보안의 취약점은 항상 사소한 것을 간과하는 데서 발생한다...
가까운 주위를 살피자... ^^
=================================================================================
가까운 주위를 살피자... ^^
=================================================================================
| 김태정 기자 ( ZDNet Korea ) 2007/08/24 |
혹
시 수명이 다한 PC를 아무 조치 없이 폐기 했는가? 만약 중요한 정보가 남았다면 큰 낭패를 볼 수 있다. 이를 노리는 ‘정보
유출자’들이 상당수 존재하고 있기 때문이다. 파일을 나름 삭제했다 해도 특화된 솔루션을 사용하지 않았다면 얼마든지 복구, 악용될
수 있다.
2004년 KAIST가 발표한 ‘개인정보 유출실태 보고서’에 따르면 인터넷경매를 통해 구매한 41개 PC중 30%에서 1,349명분의 개인정보가 발견됐다. 이는 주민등록번호, 거주지, 이름은 물론 인터넷 뱅킹 사용내역까지 포함하고 있었다. 또 기업에서 매각이나 기증형식으로 처리되는 PC에서 정보를 빼내는 사례도 있다.
국정원/금감원 등 정보삭제 지침 시행
비록 최근 통계는 나온 바 없으나 문제 심각성은 2004년보다 훨씬 늘어났다는 것이 전문가들의 의견이다. 기업들은 계속 오래된 PC를 사원들에게 저렴한 가격으로 매각하거나 기증하고 있으며, 개인들은 중고상에 의존하고 있다. 그러나 하드내 정보 삭제에 대한 의식은 아직 부족한 것이 사실이다.
에스엠에스 서미숙 과장은 “계속되는 기술 유출사고 중 상당수가 하드디스크의 내용을 제대로 폐기하지 않아 일어난 것”이라며 “국정원을 비롯한 정부기관이나 금융감독원에서 관련 지침을 연달아 발표하는 것이 그 방증”이라고 설명했다.
국가기밀이나 중요자료 유출을 방지하기 위해 저장자료 삭제기준 등이 포함된 ‘정보시스템 저장매체 불용처리 지침’을 제정, 시행하고 있다. 이에 따라 공공기관 등은 중요 정보자료 등을 삭제할 때 삭제 전용장비와 SW를 도입하려면 국정원의 보안적합성 검증을 받아야 한다.
지금까지 에스엠에스의 ‘블랙매직 v1.1’과 파이널데이터 ‘파이널레이저 v1.1’, 코엠아이티 ‘KD-1’ 등 몇 개 제품이 검증을 완료했고, 신청 업체는 계속해서 늘어날 전망이다.
디가우징, 짧은시간 대용량 폐기 가능
한편, 보안기업 이네트렉스는 PC를 안전하게 폐기할 수 있는 다섯까지 방법을 최근 제시했다.
첫째, 겹쳐쓰기 방식은 S/W를 이용해 폐기될 하드 디스크에 데이트를 겹쳐 쓰게 해 원래의 데이터를 찾을 수 없게 한다. 저장매체에 대헤 난수나 0, 1로 겹쳐 쓰는 방식으로 클라이언트 수가 작을 경우 처리비용이 저렴하고 재활용도 가능하다. 일반 S/W로는 데이터 북구가 불가능하다는 장점도 있다. 그러나 보안규정상 최소 3회 이상을 반복해야 해 작업시간이 길어지기도 한다.
둘째, ‘Low Level Format’ 방식은 하드 디스크 제조업체에서 제공하는 SW를 이용해 데이터를 삭제하는 방식이다. 그러나 포맷 후 급격한 성능저하와 하드 디스크 고장시 사용이 불가능해 최근에는 겹쳐쓰기 프로그램으로 대체하고 있다.
셋째, 파기방식은 물리적인 힘으로 하드 디스크 원형이 불가능하게 분쇄하는 방식이다. 단 완전히 파기되지 않은 조각은 복구가 가능하다.
넷째, 소각방식은 하드 디스크를 용광로에서 소각하는 방식으로 몇몇 공공기관과 군부대에서만 사용하고 있다. 소각시 발생하는 유해물질이 상당해 해외에서는 환경청에서 승인한 소각로에서만 시행할 수 있다.
다섯째, 디가우징(Degaussing : 소자) 방식은 자력을 이용해 하드 디스크내 영구모터의 자력소거와 미디어에 보자력을 상쇄시켜주는 방식이다. 에스엠에스나 이네트릭스를 비롯해 이를 공급하는 업체와 함께 수요도 계속 늘어나고 있다.
초기 투자비용이 많이 들지만 OS나 소프트웨어 적으로 처리가 불가능한 ‘하드 배드 섹터’나 ‘인식불능 하드’ 방법도 시행 할 수 있으며, 짧은 시간에 대용량을 폐기할 수 있다. @
2004년 KAIST가 발표한 ‘개인정보 유출실태 보고서’에 따르면 인터넷경매를 통해 구매한 41개 PC중 30%에서 1,349명분의 개인정보가 발견됐다. 이는 주민등록번호, 거주지, 이름은 물론 인터넷 뱅킹 사용내역까지 포함하고 있었다. 또 기업에서 매각이나 기증형식으로 처리되는 PC에서 정보를 빼내는 사례도 있다.
국정원/금감원 등 정보삭제 지침 시행
비록 최근 통계는 나온 바 없으나 문제 심각성은 2004년보다 훨씬 늘어났다는 것이 전문가들의 의견이다. 기업들은 계속 오래된 PC를 사원들에게 저렴한 가격으로 매각하거나 기증하고 있으며, 개인들은 중고상에 의존하고 있다. 그러나 하드내 정보 삭제에 대한 의식은 아직 부족한 것이 사실이다.
에스엠에스 서미숙 과장은 “계속되는 기술 유출사고 중 상당수가 하드디스크의 내용을 제대로 폐기하지 않아 일어난 것”이라며 “국정원을 비롯한 정부기관이나 금융감독원에서 관련 지침을 연달아 발표하는 것이 그 방증”이라고 설명했다.
국가기밀이나 중요자료 유출을 방지하기 위해 저장자료 삭제기준 등이 포함된 ‘정보시스템 저장매체 불용처리 지침’을 제정, 시행하고 있다. 이에 따라 공공기관 등은 중요 정보자료 등을 삭제할 때 삭제 전용장비와 SW를 도입하려면 국정원의 보안적합성 검증을 받아야 한다.
지금까지 에스엠에스의 ‘블랙매직 v1.1’과 파이널데이터 ‘파이널레이저 v1.1’, 코엠아이티 ‘KD-1’ 등 몇 개 제품이 검증을 완료했고, 신청 업체는 계속해서 늘어날 전망이다.
디가우징, 짧은시간 대용량 폐기 가능
한편, 보안기업 이네트렉스는 PC를 안전하게 폐기할 수 있는 다섯까지 방법을 최근 제시했다.
첫째, 겹쳐쓰기 방식은 S/W를 이용해 폐기될 하드 디스크에 데이트를 겹쳐 쓰게 해 원래의 데이터를 찾을 수 없게 한다. 저장매체에 대헤 난수나 0, 1로 겹쳐 쓰는 방식으로 클라이언트 수가 작을 경우 처리비용이 저렴하고 재활용도 가능하다. 일반 S/W로는 데이터 북구가 불가능하다는 장점도 있다. 그러나 보안규정상 최소 3회 이상을 반복해야 해 작업시간이 길어지기도 한다.
둘째, ‘Low Level Format’ 방식은 하드 디스크 제조업체에서 제공하는 SW를 이용해 데이터를 삭제하는 방식이다. 그러나 포맷 후 급격한 성능저하와 하드 디스크 고장시 사용이 불가능해 최근에는 겹쳐쓰기 프로그램으로 대체하고 있다.
셋째, 파기방식은 물리적인 힘으로 하드 디스크 원형이 불가능하게 분쇄하는 방식이다. 단 완전히 파기되지 않은 조각은 복구가 가능하다.
넷째, 소각방식은 하드 디스크를 용광로에서 소각하는 방식으로 몇몇 공공기관과 군부대에서만 사용하고 있다. 소각시 발생하는 유해물질이 상당해 해외에서는 환경청에서 승인한 소각로에서만 시행할 수 있다.
다섯째, 디가우징(Degaussing : 소자) 방식은 자력을 이용해 하드 디스크내 영구모터의 자력소거와 미디어에 보자력을 상쇄시켜주는 방식이다. 에스엠에스나 이네트릭스를 비롯해 이를 공급하는 업체와 함께 수요도 계속 늘어나고 있다.
초기 투자비용이 많이 들지만 OS나 소프트웨어 적으로 처리가 불가능한 ‘하드 배드 섹터’나 ‘인식불능 하드’ 방법도 시행 할 수 있으며, 짧은 시간에 대용량을 폐기할 수 있다. @
'Security_Space' 카테고리의 다른 글
| 웹2.0보안「Ajax와 XML을 방어해라」 (0) | 2007.09.20 |
|---|---|
| 주민번호 대체수단「아이핀」문제점 속출 (0) | 2007.09.19 |
| MS, 해커 테마로 한 블로그 개설 (0) | 2007.08.30 |
| 보안적합성 인증「현장서 실력 보여라」 (0) | 2007.08.28 |
| 보안 문제는「직원 책임」? (1) | 2007.08.27 |