과징금 폭탄 맞은 인크루트, 개인정보위 제재 사유 반박
[지디넷코리아]
개인정보위원회가 2020년 9월 인크루트에서 발생한 개인정보 유출건에 과징금 제재 결정을 내리자, 인크루트 측은 개인정보 보호조치와 관련해 일부 오해의 소지가 있다며 반박 입장을 냈다.
개인정보 보호조치를 제대로 이행하지 않은 것은 아니고, '크리덴셜 스터핑' 공격을 차단하기 위한 침입 탐지나 차단 정책이 없었던 것도 아니라는 주장이다.
보안 전문가들은 크리덴셜 스터핑 형태의 공격들은 이미 잘 알려져 기술적인 대응 방법들이 있는데, 결국 개인정보가 유출됐다는 점에서 회사의 준비가 미흡했다고 봤다.
개인정보위는 지난 12일 보도자료를 통해 인크루트가 해커로부터 크리덴셜 스터핑 공격을 당했으나 대규모 로그인 시도를 차단하기 위한 침입 탐지와 차단 정책을 실행하지 않았다고 밝혔다.
그 당시 해커가 사전에 확보한 다수의 아이디(ID)와 비밀번호 정보를 무작위로 대입해 로그인을 시도하는 공격 방식인 크리덴셜 스터핑 공격을 사용했는데, 이에 대비하는 정책이 없었다는 지적이다.
또 개인정보위는 휴면계정 해제 시에도 추가 인증 요구 없이 아이디나 비밀번호만으로 해제가 가능하도록 설정하는 등 접근 통제 조치를 소홀히 했다고도 지적했다.
개인정보위에 따르면 인크루트는 개인정보 보호법 제29조(안전조치의무)를 위반했다. 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 해야 하는데, 이를 어겼다는 것이다.
이같은 이유로 인크루트에 과징금 7천60만원과 과태료 360만원을 부과했다.
인크루트 측은 잘못은 인정하지만, 개인정보 보호조치를 소홀히 한 것은 아니라고 반박했다. 개인정보위 보도자료처럼 침입 탐지나 차단 정책을 실시하지 않았다는 것도 오해의 소지가 있다고 했다.
회사 측은 "2020년 9월 당시 발생 시점 이전부터 보안시스템(NGFW, IPS, IDS, 보안관제, DB·서버 접근제어 등)을 상시 운영해 불법적인 접근을 통제하고 있다"며 "보안시스템에서 탐지되지 않을 수 있는 비정상적인 접근은 운영 현황과 이상징후(브루트 포스 공격 포함)를 상시 모니터링해 비정상 행위 탐지 시 IP를 즉시 차단하는 등 개인정보 보호조치를 이행해 왔다"고 설명했다.
이번 개인정보 유출은 크리덴셜 스터핑 공격에 의한 것으로, 불법적으로 수집된 개인의 크리덴셜(아이디·패스워드 등 인증정보)을 공격자가 악용해 웹서비스에 로그인하는 것을 말한다.
인크루트는 "크리덴셜 스터핑 공격은 개인의 아이디, 패스워드 관리 부주의 등에 의해 이미 유출된 개인정보(크리덴셜)를 공격자가 다른 경로로 보유하고 있다가 이를 악용해 각종 웹서비스에의 로그인을 시도하는 공격 기법인데, 크리덴셜 스터핑 공격에 의한 개인정보 유출은 기존의 개인정보처리시스템에서 발생되는 개인정보 유출과 차이가 있다"고 주장했다.
회사는 크리덴셜 스터핑 공격을 인지한 즉시 IP 접속을 차단했고, 공격자가 IP를 변경할 가능성을 고려해 공격자의 접속 패턴을 분석하고 동일한 공격 패턴을 차단하는 등 인지 시점으로부터 45분 내 긴급대응해 공격자의 악성 행위를 차단했다고도 설명했다.
인크루트 관계자는 "긴급대응 이후 로그인 보안 관련해 소유인증, 봇(Bot) 방지, 패스워드 관리 보안 강화, 비정상 로그인 시도 탐지 및 제한 고도화 등 강화된 보안을 서비스에 적용했다"고 말했다.
이와 관련 보안업계 관계자는 "인크루트 관련해서는 어떤 보안 체계가 없어서 공격이 이뤄진 것이라고 단정짓기는 어렵다"면서도 "다만 크리덴셜 스터핑과 같은 형태의 공격들은 잘 알려진 공격이고, 대응할 수 있는 기술적인 방법이 많이 나와 있기 때문에 (인크루트) 대응에 있어서는 아쉽다"고 평가했다.
또 "이런 공격은 아주 정교하거나 특정 대상을 타깃팅해서 만들어진 형태의 공격이라고 보기에는 어렵고, 불특정 다수를 대상으로 진행된 것 같다"며 "(인크루트와 같은 채용 플랫폼들은) 구직자들의 개인 정보를 많이 보유한 만큼 상대적으로 더 보안에 신경을 써야 한다"고 조언했다.
