본문 바로가기

카테고리 없음

디지털복사기 하드드라이브를 지켜라!!! - 하드통해 정보'술술'


지난달 15일 미국 CBS가 이른바 저장매체가 달린 디지털복사기의 문제를 폭로함으로써 복사기의 보안이 사회문제로 떠오르고 있습니다

내용인즉슨 지난 2002년이후 출시된 대부분의 디지털복사기는 컴퓨터처럼 저장매체 즉 하드드라이브가 장착돼 있어서 이 복사기가 복사한 모든 내용이 하드드라이브에 고스란히 보관되며 복사기 수명이 다하거나 복사기를 재판매할때 이 하드드라이브를 잘못 처리할 경우 개인정보를 비롯한 엄청난 정보들이 유출된다는 내용이었습니다
[CBS보도 SCRIPT 전문 보기]

그러니까 대학교앞 복사점에서 복사를 하거나, 법원앞에서 주민등록증을 카피하더라도 그 디지탈복사기의 하드드라이브의 우리가 카피한 정보가 고스란히 저장되게 되는 것입니다
[CBS 보도 동영상-아래]


Watch CBS News Videos Online

CBS는 뉴저지지역의 한 중고 디지탈복사기 창고를 찾았습니다 이 창고에는 6천대의 중고 디지탈 복사기가 비닐포장이 된채 보관돼 있었고 취재진이 3백달러씩, 천2백달러를 주고 4대의 복사기를 구입했습니다

놀랍게도 이 4대의 복사기에는 하드드라이브는 생산당시 모습대로 부착돼 있었고 복사기 일생동안의 모든 기록들이 고스란히 내장돼 있었습니다

뉴욕주 경찰국에서 사용하던 복사기에서는 성범죄자들의 신상기록이 쏟아져 나왔고 보험회사에서 사용했던 복사기에서는 보험가입자들의 민감한 병원기록들이 나왔습니다


이같은 상황에 대해 CBS기자는 '신분도용범죄자들에게는 디지털복사기가 그야말로 금밭[노다지;POT OF GOLD]이 돼고 있다고 말했습니다. '복사기 하드는 노다지다' 이런말입니다

지난 2008년 샤프사가 미국소비자들을 대상으로 조사를 했을때 응답자의 60%가 복사기에 하드드라이브가 부착돼 있다는 사실을 몰랐다고 합니다

복사기회사에서도 소비자들에게 이같은 사실을 알리고 보안회사들도 한대에 5백달러짜리 보안소프트웨어를 만드는등 복사기 보안에 나서고 있지만 현실적으로 복사기보안이 쉽지만은 않은 듯 합니다

그렇다면 한국의 상황은 어떨까요

아마도 한국은 미국보다 IT 선진국이고 소비자들도 미국인들보다는 훨씬 빨리 IT첨단기기를 받아들이고 있어 미국보다는 나은 상황이라 생각됩니다

인터넷을 통해 간접적으로 리서치해본 결과 몇몇 흥미로운 정부자료들을 발견할 수 있었습니다

2007년 7월 6일 국가정보원은 '디지탈복사기 보안결함 긴급보안조치요령' 이란 공문을 전 정부기관에 보냈다고 합니다
제목에서 알수 있듯이 보안결함을 뒤늦게 발견하고 긴급보안조치요령을 알린 것입니다
[디지털복사기 보안결함 긴급보안조치요령 전문보기]



그같은 사실은 내용을 보면 더욱 확연히 알 수 있습니다
보안담당자는 저장매체가 내장된 복사기현황을 파악하되, 복사기 유지보수업체 직원을 활용해 복사기 뒷면을 열어 저장매체가 부착됐는지를 직접 확인할 필요가 있다고 돼 있습니다

그러니까 정부기관에서 사용중인 복사기중에 저장매체가 부착된 복사기가 있음을 국가정보원에서 뒤늦게 알게 됐고 해당기간에 이 복사기가 몇대 있는지 당장 파악하고 못 미더우니 가능한 한 모든 복사기의 뒷면을 다 열어서 직접 확인해 보라는 지시입니다

국내에 디지탈 복사기가 언제부터 보급됐는지 모르지만 복사기회사에서 2002년이후 디지털복사기를 출시했다고 하므로 2002년이후, 아무리 늦게 잡더라도 긴급보안조치요령이 하달된 2007년보다는 훨씬전에 보급됐지 않나 생각됩니다

