[숲속얘기의 2014년 핫 키워드 ④] 개인정보와 보안 (카드사태를 되짚으며)

개인정보는 ‘핫’ 할 만한 키워드이기는 하지만, 국내의 IT업계 특히 개인정보를 다루는 금융과 정부는 이 논의가 확산되기를 원하지 않는 것 같습니다. 그러다보니 2014년에 개인정보가 핫 키워드를 선정한 것은 예측이라기보다는 바램에 가깝습니다.

이번처럼 매우 큰 일이 발생했음에도 불구하고, 기존의 태도와 현재까지의 신용카드측과 정부측의 행동을 보면 유야무야 또 묻혀지고 말 듯 합니다. 묻혀지기 전에 그래도 환기라도 시켜보고자, 네번째 핫 키워드로 “개인정보 보안”을 선택했습니다.

346315118_d760745346_z
Source : http://www.flickr.com/photos/73272114@N00/346315118

1. 서비스에는 이미 수준 높게 강요되고 있는 개인정보 보안

개인정보보안이 국내에 낮은 수준으로 강요되고 있는 것은 아닙니다. 이미 개인정보보호법은 충분히 강력하며, 이 법안을 지키기 위해 많은 서비스 업체들은 노력을 하고 있습니다. 말도 많고 탈도 많은 주민등록번호를 수집하는 일반 서비스 사이트는 찾기 어렵게 됬습니다. 개인정보보호법에 의하면 개인정보 취급이 워낙 까다롭고 비용이 드는 일이므로, 기업에는 기회라기보다는 리스크로 판단할 수 있는 상황입니다.

2. 문제는 아직도 바뀌지 않은 정부와 금융 시스템

그러나, 정작 문제는 다른데 있습니다 .주민등록번호는 여전히 정부와 금융계에서는 개인을 식별하는 키로 사용되고 있으며, 공인인증서 역시 주민등록번호 기반입니다. 아이핀이라는 후속 기술이 나와는 있으나, 이에 대한 관리의 용이성이나 사용자들의 인식 수준은 공인인증서를 따르지 못하고 있으며, 말씀드린 대다수의 정부와 금융사이트에서는 아이핀을 사용할 수 없습니다.

3. 시스템보다 더 핵심 문제는 바로 거버넌스

그러나 이 시스템의 보안 문제는 차라리 양호한 편입니다. 주민등록번호가 누출되고, 공인인증서가 탈취되더라도 패스워드가 누출되지 않는다면 결제 정보 같은 핵심 데이터 접근이 쉽지 않습니다. 그러나, 내부관리자의 문제라면 어떠한 보안 시스템이라도 한순간에 무용지물 될 수 있습니다. 이번 카드사태, 예전의 농협사태, GS, 옥션… 내부 관리자의 문제로 개인정보가 탈취당한 사례는 따로 설명드릴 필요가 없을 정도입니다.그 이후 후속 과정의 대부분은 개인정보 유출에 대한 피해 보상 논의와 탈취한 내부관리자에 의한 ‘인재’ 이기 때문에 어쩔 수 없다는 분위기만 팽배했습니다.

그러나 보안에 인재는 예상되는 전략의 실패입니다. 보안은 단순히 공인인증서만을 지칭하는 것이 아닌, 시스템 관리자를 포함한 용어입니다. 그리고, 이에 대한 전략 실패를 계속해서 이야기 하고 있는 것입니다.

왜 실패했을까? 보안에 대한 무지

이러한 보안 실패의 책임을 하청업체에 돌리는 경우가 있습니다. 그러나 문제는 처음부터 하청을 준 회사의 잘못이 가장 큽니다. 애시당초 하청을 주어서는 안되는 정보입니다. 기업의 핵심정보를 하청을 주는 회사가 어디 있을까요? 하청을 주더라도 핵심정보에는 접근이 불가해야 되며, 접근이 가능하더라도 제한적이어야 하며, 이를 통제 감시할 수 있는 수단이 충분하게 있어야 합니다. 때로는 이 수단의 비용이 높다보니 하청보다는 내부에서 하는 편이 훨씬 싸게 먹힐 수도 있는 것이 바로 보안입니다.

최근 농협의 개인정보 유출 사이트에 SSL같은 기본적인 보안도 안되어있는 것이 커뮤니티에 돌았습니다. 기본적으로 농협이라는 기업에 개인정보 거버넌스가 어떻게 이루어지고 있는지를 잘 설명하는 일입니다. 이러한 큰 일을 당하고도 프로그램을 개발하고 배포하는 과정에서 아무도 이 문제를 몰랐다는 사실은 납득하기 어렵습니다. 이 정도 되면 안털리는 것이 더 신기할 따름입니다.

