최근 대량의 개인정보 유출 사고가 잇따라 발생하고 있으며, 외부 해킹과 더불어 내부직원 및 외주업체 직원에 의한 개인정보 유출사고가 증가하고 있다. 이에 따라 기업에서는 내부 보안을 강화하고, 개인정보 처리 업무를 위탁한 수탁사를 대상으로 개인정보의 분실, 도난, 유출 위험을 최소화하기 위해 정기적인 조사 및 점검을 통한 개인정보 감사를 진행하고 있다. 그러나 수탁사의 다양한 업무환경으로 인해 한정된 시간 동안 모든 개인정보 취급 PC를 정밀 조사하는데 어려움이 있다. 따라서 개인정보의 유출 위험성이 높은 고위험군을 식별하여 점검 대상을 효과적으로 선정하는 것이 필요하다. 본 논문에서는 디지털 포렌식 기법을 활용하여 사용자 행위 기반의 고위험군 선정 방안을 제안한다. 또한, 이를 활용하기 위한 도구를 설계 및 구현하였고, 실험 결과를 통해 효과를 입증한다.
최근 대량의 개인정보 유출 사고가 잇따라 발생하고 있으며, 외부 해킹과 더불어 내부직원 및 외주업체 직원에 의한 개인정보 유출사고가 증가하고 있다. 이에 따라 기업에서는 내부 보안을 강화하고, 개인정보 처리 업무를 위탁한 수탁사를 대상으로 개인정보의 분실, 도난, 유출 위험을 최소화하기 위해 정기적인 조사 및 점검을 통한 개인정보 감사를 진행하고 있다. 그러나 수탁사의 다양한 업무환경으로 인해 한정된 시간 동안 모든 개인정보 취급 PC를 정밀 조사하는데 어려움이 있다. 따라서 개인정보의 유출 위험성이 높은 고위험군을 식별하여 점검 대상을 효과적으로 선정하는 것이 필요하다. 본 논문에서는 디지털 포렌식 기법을 활용하여 사용자 행위 기반의 고위험군 선정 방안을 제안한다. 또한, 이를 활용하기 위한 도구를 설계 및 구현하였고, 실험 결과를 통해 효과를 입증한다.
Recently the leak of personal information from in-house and contract-managed companies has been continually increasing, which leads a regular observation on outsourcing companies that perform the personal information management system to prevent dangers from the leakage, stolen and loss of personal ...
Recently the leak of personal information from in-house and contract-managed companies has been continually increasing, which leads a regular observation on outsourcing companies that perform the personal information management system to prevent dangers from the leakage, stolen and loss of personal information. However, analyzing many numbers of computers in limited time has found few difficulties in some circumstances-such as outsourcing companies that own computers that have personal information system or task continuities that being related to company's profits. For the reason, it is necessary to select an object of examination through identifying a high-risk of personal data leak. In this paper, this study will formulate a proposal for the selection of high-risk subjects, which is based on the user interface, by digital forensic. The study designs the integrated analysis tool and demonstrates the effects of the tool through the test results.
Recently the leak of personal information from in-house and contract-managed companies has been continually increasing, which leads a regular observation on outsourcing companies that perform the personal information management system to prevent dangers from the leakage, stolen and loss of personal information. However, analyzing many numbers of computers in limited time has found few difficulties in some circumstances-such as outsourcing companies that own computers that have personal information system or task continuities that being related to company's profits. For the reason, it is necessary to select an object of examination through identifying a high-risk of personal data leak. In this paper, this study will formulate a proposal for the selection of high-risk subjects, which is based on the user interface, by digital forensic. The study designs the integrated analysis tool and demonstrates the effects of the tool through the test results.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 다수의 개인정보취급 PC로부터 점검 대상을 보다 효과적으로 선정하기 위한 사용자 행위 기반의 감사 대상 선정 방안을 제안하고, 이를 활용하기 위한 도구를 설계 및 결과물을 보여준다.
본 논문에서는 모든 개인정보취급 PC에서 신속하게 PC 사용 정보를 분석하여 실제 유출 위험성이 존재하는 행위가 있었는지를 판단하였고, 내부 직원의 PC 사용 정보와 내부 보안 정책을 반영하여 위험도를 수치화 하였다. 실험을 통해 확인하였듯이 사용자 행위 기반의 개인정보 감사 대상 선정 방법은 기존의 샘플링 방법에 비해 정확도가 높게 측정되었다.
샘플링 방법을 이용한 고위험군 선정 및 점검 결과와 PC사용 행위 기반의 고위험군 선정 및 점검 결과를 통해 고위험군 선정 대상의 유효성 및 정확성을 비교하기 위한 실험을 수행하였다. 결과 측정 방법은 각각의 방법을 통해 선정한 고위험군 대상으로부터 실제 유출 위험성이 존재하는 대상의 비율로 정확성을 비교하였다.
PC사용 행위 기반 고위험군 식별 방법은 표 1과 같이 PC사용 흔적 중 정보 유출 위험성이 높은 행위를 선별하고, 수탁사의 개인정보 취급PC로부터 유출 위험성이 있는 사용 패턴을 가진 PC를 파악하여 고위험군으로 식별하는 것이다. 즉, 조사 우선순위를 샘플링이 아닌 사용자의 PC 사용 패턴(행위)에 기반하여 점검 대상을 선정하는 것이다.
제안 방법
샘플링 방법을 이용한 고위험군 선정 및 점검 결과와 PC사용 행위 기반의 고위험군 선정 및 점검 결과를 통해 고위험군 선정 대상의 유효성 및 정확성을 비교하기 위한 실험을 수행하였다. 결과 측정 방법은 각각의 방법을 통해 선정한 고위험군 대상으로부터 실제 유출 위험성이 존재하는 대상의 비율로 정확성을 비교하였다.
따라서 레지스트리로부터 개인정보 취급 PC에 연결되었던 외부저장매체의 디바이스 정보, 연결 시각, 시리얼 번호 등을 수집하고, 링크 파일로부터 참조 대상 파일의 드라이브 유형 및 시리얼 번호, 프리패치 파일로부터 참조 목록 및 응용 프로그램이 실행되었던 드라이브 시리얼 번호 등을 함께 분석하여 비인가 저장매체의 사용흔적과 개인정보 취급·유출 흔적 여부를 조사한다.
사용자의 응용프로그램 설치 및 실행 흔적은 레지스트리와 링크 파일, 프리패치, 점프 목록에서 확인할 수 있다. 따라서 이러한 아티팩트들로부터 응용 프로그램의 설치 및 사용 시각, 실행 횟수 등의 정보를 수집하고 각 응용프로그램에서 PC에 남기는 로그 및 설정 파일이 존재하는지 확인 후 함께 분석하여 사용자가 해당 응용프로그램을 통해 어떠한 행위를 수행하였는지를 조사한다[4].
대상 데이터
본 고위험군 선정 시스템은 그림 1과 같이 클라이언트, 중앙 서버, 그리고 사용자 행위 분석 agent와 통합 분석 도구로 구성되어 있다. 클라이언트는 수탁사에서 개인정보를 처리·취급하는 PC이며, 중앙 서버는 클라이언트와 사용자 행위 분석 agent 및 분석 결과 DB 파일을 서로 주고받을 수 있도록 네트워크가 연결되어 있으며, 통합 분석 도구가 실행되는 서버 또는 일반 PC를 의미한다.
샘플링 기반 고위험군 선정 대상은 58개의 수탁사로부터 182대의 PC를 선정하였고, PC사용 행위 기반 고위험군 선정 대상은 31개의 수탁사로부터 94대의 PC를 선정하였으며 PC사용 행위를 파악하기 위해 선별 수집 작업이 포함된 PC는 약 290대이다.
실험 환경은 TM업체, DM발송 업체, SMS/MMS발송 업체, 여행사, 홈페이지 운영대행 업체, 신용평가 업체 등 개인정보를 취급하는 다양한 수탁업체를 대상으로 진행하였으며, 두 가지 방법의 실험을 진행하는 동안 서로 다른 위탁업체로부터 동일한 개인정보 처리 업무를 위탁받은 중복된 수탁업체 또한 결과에 포함시켜 점검하였다.
유출 위험성이 존재하는 행위 발견 여부(Pi)와 사내 보안 정책 위배 여부(Wi)를 아래 식과 같이 계산하여 PC사용 행위 기반의 유출 위험성(T)를 도출할 수 있으며, 이 결과를 바탕으로 개인정보 감사 대상을 선정할 수 있다.
성능/효과
이러한 경우 파일 업로드가 가능한 웹 사이트 접속 및 메일 사용 등 개인정보의 유출 위험성이 존재한다. 따라서 웹 접속 기록 및 파일 열람 기록, 사용 시각, 메일 아카이브 파일 등을 수집하여 개인정보의 유출 여부 및 유출 위험성을 판단한다.
실험 결과와 같이 선별 수집한 데이터를 기반으로 모든 개인정보 취급자 PC의 사용 패턴 분석 후 고위험군을 선정하였던 방법이 상대적으로 더 높은 정확도를 보이는 것을 확인할 수 있다.
본 논문에서는 모든 개인정보취급 PC에서 신속하게 PC 사용 정보를 분석하여 실제 유출 위험성이 존재하는 행위가 있었는지를 판단하였고, 내부 직원의 PC 사용 정보와 내부 보안 정책을 반영하여 위험도를 수치화 하였다. 실험을 통해 확인하였듯이 사용자 행위 기반의 개인정보 감사 대상 선정 방법은 기존의 샘플링 방법에 비해 정확도가 높게 측정되었다. 이러한 연구 결과를 토대로 개인정보 감사를 수행하는 조사관은 보다 정확한 유출 위험 대상자를 선별하여 개인정보 유출 사고 예방에 많은 도움을 줄 수 있을 것이다.
