엘세븐시큐리티는 서버 내의 이미지에 대한 개인정보스캔과 마스킹솔루션 기능으로 GS 인증을 받았다고 밝혔다.

서버 내의 개인정보를 스캔하는 방법은 크게 두 가지가 있다. 크롤링 방식의 스캔으로 현재 인터넷진흥원에서 전국의 공공기관이나 일반 기업체의 홈페이지의 게시판을 스캔하는 방식으로, 외부에 스캔하는 솔루션을 설치하고 URL을 등록하여 그 URL에 대하여 스캔을 하는 방식이다. 여기서 중요한 것이 두 가지가 있는데, 크롤링 하는 로봇이 홈페이지의 모든 링크를 따라가면서 개인정보의 유무를 판단해야 하고, 두번째는 사이트에 로드인 하는 방식이 다양한데 이 방식을 모두 맞춰가면서 사이트에 접속해서 모든 컨텐츠에 대하여 개인정보를 찾아 낼수 있어야 한다.

이는 특별히 기관에 설치하지 않고 스캔하고자 하는 많은 사이트를 간단히 스캔할 수 있는 장점이 있지만, 웹시스템 안의 모든 컨텐츠에 대해서 스캔할 수는 없다는 단점이 있다. 이유는 홈페이지의 링크가 끊어져 있다면 크롤링 로봇이 모두 찾아갈 수 없고, 게시판의 소스에 따라 로봇이 모두 찾아 들어갈 수 없다는 한계가 있다.

엘세븐시큐리티 측은 서버 내에서 개인정보를 모두 탐지하기 위해서 크롤링 방식보다는 서버스캔 방식을 선택했다. 서버스캔 방식은 기관의 내부에 스캔 솔루션을 설치하고 각 서버의 루트 권한 아이디와 패스워드를 받아서 에이전트 없이 24시간 스캔을 하는 방식이다. 에이전트 없이 운영되기에 24시간 운영하여도 기존 서버에 영향 없이 운영할 수 있고 빠른 스캔 기능과 서버 내의 모든 파일에 대해서 개인정보를 탐지할 수 있다. 또한 개인정보가 탐지된 문서 중 이미지파일에 대해서는 마스킹까지 할 수 있는 것이 특징이다.

탐지할 수 있는 개인정보는 게시판의 본문, 문서파일의 텍스트는 물론이고 이미지 속의 개인정보까지도 모두 탐지할 수 있다. 이미지 속의 개인정보를 탐지하기 위해서는 이미지에서 문자를 추출하는 OCR(광학적문자인식)모듈이 탑재되어야 하는데 엘세븐시큐리티에서는 몇 년전부터 개발된 인식율 95% 이상의 OCR 모듈을 통하여 개인정보를 탐지할 수 있기에 가능했다.

이러한 서버스캔 방식의 개인정보스캔과 마스킹 솔루션은 확장자가 없는 파일까지도 탐지해낼 수 있어 개인정보를 탐지하는 데에는 효과가 있다.

엘세븐시큐리티 손명국 연구소장은 “개인정보스캔 용역 서비스를 하면서 개인정보가 발견되지 않은 기관은 하나도 없었고 기존에 개인정보차단 솔루션이 있었어도 텍스트에서 개인정보가 많이 탐지되어 삭제를 한 경험이 있다”라며 “인터넷진흥원으로부터 개인정보 노출에 대한 경고를 받지 않았다고 해서 개인정보가 없다고 안심해서는 안되고 서버 내의 모든 파일에 대해서 개인정보를 스캔한다면 어떤 기관이나 텍스트나 이미지에서 개인정보를 보유하고 있고 이것이 꾸준히 노출되고 있었다고 생각해야 한다”라고 말했다.

엘세븐시큐리티 관계자는 “이번 GS 인증획득 기념으로 기관의 서버 2대에 대해여 무상으로 개인정보 스캔을 하는 서비스를 하고 있기에 개인정보 스캔이 필요한 기관은 어디나 연락을 하면 된다”라며 “앞으로 어떤 기관이든 개인정보의 노출에 대하여 준비를 한다면 서버 내의 이미지 속 개인정보까지도 스캔하고 마스킹 할 수 있는 인증받은 솔루션으로 점검을 하거나 솔루션을 도입하는 것을 추천한다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

출처 : 데일리시큐(https://www.dailysecu.com)