옥션(AUCTION)과 주민등록번호(식별코드)

오늘

옥션(AUCTION)과 주민등록번호(식별코드)

닉네임은왜공개되는가! 2008. 2. 17. 01:39

"1·25 인터넷 대란" - 위키백과

"1·25 인터넷 대란" - 한국정보보호진흥원 ( '1·25 인터넷 침해사고' 로 표현 )

"IBM은 2월 13일 '2007년 X-포스 보안 보고서' 에서 사이버 범죄자들이 암시장에서 거래하는 웹해킹 도구를 이용해 PC 사용자들의 개인 정보를 대규모로 빼가고 있다고 발표" - 한겨레

얼마 전 국내 최대 회원수를 보유하며? '한국인터넷데이터센터(KIDC)' 내 위치한 옥션의 해킹 소식은 다수의 금융/포탈/온라인 쇼핑/게임사의 비밀번호 변경 안내문으로 이어졌고, 비슷한 시기에 일어난 아이템거래사이트의 분산서비스거부(DDoS)는 보안 등급이 높은 제1금융권을 제외한 대부분이 필요에 따라 사정권에 들어갈 수 있다는 것을 보여줬다. 문제는 이들 업체가 물리적 IPS(침입방지시스템)와 IDS(침입탐지시스템) 등으로 이중/삼중 네트워크 보안 제품을 구성하더라도 장기간 진행됐던 현실을 볼 때, 대안이 될 수 없다는 점이다.

해킹이건 공격에 의한 서비스 정지건 소비자 입장에서는 개인정보 누출에 의한 피해를 걱정할 수밖에 없다. 스패머가 노리는 정보 중 주민등록번호는 한번 노출되면 변경이 쉽지 않다는 점을 생각할 때, 발가벗고 길거리를 활보하는 것과 다른 바 없다고 생각한다.

스매머들의 수집 방법이 웹 해킹 등으로 다양하게 진화한 현재, 민간 기업에서 주민등록번호(식별코드) 사용이 타당한지 묻지 않을 수 없으며, 유출 된 개인정보에 대해 일차적 책임을 일방적으로 개인의 탓으로 돌리는 제도 또한 짚고 넘어가야 할 것이다.

//DDoS 공격 - 한국정보보호진흥원
공격자(해커)가 악성코드에 감염된 다수의 PC를 이용하여 대량의 유해 트래픽을 특정 시스템에 전송함으로써 네트워크 및 시스템의 과부하를 유발하여 정상적인 서비스를 방해하는 사이버 공격

//웹 해킹이란?
인터넷 브라우저나 웹 사이트의 설계상 취약점을 이용해 침투하는 것.

//스패머(스팸 발송자)가 노리는 것
실명/신용.은행현금카드/주민번호/휴대전화번호/메일주소 등

- 한국정보보호진흥원 통합 실태점검 사무국 : http://www.unitycheck.com/

( 개인정보취급사업자가 필수적으로 알아야 할 개인정보보호조치 )

덧, 회원 가입시 "개인정보를 제휴기관에 제공하시겠습니까?" 이런식으로 낚시질이 많은데 자신의 개인정보를 국가에서 '1단계, 2단계, 3단계, 4단계' 형태로 구분해 약관 및 동의 부분에 적시하면 그 긴고 긴, 약관을 끝까지 읽는 수고를 덜 수 있을 것이다. 방통위(구 정통부)는 생각좀 하고 살자.

덧, 2005년 12월 경 '아쿠아리움' 처럼 단순한 해킹을 얘기하기에는 관련 정보가 널리고 널렸다는 것이 문제다.

덧, 개인 사용자의 PC가 오염이 된 상황이라도 금융 시스템에 준하는 곳에 접속을 할 경우 안전성을 보장을 보장할 수 있는가?

//추가.

시장에서 유통되고 있는 프로그램의 정부 인증 선택에서 의무화로 바꾸는 것에 대해 생각한 적이 있다. 영세한 소프트웨어 시장을 감안해 현 시장에서 적절한가 생각이 들어 깊이 생각하지 않았다. 그렇다고 넋 놓고 볼 수도 없어 심도 있는 고민이 요구됨. 링크 : ‘가짜 컴퓨터 백신’ 에 126만 명 피해

관련 자료 : 한국정보보호진흥원 내 보안성평가란

//불법스팸메일 신고프로그램(SPAMCOP) / 비스타용은 개발중이라고 함. ( 2008.03.02 )
http://www.kisa.or.kr/kisa/spam/jsp/spam_5010_01.jsp

2009.07.10 확인 : Vista 用 아직도개발중 --;
2010.01.14 확인 : Windows 98/ME/2000/XP/2003/Vista/Windows7 지원으로 나옴.

