KT 유출사고
파라미터 변조
파라미터 변조란 매개변수의 변조를 의미하는 것으로
정보를 빼내기 위해 서버의 파일시스템 경로를 악의적으로 변경하는 공격. 공격자는 사이트의 URL 파라미터를 변경해 데이터베이스에 침입하여 정보를 변조 또는 유출시킵니다.(출처: TTA, 한국정보통신기술협회).
1. KT 유출사고
- 14년 3월 6일, KT 홈페이지 해킹으로 가입고객의 1천 6백만명중에
1천2백만명의 개인정보가 유출되었습니다.
- 유출된 정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등입니다.
- KT와 제휴를 맺고 있는 텔레마케팅 업체 대표 박모(37)씨가 영업을 위해 전문해커 김모(29)씨와 정모(38)씨와 공모하여 오픈소스 프로그램(파로스 프록시)을 이용하여, 고객고유번호 9자리를 무작위로 수 차례 입력하는 프로그램을 제작하였습니다.
2. 사용된 기술
- 파라미터 기반 사용자 인증방식에서는 계정을 식별할 수 있는 식별자를 통해 구분하는 경우가 대표적이며, 이러한 식별자는 특정위치에 저장되며 이러한 식별자는 특정 위치에 저장되며 클라이언트에 저장되는 데이터(예. 쿠키)는 신뢰할 수 없는 사용자 영역에 존재하기 때문에, 사용자가 임의로 조작이 가능하다는 문제점이 발생합니다.
- 1) 사용자 인증 식별자가 클라이언트에 저장되어있고,
2) 식별자 구성형태가 단순하여 유추가능할 경우 자신의 식별자를
타인의 값으로 변조하여 쉽게 해킹이 가능합니다.
3. 경과
- 14년 6월 방통위는 방통위는 KT社에 개인정보를 다량 보유한 기간통신사업자에 걸맞은 기술적, 관리적 보호 조치를 하지 않았기 때문이라며 과징금 7천만 원과 과태료 1500만 원을 부과하였습니다.
- 이에 대해 KT는 방통위를 상대로 과징금부과 처분 취소소송을 제기하였고, 재판부는 재판부는 “KT는 해커 공격에 대비해 침입탐지방지 시스템을 운영하고 상시로 모의 해킹을 수행하는 등 보호조치 기준을 적절히 이행했다”며 “파라미터 변조 수법이 널리 알려졌기는 하나 방식에서는 무수한 패턴이 있어 이번 해킹 공격에 대비하기 어려웠다”고 밝혔습니다.
4. 파라미터 변조의 대응방식
- 공격자가 쉽게 세션 ID를 유추 하지 랜덤화와 세션 길이를 적절히 하는 것이 필요하며, 세션 사용 종료시 즉시 파기될 수 있는 조치가 필요해 보입니다.
관련링크:
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
'IT, 저작권 이야기' 카테고리의 다른 글
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
|---|---|
| 표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0) | 2016.10.26 |
| 인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0) | 2016.10.26 |
| 유럽 사법재판소 판결 유동IP 주소는 개인정보 (0) | 2016.10.24 |
| 개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0) | 2016.10.24 |