왜 실패했을까? 문제는 덮어두고 책임만 묻는 태도

소잃고 외양간 고친다는 이야기가 있습니다. 그런데 소잃고 외양간이라도 고치면 다행입니다. 최근 몇년간 일어난 보안 사고들은 소 주인은 소를잃고, 소치기를 경질했을 뿐, 외양간은 근처에도 가보지 않았습니다. 카드사의 사장님들이 경질됬습니다. 정말로 기업의 보안거버넌스가 이루어질까요? 농협은 이미 북한에게 한 번 털렸습니다. 누가 털어도 이상하지 않은 소중한 금융정보를 가진 곳이라 북한이 한 짓인지도 사실 의심 스럽습니다만, 털렸다라는 것 자체에는 변함이 없습니다. 그리고 또 털렸네요.

제가 이전에 썼던 포스팅입니다. 2009년 부터 이야기하고 있는데 변함이 없는 것을 보니 별로 기대도 안하게 되지만, 이번엔 진짜로 다르길 기대합니다. DDOS공격 사태의 핵심은 좌파도 네이버도 아니다. (2009.07.09)

[네이트 해킹] SNS가 털리면? 싸이월드 초대형 보안사고 터뜨리다. (2011.07.28)

북한도 농협에 면죄부를 줄수는 없다. (2011.05.04)

농협사고는 테러가 아니라 보안사고다 (2011.04.25)

[네이트 해킹] 연이은 해킹, 무엇이 진짜 문제인가 ? 해결책은 ? (2011.08.01)

보안에 관한 국가적 무지가 만든 320해킹 사건 (2013.03.21)

4. 무엇을 하면 좋을까?

– 정부와 금융계의 보안 거버넌스

정부와 금융계는 보안에 대한 거버넌스 대책을 만들어야 합니다. 개인정보가 어떻게 만들어지고 어떻게 생성되고, 누가 취급하는지, 꼭 필요한 것만 가지고 있는지. 주민등록번호 처럼 변경하기도 힘든 특정 키에 지나치게 의존적인 경향이 없는지, 주민등록번호는 이제 개인정보로 볼 수 없습니다. 개인의 식별 수단으로 쓰기에는 너무 많이 유출 됬으니까요.

– 개인정보 취급의 하청 금지와 하청의 방법에 대한 가이드

개인정보는 금융계의 핵심 자산인 만큼 이를 다루는 직원의 조건이나 방법에 대해 훨씬 세심한 가이드가 필요합니다. 근본적으로 이런 핵심 자산이 하청되는 것 자체가 문제입니다. 아예 불법으로 만들어버릴수도 있겠죠. 하청을 주는 이유중 하나가, 개인정보 문제가 터졌을때 하청회사 하나로 문제를 축소하기 위함일 수도 있습니다.

5. 점점 커지고 있는 보안의 중요성

IT보안은 매우 중요합니다. 이제는 종이로 기록되는 것이 없으며 모두 인터넷에 연결되어있고, 디지털 자산은 쉽게 복제가 가능하며, 이동도 매우 용이합니다. 또한 IOT나 모바일 시대에 이르러서는 개인이 생산하는 정보의 양과 질도 증가 정도의 수준이 아니라 폭증하고 있습니다. 이를 빅데이터라고 부릅니다. 따라서 데이터의 가치는 더욱 더 높아질 예정이므로, 이를 보호하기 위한 보안은 회사와 국가의 존폐를 결정할 정도로 핵심 자산 중에 하나가 되게 될 것입니다. 이에 대한 고민은 구글 글래스의 프라이버시 문제를 비롯하여 본격적으로 논의되고 있는 중입니다.

한국의 경우, 주민등록번호와 같은 과거의 관행이 유지 된 것을 처분하고 갈 수 있는 시점도 지금이 아니면 그 비용은 기하급수적으로 증가하게 될 수도 있습니다. 당장의 큰 비용이 두려워 먼 미래를 희생하지 않기를 바랍니다. 보안은 이제 선택이 아니라, 필수입니다. 오늘날 자동차의 안전띠가 그러하듯 말입니다.

글 : 숲속얘기[양병석]
출처 : http://goo.gl/dNWGb0

%d bloggers like this: