[일요시사=경제2팀] "보안의 시작은 어떤 것도 신뢰하지 않는 것이다.”
오희국 한국정보보호학회 신임 회장(한양대 교수)이 보안의 출발점에 대해 말했다. 오 회장은 "아무것도 믿을 수 없는 환경에서 검증을 통해 신뢰할 수 있는 상태로 만들어가는 것"이라며 "결국 보안은 신뢰를 향해 가는 것"이라고 강조했다.
최근 KB국민, 롯데, NH농협 카드3사, KT, 티몬, CJ대한통운 등 고객정보 유출 사건이 줄줄이 터졌다. 이번에는 카드3사에서 유출된 개인정보가 대출 중개업자에게 추가로 팔린 사실이 드러났다. 2차로 판매된 개인정보는 1억 건에 육박한다.
"이번 개인정보유출 사태는 20년 만의 대형 붕괴 사건입니다. 과거 1994년 성수대교, 1995년 삼풍백화점이 무너졌던 만큼 심각한 상황이라는 이야기죠. 그런데 국민들의 반응이 의외로 침착합니다. 다들 체념했기 때문이죠."
오희국 한국정보보호학회 회장이 연이어 터지는 기업들의 정보유출에 대한 국민들의 반응에 씁쓸해했다. 오 회장도 개인정보 유출 사태를 피해갈 수 없었다. 그는 "국민카드, 롯데카드 확인해보니 나도 털렸다"며 "안 쓴 지 10년이 넘은 카드사 정보도 털렸다"고 웃었다. 안산의 한양대 캠퍼스 연구실에서 오희국 한국정보보호학회 신임 회장을 만나 정보유출 사태에 대한 이야기를 들어봤다. 다음은 오 회장과의 일문일답.
- 최근 카드3사 정보가 또다시 유출됐다.
▲ 우선 카드3사 1차 고객정보유출 당시 금융당국의 안이한 대책에 있다. 1차 고객정보 유출 사태 후 금융당국은 유출된 정보를 '회수'했다며 국민들에게 안심하라고 했다. 유출정보를 '회수'했다니, 정말 말도 안 되는 표현이다. 어떻게 디지털 정보를 '회수했다'고 말할 수 있는가.
우리 학회에서 정말 경악했다. 디지털 정보는 결코 회수할 수 없는 정보이기 때문이다. 어떤 것이 원본인지 복사본인지 구분할 수 없다. 디지털 정보의 속성조차 모르는 금융당국의 태도에 2차 정보유출사태는 예상할 수밖에 없는 결과였다.
- 금융사들은 오히려 억울하다는 입장인데.
▲ 이번 사태는 어떤 고급기술을 가진 뛰어난 해커들에 의해 유출된 것이 아니다. 보안은 사슬과 같다. 모든 것이 단단해도 하나만 터져도 보안은 붕괴된다. 그런데 금융사들은 사용자의 개인정보를 소중하게 생각하지 않았다. 철저한 감시는커녕 USB 통제도 허술했고, 고객정보에 대한 원본데이터도 덥석 외주업체에 넘겨줬다. 그만큼 내부통제가 허술하다보니 보안망이 쉽게 뚫린 것이다. 명백한 인재다.
- 인증수단은 적절한가. 해커들의 개인정보 수집 가치를 떨어뜨릴 수 있는 방안이 있다면.
▲ 주민등록번호를 대체할 수 있는 식별 번호가 필요하다. 애초부터 주민등록번호가 인증수단이 되는 것이 적절하지 않다고 본다. 주민등록번호 자체는 한 사람에게 부여하는 고유의 ID로서의 기능만 해야 한다. 쉽게 바꿀 수 있는 카드 번호나 비밀번호와 달리 주민번호는 바꾸기 어렵다. 불변의 정보다. 그런데 외국과 달리 우리나라는 주민번호를 요구하는 곳이 너무 많다.
비밀스러워야 하고 다른 사람이 알아서는 안 되는 정보가 너무 쉽게 이용되는 셈이다. 이미 주민등록번호는 많은 곳에 퍼져있다. 또한 불행하게도 주민등록번호 안에는 개인의 많은 정보가 담겨있다. 주민번호만 알아도 그 사람에 대한 정보가 나온다. 생년월일, 지역, 성별까지 알 수 있다. 그래서 찝찝한 거다. 식별 가능한 정보들을 암호화해서, 나중에 누군가 빼가더라도 알아볼 수 없게 만들어야 한다.
- 비용이 너무 많이 들 것 같다. 다른 방법은 없나.
▲ 비용이 들더라도 암호화해서 저장하는 방식을 추천할 수밖에 없다. 가장 강력한 인증수단은 지문인식이나 홍채인식이다. 그런데 너무 강력해도 문제다. 지문인식, 홍채인식은 한번 노출되면 바꿀 수 없기 때문이다. 추천할 만한 방식은 아니다. 노출이 되더라도 쉽게 바꿀 수 있는 인증체계를 도입해야 한다.
- 외국은 어떻게 관리하나.
▲ 미국의 경우 주민번호를 인증수단으로 요구하지는 않는다. 미국은 소셜시큐리티넘버(SSN)로 인증을 하기도 하지만 인터넷에서 인증을 요구하지는 않았다. 회사자체에 인증 수단을 갖춰놓았다. 따라서 어떤 은행에서 고객정보 유출사태가 터졌다 해도 해당 은행 거래자의 정보만 유출된다. 그런데 우리나라의 경우 대부분 주민번호를 인증수단으로 쓰다 보니 한번 터지면 다 같이 터지는 것이다.
주민번호 자체가 개인정보…단순 ID화 절실
"정보 회수했으니 안심? 이미 엎질러진 물"
- 해커들은 주로 어디를 노리나.
▲ 역시 금융사다. 돈이 관련된 은행, 카드사 등의 금융사 정보가 가장 효용가치가 높다. 금융사 고객의 정보는 마케팅에 쓸 수 있는 정보들이 많이 담겨있기 때문이다. 특히 은행과 카드사의 고객정보는 그 사람의 재정 상태까지 알 수 있어 이용가치가 높다. 금융사의 고객 신용정보를 통해 어떤 사람이 대출받을 만한 상황인지 파악이 된다. 해커들 입장에서도 팔아넘기기 굉장히 좋은 정보다.
- 그렇다면 소규모 사이트의 보안은.
▲ 쇼핑몰 등 작은 업체들의 보안 상태는 너무나 취약하다. 보안에 신경 쓸 여력도 없고 거의 뚫려있다고 보면 된다. 웹하드 업체를 조사한 적 있는데 이곳 보안도 굉장히 취약한 것으로 보였다. 밝혀지지 않았을 뿐 이미 많은 정보들이 유출됐을 것이다. 다만 업체 규모가 워낙 작다보니 고객정보 양이 많지 않고, 금융사처럼 재정 상태에 대한 정보가 없어 해커들에게 매력적인 곳은 아니다. 털어봐야 별 게 없기 때문이다.
- IT투자 현황 등 국내 보안의식은.
▲ 보안은 지속적으로 투자가 이뤄져야 하는 분야다. 보안은 보초와 같다. 따라서 보안투자는 국방비의 개념이다. 하지만 기업들은 보안이 이익창출에 직접적인 영향을 주지 않는다고 보안투자를 말 그대로 나가는 돈이라고만 생각하고 있다. 그런데 이번 사태를 보면 보안을 못해서 잃는 손실이 너무 많지 않은가. 지난 2011년 농협에서 고객정보를 유출했다.
이후 금융사들이 부랴부랴 보안투자를 잠깐 늘린 적이 있다. 그러다 1년쯤 지나면서 조용해지니까 금융사들이 또다시 보안을 방치하기 시작한 것이다. 보안투자를 동결하거나 더 줄였다. 특히 이번에 고객정보를 유출한 카드3사(KB국민, 농협, 롯데카드)는 지난해 모두 보안투자를 줄였다. 전쟁 평화시라고 국방비를 안 쓴 것이나 마찬가지다.
- 기업과 금융당국의 자세는.
▲ 안보는 외주에 맡겨서는 안 된다. 보안 작업은 내부에서 전문 인력을 채용해서 작업을 해야 하는데 대부분의 기업들은 보안작업을 외주에 맡겨버린다. 여기서 사고가 터지는 것이다. 금융사의 경우에도 비대면 업무가 90%를 차지할 정도로 IT화되고 있다.
그만큼 IT분야가 전문화돼야 하는데 대부분의 IT업체들은 소규모 형태다. 금감원, 금융위원회 등 금융당국에도 IT분야 전문가가 거의 없는 것으로 보인다. 보안 전문가가 있더라도 의사 결정하는 데 참여하지 못하는 분위기다. 많은 분야가 IT화 되고 있는데 IT에 투자하는 예산은 터무니없이 적다. 시대는 변하는데 정부의 IT 개념은 아직도 과거에 머물러 있다.
박효선 기자 <dklo216@ilyosisa.co.kr>
[오희국 회장은?]
▲한국정보보호학회 19대 회장
▲방송통신위원회 민관합동조사단 위원
▲경기도의회 정보화위원회 위원
▲대검찰청 디지털수사자문위원
▲한양대학교 컴퓨터공학과 전임교수
▲한국전자통신연구소 선임연구원