//추가.2008.04.17
옥션 어떻게 공격당했나...범죄의 재구성

옥션, 해킹사고 관련 추가공지
( 자신의 정보 침해 유.무 확인차 일시적으로 많은 사용자가 몰려, 회원 탈퇴도 힘든 상황. )

//옥션 소송 관련 카페 - 기사 ( 소송관련 법무법인 비판기사 : 링크 )
옥션 정보유출 소송모임 : http://cafe.daum.net/auctionlawsuit
명의도용 피해자 모임 : http://cafe.naver.com/savename

//보안 업계가 말하는 기본 보안이란?
"보안업계가 말하는 기업이 기본적으로 갖추어야 할 보안 제품은 방화벽·칩입방지시스템(IPS)·웹방화벽·백신·패치매니저·관리솔루션. 이 중 방화벽과 IPS는 단일 제품으로 여러 기능을 제공하는 통합보안장비(UTM)로 대체할 수 있다." - 인용

//LGT(LG 텔레콤) 고객정보 또 유출 - 링크 , 관련 블로그 , 기사

//네이버도 해킹으로 ID 대량유통된 듯. - 링크

//청와대 NSC(국가안전보장이사회) 사무처 PC, 웜 바이러스로 자료 누출 - 링크

미국 기업의 경우, IT예산의 10%를 보안에 사용하는데 반해 국내 업계는 2-3%로 사실상 무방비 상태. - 링크

정보보호진흥원의 형식적 검사로 논란. - 링크

>> 2010.08.17 정보화 강국 코리아, 보안산업은 걸음마 - YTN

//이번에 'http://clean.mopas.go.kr/' 의 한시적 클린 이벤트에 대해 '자기고백'이란 글이 보이더군요. 정말 딱 그꼴입니다. - 링크

//추가.2008.05.21 옥션사태, 주민등록번호가 문제이며 아이핀(I-PIN)은 대안이 될 수 없다

//추가. 2008.05.27 '금융기관 무더기 해킹'…970만명 고객정보 유출

//추가. 2008.07.22 2010년까지 정보보호 사회안전망 구축 - 행안부 뉴스레터
2008.07.22 네이버는 왜 '10대 해커'에 당했나? - ZDNet
2008.07.23 '다음' 너 마저도ㆍㆍㆍ포털의 끝없는 추락 - 이투데이

//추가. 2008.09.09 “GS칼텍스 집단소송 노리고 정보 유출” ( 1100만 ) - KBS

//추가. 2009.11.30 [단독] 엔프로텍트, 해킹당해 100만 고객 DB와 ID/PW 유출! - 보안뉴스

이 프로그램은 초기부터 2~3시간이면 클라이언트 보호 기능 조작이 가능해, 이를 막고자 잦은 업데이트를 동반해서 사용자 입장에서는 불편했던 기억이 나는군요.

>> 2010.03.30 ‘nProtect’ 멀티 플랫폼 서비스 강화 - YTN

크로스오버를 하는군요. 고통 분담으로 여기더라도.. 짜증은 서비스 --;;

//2010.01.13 `옥션 개인정보 해킹 피해` 14일 판결 - 이데일리

"옥션 측은 "해킹은 기술적으로 완벽히 차단 할 수 없는 것이 현실"이라며 "우리나라 보안 발전을 위해서는 해킹이나 보안상의 문제가 발생할때 무조건 기업이 잘못했다고 몰아부치는 것이 아니라 기업과 정부가 함께 법과 제도를 정비하는 쪽으로 고민해야 한다"고 주장했다" - 인용

기사에서 옥션 측은 "해킹은 기술적으로 완벽히 차단할 수 없는 것이 현실"이라고 나오는데, 사실 민간 및 행정 기관이 해킹에 준하는 공격을 받았다고 가정할 때, 이를 이용하는 사용자 일부만 직.간접적으로 상황으로 인지해 적절한 대응을 한다.

이에 반해 다수의 이용자들은 기업과 기관에서 대처하기 전에는 알 수 없어, 웹사이트 변이시 악성코드에 쉽게 노출된다.