일시적으로 국내 정부기관에도 복사기 보안에 구멍이 뚫려 있었던 것입니다

또 이 공문에는 복사기 토너등을 교체할때도 보안담당자가 직접 입회해서 저장매체가 탈취되지 않도록 해야 하며 교체-양여-반납-수리등을 할 경우에는 저장자료를 반드시 삭제하라고 지시했습니다

국가정보원이 이같은 긴급보안조치요령을 하달한 사실은 소방방재청이 지난 2009년 8월 4일 제정한 소방방재청 훈령 제 184호에 의해 확인됩니다

소방방재청 정보보안업무 시행규칙이라는 이 훈령의 제9장 보칙중 제100조 12항에 디지털복사기 보안결함 긴급보안조치요령(국정원 2007.7.6) 이라고 기록돼 있습니다 


제27조 6항에 디지털 복사기등 저장매체가 내장된 디지털 사무용기기 보안관리요령이 위 공문에 의거, 반영돼 있습니다 [소방방재청 훈령 184호 보기]

또 이 공문제목으로 인터넷 검색을 하면 교육기관인 모대학에서 언제 공문이 하달됐는지는 모르나 최초 지침이 내려간뒤 21일이 지난 2007년 7월 27일에야 총무행정팀명의로 내부전산망 공지사항에 '디지털복사기 보안결함 긴급보안조치요령'이라는 글을 올린 사실을 알 수 있습니다
[디지털복사기 보안결함 긴급보안조치요령 보기]

그러나 국정원 긴급보안조치요령이 하달된지 4개월뒤인 2007년 12월 6일 발효된 행정자치부 훈령 제246호 '정보통신보안업무규정'에는 이같은 저장매체가 내장된 디지털복사기등에 관한 보안지침은 반영돼 있지 않았습니다

Watch CBS News Videos Online]로 이동합니다." href="http://andocu.tistory.com/script/powerEditor/pages/%3E%3Cembed%20src='http://cnettv.cnet.com/av/video/cbsnews/atlantis2/player-dest.swf'%20FlashVars='linkUrl=http://www.cbsnews.com/video/watch/?id=6412572n&releaseURL=http://cnettv.cnet.com/av/video/cbsnews/atlantis2/player-dest.swf&videoId=50086489,50087325,50087326,50087324,50087322,50087323&partner=news&vert=News&si=254&autoPlayVid=false&name=cbsPlayer&allowScriptAccess=always&wmode=transparent&embedded=y&scale=noscale&rv=n&salign=tl' allowFullScreen='true' width='425' height='324' type='application/x-shockwave-flash' pluginspage='http://www.macromedia.com/go/getflashplayer'>
Watch CBS News Videos Online" target=_blank>[행자부 훈령 246호 보기]

행자부훈령 제246호에는 '보조기억매체'를 사용하는 PC등의 관리지침이 있지만 이 훈령에는 복사기에 대한 언급은 없었습니다

그후 행정자치부는 행정안전부로 이름이 바꼈으며 지난해 6월 9일 발효된 행정안전부 훈령 제147호 '정보통신보안업무규정'에는 제32조 정보시스템 저장매체 불용처리 조항에 저장매체를 가진 PC, 복사기, 팩스에 대한 관리지침에 구체적으로 명시됐습니다
[행안부 훈령 147호 파일 전체보기]




물론 훈령은 2007년 12월 6일 이후 지난해 6월9일 147호 발령때까지 2008년 3월 11일, 2008년 6월 18일, 2009년 1월19일에도 개정이 되었으므로 과연 언제 정확히 복사기 관리지침이 반영됐는지는 다른 훈령을 더 확인해야 되겠지만 2007년 12월 6일 246호에는 반영되지 않은 것이 확실해 보입니다

어쨌거나 우리나라가 조금 늦긴 했지만 2007년 여름 국가정보원에서 디지털복사기의 보안문제를 인식하고 정부기관에 이를 알렸다는 면에서 아직 정보가 새고 있는 미국보다는 훨씬 나은듯 합니다

이문제에 대해 정부기관이나 대기업등에서는 나름대로 철저하게 방어하겠지만 우리들이 일반적으로 이용하는 복사집들은 그러하지 못할 것이라 생각됩니다

법원앞의 복사집, 관공서앞의 복사집, 대학교앞의 복사집등 수많은 복사집에 고스란히 남겨져 있을 우리의 정보들은 과연 안전할까요

이 문제에 대해 점검이 필요할 듯 합니다