니다. 소재에 관한 제언이나 그 이외의 의견은 언제든지 환영합니다. pipcpr@korea.kr 로 연락주시기 바랍니다. 

[9.2(월)]

해킹사고로 바라본 개인정보 유출

1부 – 크리덴셜 스터핑

들어가며

개인정보를 유출 당한 개인정보처리자가 부담하는 책임의 본질은 과실책임입니다. 가령 경비원이 복무 기준을 충실하게 지켰음에도 신출귀몰한 괴도를 놓쳤다면 불가항력이라 하겠지만, 마땅히 잡을 수 있었던 도둑을 졸다가 놓쳤다면 경비 실패로 책임지는 것과 같은 이치입니다. 

개인정보처리자가 해킹 등 개인정보 유출을 막기 위해 준수해야 할 사항은 개인정보보호위원회 고시인「개인정보 안전성 확보조치 기준」(이하 ‘고시’)에서 구체화하고 있습니다. 고시를 위반하여 개인정보를 유출 당하면 법적 책임을 지며, 반대로 고시를 모두 준수하였다면 유출사고는 대개 불가항력인 경우가 많습니다. 고시의 내용을 보면, 계정별 접속권한을 관리하고 접속기록(log)을 남기며 암호화나 2차 인증을 하라는 등의 구체적·개별적 의무조항이 대부분이지만, 다음과 같은 추상적·포괄적 조항도 있습니다.

고시 제6조 제1항은 이상행위 탐지의무로, 같은 조 제3항은 사회통념상 합리적으로 기대되는 기술적 보호조치의무(대법원 2021. 8. 19. 선고 2018두56404 판결)로 각각 해석·운영되고 있으며, 다양한 유형의 해킹 사건에 적용되고 있습니다. 상당히 빈번하게 발생하는 유형으로서, 크리덴셜 스터핑, 파라미터 변조, SQL 인젝션, 세 가지를 들어볼 수 있는데, 이 글을 세 편으로 나누어 하나씩 살펴보겠습니다. 

1. 크리덴셜 스터핑

크리덴셜 스터핑(Credential Stuffing)이란? 사용자 계정을 탈취해 공격하는 유형 중 하나로, 다른 곳에서 유출된 아이디와 비밀번호 등의 로그인 정보를 다른 웹사이트나 앱에 무작위로 대입해 로그인이 이뤄지면 타인의 정보를 유출시키는 수법을 말합니다.

(출처 : 네이버 지식백과 시사상식사전)

A사의 ‘A패스’ 서비스는 인터넷 이용자들의 이른바 ‘패스워드 기억 스트레스’를 덜어주기 위한 인터넷 익스플로러 확장 프로그램이었습니다. 이용자가 방문한 웹사이트에서 입력한 ID·PW를 A사 서버에 기억시켜 두었다가 해당 사이트 재방문 시 로그인 페이지에 자동으로 ID·PW 값을 넣어주는 방식입니다.

2017년도 약 7개월간 A패스는 크리덴셜 스터핑 공격을 당했습니다. 해커는 다른 제3의 사이트에서 이미 탈취되어 다크웹을 떠도는 대량의 ID·PW 데이터베이스(이를 ‘Leaked DB’라 한다)를 입수한 후 이를 A패스 로그인을 위해 자동 입력했습니다. 그 결과 A패스 계정 16만여 건이 공교롭게도 Leaked DB에 포함된 것과 같은 ID·PW를 쓰고 있어 해커에 의해 로그인이 뚫렸고, 뚫린 A패스 계정들에 기억된 250만여 건의 타 사이트 ID·PW 정보가 탈취되었으며, 그중에는 암호화폐 거래소의 계정정보도 있어 비트코인이 절취되는 등 2차 피해가 발생했습니다.

조사 과정에서 A패스의 다른 사고 전력도 불거졌습니다. A패스는 전년도인 2016년에도 약 70일간 다른 해커로부터 크리덴셜 스터핑 공격을 당한 전력이 있었고, 이로 인해 38만여 건의 타 사이트 계정정보를 탈취 당했다고 추정되고 있었습니다. A사는 2016년 피해자들에게 A패스 비밀번호 변경 안내 이메일을 발송하고, ‘1시간 내 500회 이상 로그인을 시도하는 IP를 자동 차단’하는 룰을 추가했을 뿐, ‘강제 비밀번호 변경’이나 ‘2차 인증 도입’ 등의 근본적 조치를 하지 않았으며, 그 결과 2016년에 털린 계정 중 일부가 본건 2017년 해킹에서도 재차 탈취되었습니다.

7개월간 비정상적 로그인 시도가 지속되었음에도 이를 모니터링하지 못한 A의 행위가 고시 제6조 제1항 위반으로, 전년도에 동종의 해킹을 당한 바 있었는데도 실효적 조치를 취하지 않아 사고를 재발토록 한 행위가 같은 조 제3항 위반으로 각각 판단되었습니다.(서울고등법원 2020. 11. 4. 선고 2019누43964 판결(확정)). 참고로 사건에 적용된 구 고시 조항은 제4조 제5항·제9항이었으나, 이들은 현행 고시 제6조 제1항·제3항으로 이동되었습니다. 개정 전·후 내용은 같으므로, 이하에서는 편의상 현행 조문번호를 기준으로 서술합니다).

먼저 고시 제6조 제1항에 대해서는, A사가 침입차단⸱탐지시스템을 설치했을 뿐 사회통념상 합리적으로 기대되는 수준으로 ‘운영’ 하지 않은 것이 위법으로 판단되었습니다. 구체적 이유는, ▲크리덴셜 스터핑의 경우 국제웹보안표준기구(The Open Web Application Security Project, OWASP) 등으로부터 꾸준히 위험성 및 방어방법이 보고되어 당시 보안업계로서는 충분한 주의와 경각심을 가질 수 있었던 점, ▲A사는 공격 기간 중 접속시도 건수(평상시 600만 건 → 공격 중 2억 건, 약 100일 평균 기준) 및 로그인 실패 비율(평상시 6% → 공격 중 81%)이 현저히 다른 양상을 보였음에도 이를 탐지하지 못한 점, ▲하나의 IP에서 사람이 하기 어려운 빠른 속도로 여러 아이디로 단시간 내 동시 로그인을 시도하는 이상징후를 쉽게 의심할 수 있었던 점, ▲특정 IP에서 특히 로그인 실패가 많았는데 그 IP가 VPN이었던 점, ▲A사는 2016년 해킹 후 ‘1시간 내 500회 이상 로그인을 시도하는 IP를 차단’하는 룰을 단지 설정해 두었을 뿐 이것이 적정하게 동작하는지 사후 모니터링을 하지 않아 2017년 해커가 그 임계치를 간파하고 여기에 걸리지 않도록 공격하는 것을 발견하지 못했고 실제 2017년도 공격기간 7개월간 별도 로그분석을 하지 않았던 점 등이었습니다. 

다음으로 고시 제6조 제3항에 대해서는, A사가 2016년 크리덴셜 스터핑 사고 전력으로 인해 취약점을 인지했음에도 불구하고 ‘해당 이용자의 비밀번호 초기화’나 ‘추가적 인증수단 적용’ 등의 재발방지 조치를 취하지 아니하여 2017년 동종의 해킹을 당한 부분이 위법으로 판단되었습니다. 구체적 이유는, A사로서는 공격 IP 주소 대역 확인 및 이를 차단하기 위한 일회적 룰 세팅만으로는 충분하지 않고 크리덴셜 스터핑을 방어하기 위한 보다 적극적인 조치를 취했어야 하며, 특히 A패스의 경우 타 사이트 계정정보까지 기억되어 있어 유출 시 위험성이 높음을 고려할 때 2차 인증[지식기반 인증(ID⸱PW)에 더해 소유기반 인증(별도 기기인 휴대전화, 이메일, OTP 기기 등을 통한 인증) 병행] 등 높은 수준의 보호조치를 취할 필요가 있었음에도 불구하고 이를 이행하지 않았다는 점이 사회통념상 합리적으로 기대되는 보호조치 미흡으로 판단되었습니다.

A사 사건에서 정립된 고시 제6조 제1항 해석기준은 현재도 꾸준히 발생 중인 크리덴셜 스터핑 사건들에서 여전히 유효하게 적용됩니다. 대부분의 개인정보처리자는 최소한 서버 OS나 클라우드 IaaS 환경에서 제공하는 기본 방화벽 및 침입탐지시스템 정도는 사용하고 있을 것이고 상용 보안장비도 흔히 씁니다. 다만, 이들을 단지 사용한다고 해서 능사는 아니고, 보안업계에 알려진 공격 유형별·특징별 방어를 위해 맞춤형 룰 설정 및 모니터링을 통한 유지관리를 꾸준히 해야만 이 고시조항을 준수한 것으로 평가될 수 있습니다. 크리덴셜 스터핑의 경우 ‘공격기간 중 집중된 접속시도 및 급증한 로그인 실패비율’이 주요 관제사항입니다.

고시 제6조 제3항에 대한 시사점은, 다음 편에서 파라미터 변조 유형의 사건을 살펴본 후 정리해보겠습니다. 

개인정보보호위원회 조사3팀장 전승재