임을규 교수(공과대∙컴퓨터)
최근 잇달아 터진 개인정보 유출사건으로 통해 본 '개인정보 보안'
최근 통신회사 KT의 홈페이지가 해킹돼 1만 2000여 명의 개인 정보가 유출됐다. 앞서 KB국민카드, NH농협카드, 롯데카드의 일명 ‘카드3사 개인정보 유출사건’의 여파가 채 가시기도 전에 알려진 소식에 ‘개인정보는 공공재’라는 우스갯소리마저 돌고 있다. 잇단 사태, 지난 주 황성기 교수(법대∙법학)와 알아본 관련 법제 해설에 이어 기술적 해답은 없는지 임을규 교수(공과대∙컴퓨터)에게 물었다.
당신의 개인정보가 위험하다
 |
KT개인정보 유출사건에서 해커가 사용한 방법은 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 초보수준의 해킹 방식이었다. 고객마다 부여된 고유번호를 홈페이지에 입력하면 해당 고객의 정보를 바로 볼 수 있도록 해 놓은 것이 화근이었다. 본인확인 절차 없이 정보가 공개되도록 한 것. “하나의 아이피(IP, 인터넷상의 한 컴퓨터에서 다른 컴퓨터로 데이터를 보내는 데 사용되는 프로토콜)에서 틀린 번호를 계속 시도하면 이것을 공격이라 인식하고 발견해내는 프로그램이 KT에도 있었을 겁니다. 해커는 이를 피하기 위해 아이피를 바꿔가면서 시도한 것 같아요. 그래서 KT에서는 공격자로 판단하기 어려웠던 거죠. 그렇다 해도 본인확인절차 없이 정보를 공개하도록 해 놓은 게 문제였습니다.” 이번 사건을 일으킨 해커는 다른 여러 사이트에서도 같은 방식을 시도했지만 KT에서만 성공했다고 밝혔다.
KT사건이 외부인의 해킹에 의한 유출사건이었다면, 카드3사 개인정보 유출사건은 카드회사 측에서 용역을 맡긴 보안업체에 의해 유출된 사건이었다. “카드회사에서는 카드가 사용될 때 이것이 정상적인 사용인지 아닌지 확인하는 작업을 거칩니다. 이 작업을 보안업체에 맡긴 것이 화근이었죠. 보안업체에 맡기면 카드고객에 대한 정보를 다 넘겨야 하는데, 이것이 무방비로 노출된 겁니다. 보안업체에 맡길 거라면 그 정보를 조회할 수는 있더라도 다운로드는 불가능하게 조치를 취했어야 합니다.” 이번 사태가 기술적 결함이자 인재였다고 봐도 무방하다는 이야기다.
무엇이 문제인가
 |
정보유출사건이 연달아 터지는 데 대해 보안업계과 학계에서는 정부의 과도한 ‘규제’에 원인이 있다고 말한다. 정부에서 공인인증서를 비롯, 개인을 식별할 복잡한 절차를 강요하기 때문. 해킹사건이 발생해도 정부 규제를 어긴 부분이 없어 처벌이 힘들다. 그러니 기업이 능동적으로 보안 시스템도 구축하지 않는 상황, 마냥 기업의 양심에 맡길 수도 없는 노릇이다. “일정 비용을 보안에 투자하라고 강제해도 진짜 보안에 투자하는지는 기업에 달린 겁니다. 이는 규제만으로 해결되는 부분이 아니죠. 집단 소송이 발달한 미국에서 KT 같은 정보유출사건이 일어나면 그 회사는 소송으로 거의 망할 겁니다. 한편 우리나라는 이런 사건이 터져도 기업이 받는 타격이 미미해요. 답답한 노릇이죠.”