위 사례에서 소개된 유출 경로 외에도 표 3과 같이 팩스, 메신저, P2P, 웹 하드, 클라우드, FTP, 원격 프로그램 등 다양한 경로를 통해 개인정보 유출이 가능하다. 개인정보 감사 관점에서 정보 유출 가능 경로는 개인정보의 유출 여부 판단 및 잠재적인 위험성을 파악하는데 중요한 점검 요소로 사용된다.
표 2는 내부직원 또는 외주업체 직원에 의한 개인정보 유출 사례 및 유출 경로를 정리한 것이다. 위 사례에서 알 수 있듯이 개인정보 취급자가 개인정보를 고의적으로 유출하는 경우 USB 메모리가 가장 많이 사용되었으며, DVD, 이메일, 프린터, 불법 프로그램 또한 개인정보 유출 경로로 사용되었음을 알 수 있다.
후속연구
모든 개인정보취급 PC를 대상으로 심층 분석을 수행한다면 많은 시간이 소요되어 전수 조사가 어려우며, 내부 직원들의 업무 효용성이 저하될 수 있다. 따라서 정보 유출 위험성이 높은 행위들을 신속하게 파악할 수 있는 윈도우 아티팩트를 선별 수집하고 분석함으로써 점검 시간을 단축시키고, 모든 개인정보 취급 PC를 대상으로 1차적 점검이 가능하므로 샘플링 점검의 한계점을 보완할 수 있다.
실험을 통해 확인하였듯이 사용자 행위 기반의 개인정보 감사 대상 선정 방법은 기존의 샘플링 방법에 비해 정확도가 높게 측정되었다. 이러한 연구 결과를 토대로 개인정보 감사를 수행하는 조사관은 보다 정확한 유출 위험 대상자를 선별하여 개인정보 유출 사고 예방에 많은 도움을 줄 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
개인정보 감사에 디지털 포렌식 기법을 활용시 장점은?
디지털 포렌식 기법을 활용한 개인정보 감사는 개인정보 취급 PC에서 수행한 흔적들을 분석하여 사용자 행위를 파악할 수 있으며 앞서 언급한 점검하기 어려운 항목들에 대해 확인이 가능하다. 또한, 정보보안 관련 시스템(DLP, DRM, F/W 등)이 구축되어 있는 수탁사의 경우 해당 로그와 사용자 행위 분석 결과를 비교하여 보안솔루션의 정상 동작 여부 및 보안정책 반영 여부, 모니터링 여부 등을 함께 파악할 수 있다. 이처럼 개인정보 감사에 포렌식 기법을 적용하는 경우 다양한 장점이 존재하는 반면 많은 시간이 소요된다는 단점이 존재한다.
개인정보 감사에 디지털 포렌식 기법 적용시 단점은?
또한, 정보보안 관련 시스템(DLP, DRM, F/W 등)이 구축되어 있는 수탁사의 경우 해당 로그와 사용자 행위 분석 결과를 비교하여 보안솔루션의 정상 동작 여부 및 보안정책 반영 여부, 모니터링 여부 등을 함께 파악할 수 있다. 이처럼 개인정보 감사에 포렌식 기법을 적용하는 경우 다양한 장점이 존재하는 반면 많은 시간이 소요된다는 단점이 존재한다.
개인정보 유출 사고는 주로 무엇으로 발생하는가?
개인정보 유출 사고 원인은 다양하지만 주로 개인정보를 악의적인 목적으로 활용하기 위한 외부 해킹이나 내부자에 의한 고의적인 유출로 인해 발생한다.
참고문헌 (7)
Korea Internet Security Agency (KISA), Information Security Statistics [Internet]. Available: http://isis.kisa.or.kr/sub07/?pageId070500
The Board of Audit and Inspection of Korea(BAI) [Internet]. Available: http://www.bai.go.kr/HPBKAudResultOpenAction.do?methoddetailData&SEQ_NO1642&PAGE1&CYBER_PUHE_YNY&AUD_YEAR_NO2014081&TASK_TYPEKP1
Microsoft.[MS-SHLLIK] Shell Link (.LNK) Binary File Format. [Internet]. Available: http://msdn.microsoft.com/en-us/library/dd871305.aspx
H. Carvey, Windows Registry Forensics: Advanced Digital Foernsic Analysis of the Windows Registry, Burlington, NJ: Syngressmedia, 2011
T. H. Kang and J. I, Lim "A study on consigned party management system enhancement for personal information protection," Journal of The Korea Institute of Information Security & Cryptology, Vol 23, No. 4, pp. 781-797, Aug. 2013.
C. H. Lee, "Study on digital investigation model for privacy acts in Korea", Journal of the Korea Navigation Institute, Vol. 15, No. 6, pp. 1212-1219, Dec. 2011.
C. S. Jung and Y. C. Kim, "A study on system tracing user activities in the windows operating system", Journal of the Korea Institute of Information Security & Cryptology, Vol. 21, No. 8, pp. 101-114, Aug. 2011.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.