국내 기업이 보안 비용을 미국수준으로 늘린다고 하더라도, 현실적 대안으로 보기 어렵기에 행정기관에서는 일반 이용자들도 쉽게 알 수 있도록 접근한 웹사이트를 통한 안정성을 실시간으로 제공할 의무를 강제할 필요가 있다.

간략하게나 나마 파폭,구글의 '안정 브라우징(safe-browsing)' 형식이나 안철수 사이트가 제공하는 웹사이트용 보안 위젯(?) 등의 형식을 의무하해 실시간으로 알리는 것도 한 예가 될 수 있을 것 같다.

‘악성 사이트 차단’ 만능일까? - 블로그

악성코드, 구글 검색결과마저 조작한다 - 시멘텍

//2010.01.14 “옥션 1080만명 정보 유출 배상책임 없다” - 경향신문

2010.01.14 "옥션 정보유출 배상의무 없어"(종합) - 연합뉴스

"재판부는 "정보통신망 서비스 제공자에게 해킹으로 개인정보가 도난당한 것에 대한 책임을 지게 하려면 제공자가 해킹방지 의무를 위반해 이를 예방하지 못한 경우에 한해야 한다"며 "옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다"고 밝혔다." - 인용

2010.01.14 <옥션 집단소송 패소…변호사만 `흐뭇(?)'>- 연합뉴스

"박근용 참여연대 사법감시팀장은 "소송 참여는 개인이 각자가 판단해야 하므로 변호사의 집단소송 수임 자체에 대해 평하긴 어렵다"면서 "다만 외국처럼 소비자 단체가 소송을 내면 그 결과가 여기 참여하지 않은 소비자에게도 미치는 소비자단체소송을 제도적으로 확대할 필요가 있다"고 말했다." - 인용

예상대로 주민등록번호(식별코드)의 유출에 대해 묻는 이는 있어도 책임을 지는 이는 없군요. 책임이 사용자에게만 전가되는 현실에서 보안 비용을 늘린다 하더라도, 제도미비로 선진국 수준으로 유지하기에는 제한적인 효과만 예상됩니다. 대안인양 홍보하는 i-pin 도 보안성과 접근성을 고려할 때, 합리적인 방법인지 진지한 고민이 필요해 보입니다.

결국, 제도개선으로 이어지는군요. 선진국의 좋은 제도는 왜 도입되지 않는 걸까요?

//2010.03.12 정부, 신세계등 고객정보 유출업체 단속(종합2보) - 연합뉴스

"옥션때보다 많은 2천만건 유출...암호화도 안돼 2차 피해우려" - 인용

신세계 관련 공지 : http://www.shinsegae.com/support/notice_mem_intro.asp

아이러브스쿨 관련 공지 : http://cs.iloveschool.co.kr/Custsupport/notice_view.html?bt_id=917

25개 기업중 2곳만 공개됐으며 나머지 23개 기업체는 수사가 마무리되면 알린다고 함.

관련해서 대형 포털 사이트는 비밀번호 변경 캠페인 中

.추가

대명 리조트(기사) , 루센(네비게이션 업체) , 보배드림(중고자동차매매) , ..........

//2010.03.23 옥션, 개인정보유출 700만명 추가 공지 - 연합뉴스

//2010.03.30 한국인 주민번호·아이디·암호…‘건당 1원’ - 한겨레

//2010.05.31 개인정보 1천200만건 中해커에 유출 - 연합뉴스

//2010.06.07 아이핀 도용, 경고가 현실로…1만개 명의도용 적발 - 미디어오늘

2010.06.07 방통위 “아이핀, 선불카드 인증 못한다” - 경향신문

//2010.07.28 주민번호 몰래 사용됐는지 확인해보세요" - 머니투데이

via : http://clean.kisa.or.kr

//2010.08.17 다음, 네이버 아이디 해킹 확인하세요 - WIKITREE

"검색창에 '121.254.224.66'을 치면 피해를 당한 사람들의 사례"를 확인할 수 있다고 함.

//2011.01.24 中 '컴맹'도 한국을 해킹 한다 - 한국일보

2010.01.25 10만원만 주면 수백명 개인정보 해킹 - 파이낸셜뉴스

2010.01.25 (상) 고객정보 ‘털린’ 기업들은 쉬쉬 - 파이낸셜뉴스

2010.01.25 (상) 지능화·고도화되는 신종 사기수법 - 파이낸셜뉴스

//2011.01.26 서민 등골 빼먹은 불법 대부중개 업자들(종합) - 연합뉴스

"이들이 범죄에 활용한 전화번호는 중국 업자에게서 개당 2~7원을 주고 사들이거나 컴퓨터 엑셀프로그램으로 조합된 것이었으며, 이런 방식으로 발송된 스팸 문자는 하루 평균 5만건에 달했다고 검찰은 전했다." - 인용

//국회, 개인정보보호법 계류 관련

2010.09.27 [기고] 행안부만 키우는 개인정보보호법 / 류제성 - 한겨레

2010.09.30 '개인정보보호법' 통과의 의미와 향후 방향 - 블로그

아직 본회에 상정되지 않았지만, 현행 '고유식별정보 처리 제한' 관련해서 원칙적 처리금지는 환영할만한 일입니다.

2010.11.17 특집] 개인정보보호법, 앞으로 무엇이 달라지나? - 보안뉴스

2010.11.22 PC서 불필요한 개인정보 없애는 솔루션 '특수' - 전자신문

내년 하반기 개인정보보호법의 시행을 앞두고 ‘개인정보 검색 솔루션’들이 특수를 맞기 시작했다. ‘개인정보 검색 솔루션’은 회사 내 개별 PC에 개인정보가 얼마나 보관되어 있는지, 불필요한 개인정보는 없는지 등을 검색해 개인정보 수집과 저장을 최소화한다.

//현대캐피탈 해킹 관련
   2011.04.08 현대캐피탈 고객정보 42만 건 해킹...“해커로부터 협박받아” - 보안뉴스
   2011.04.10 현대캐피탈, 신용등급 및 현대론 패스 정보도 유출...일파만파 - 보안뉴스
   2011.04.25 현대캐피탈 고객정보, 대부업체 유출 가능성 수사 - 보안뉴스

//2011.04.25 주민번호 대신 아이핀 쓰자더니 “왜 주민번호는 그대로?” - 보안뉴스

"방통위의 한 관계자는 “사실 아이핀으로 전환한다고 하더라도 주민번호를 삭제하는 것은 강제사항이 아니기 때문에 단속을 할수도 없는 상황”이라면서 “현재로서는 자발적으로 주민번호를 삭제하도록 유도할 수밖에 없다”고 말했다." - 인용

//2011.07.28 네이트·싸이월드 해킹, 회원 3500만명 중 일부 정보 유출

2011.07.28 전화번호ㆍ이메일도 털려…인터넷뱅킹ㆍ피싱 2차 피해 `공포` - 한국경제
2011.07.28 SK커뮤니케이션즈 공지사항 - SK컴즈 ( 이미지 / 주소 고정으로 내용 수시로 변경 예상 )

2011.07.28 [종합]네이트·싸이월드 이용자, 대부분 털렸다 - 뉴시스

"석제범 방통위 네트워크정책국장은 긴급 브리핑을 갖고 "이번 해킹으로 인한 고객정보 피해규모를 정확히 파악하기 힘들지만 가입자 중 대다수가 유출된 것으로 보고 있다"고 말했다.

방통위에 따르면 과거 국내 포털과 오픈마켓 등의 개인정보 노출 사고가 있었지만 이번 사고처럼 3500만명의 ID, 이름, 휴대폰번호 등이 광범위하게 노출된 것은 단일 사이트로는 사상 최대규모다.

이번에 네이트와 싸이월드를 통해 유출된 고객정보는 고객 이름, ID, 이메일, 전화번호, 암호화된 주민등록번호와 비밀번호 등이다." - 인용

2011.07.29 네이트 유출 여부 확인하려다 오히려 주민번호 샐 수도 - 보안뉴스
2011.07.29 SK컴즈 "보관 개인정보 최소화, 보안강화 나선다" - 한국경제

"주형철 SK컴즈 대표는 "향후 보관 개인정보를 이름과 ID, 전화번호, 이메일. 비밀번호로 최소화하겠다"고 말했다. 특히 주민등록번호를 더 이상 보관하지 않겠다는 것이다. 주 대표는 "향후 가입 회원은 1회 본인인증 후 주민번호를 보관하지않고, 보관의무가 없는 고객의 경우 보관된 주민등록번호를 폐기하겠다"고 말했다." - 인용

>> 2011.07.29 [단독] 네이트·싸이 비번암호화 3초 만에 풀려 - SBS

2011.12.21 포털의 ‘주민번호 포기’ 선언…인터넷실명제 ‘흔들’ - 한겨레