이런 지적에 관련 규제를 아예 폐지하자는 목소리도 거세다. 최근 공인인증서 폐지 바람 등이 그것. 하지만 임 교수는 이 또한 능사는 아니라고 말한다. “미국에선 뱅킹서비스를 받을 때 아이디와 비밀번호만 가지고 처리합니다. 그런데 오늘 돈을 송금하면 내일 오후 3시에 인출할 수 있죠. 우리나라에서 지금 당장 그런 불편함을 감수하라고 한다면 힘들 겁니다. 아이디와 패스워드는 더욱 쉽게 유출되기 때문에 더 위험하기도 하고요. 공인인증서를 쓰지 않더라도 다른 인증방법이 가능하도록 고안해야 합니다. 영국처럼 OTP(One Time Password, 무작위로 생성되는 난수의 일회용 패스워드를 이용하는 사용자 인증 방식)카드 번호를 함께 입력하는 방법도 있겠죠.”
임 교수는 현상황에서 개인정보유출사건이 발생할 경우, 기업이 거액의 피해보상금을 배상하도록 해야 한다고 말했다. “기업이 배상금으로 인해 큰 타격을 받는 선례가 있어야, 다른 기업들도 미리 개인정보보호를 위해서 투자할 겁니다. 기업 스스로 보안관련 투자금을 아까워하지 않도록 고객의 손을 들어주는 판례가 필요합니다.”
개인 차원에서 지킬 수 있는 비밀번호
 |
임 교수는 기업 차원에서 보안 절차를 잘 지키는 것과 더불어 '주기적인 점검'이 중요하다고 말했다. “보안 절차를 잘 지킨다고 해도 문제는 발생할 수 있습니다. 그래서 보안이 어려운 거죠. 한 번 구축해 놓는다고 끝나는 게 아니거든요.” 안전행정부는 일정한 개인정보보호 수준을 갖춘 기업에 인증마크를 주고 이를 공개하는 ‘개인정보보호 인증제’를 실시하고 있다.
그렇다면 사용자는 기업차원의 노력에 기댈 수 밖에 없는 걸까. 임 교수는 비밀번호 설정의 중요성을 강조했다. 비밀번호는 해시값(파일고유의 코드)으로 저장된다. 해킹을 통해 해시값이 해커의 손에 들어가면, 해커는 모든 가능한 조합을 입력해서 해시값을 구한 후 일치하는 해시값이 있는지 확인한다. “비밀번호를 복잡하게 만들수록 가능한 조합의 수가 많아지기 때문에 해커가 알아내기 어렵습니다. 대문자, 숫자, 특수문자까지 포함하는 게 안전하죠. 해킹을 통해 해시값 파일이 유출됐더라도 내 비밀번호는 알아내지 못하도록 하는 겁니다.”
임 교수는 이용하는 사이트의 중요도에 따라 다른 비밀번호를 사용한다고 말했다. “사이트마다 다른 비밀번호를 쓰는 것이 가장 안전하겠지만 그것은 현실적으로 불가능하겠죠. 그렇다면 어느 정도 사이트의 등급을 나눠서 제일 중요하다 싶은 사이트의 비밀번호는 더 복잡하게 만드는 것이 좋죠. 또 보안은 강화하면 강화할수록 사용자가 불편해집니다. 불편함을 감수해야 하는 이유에 대한 꾸준한 사용자 교육도 필요합니다. 그래야 왜 3개월에 한번씩 비밀번호를 바꾸어야 하는지, 그것이 왜 중요한 지 납득하고 실천하겠죠.”
불안해하며 기업과 정부의 대책을 기다릴 수 밖에 없지만 그래도 마지막 하나 남은 자물쇠는 ‘비밀번호’다. 어떤 사이트에서든 많은 개인정보를 요구하는 우리나라 현실, 내어줄 수 밖에 없다면 개인정보를 열 수 있는 비밀번호만큼은 내 손에 쥐고 있어야 한다. 얼마 전 미국의 한 보안회사가 발표한 지난해 최악의 비밀번호 1위는 ‘123456’이었다. 조금 귀찮다고 소홀히 하면 어느새 당신의 개인정보는 ‘만인의 정보’가 될 것이다.
권수진 학생기자 sooojinn@hanyang.ac.kr
박보민 사진기자 marie91@hanyang.ac.kr