링블로그-그만의 아이디어

개인정보 불안이 심각하다. 특히 연초부터 굵직한 인터넷 개인정보 유출 등 보안 사고가 곳곳에서 터지고 전화를 통한 피싱(사기 전화) 사례가 소개되면서 일반인들의 불안감이 확대되고 있다. 과연 개인정보 유출을 막을 방법은 없는 것일까.
 
먼저, 전제해두어야 할 것이 있다. 100% 보안은 없다. 마치 자동차를 타면서 100% 사고가 일어나지 않으리라는 기대만큼 완벽 보안이란 말은 모순적이다. 옥션, 다음 등 다량의 개인정보 유출 사고에 이어 인터넷 심지어 통신업체들이 계약업체에 고객정보를 넘기고 청와대 전산망을 해킹하기 위한 시도가 이어지고 있다는 소식에 '나만 조심하면 되지'라는 생각도 어불성설이 되고 말았다.

한 온라인 취업사이트가 간이 조사한 바에 따르면 2,30대 응답자 880명 가운데 개인정보 유출로 피해를 입은 경험이 52.8%, 465명에 달한 것으로 나타났다. 피해가 인지되지 않은 숫자까지 합치면 더 많을 것이다.

지난 10년 동안 바뀐 거 하나 없다
이런 점차 심각해지는 상황에서 개인과 기업, 그리고 국가는 당장의 사고에 호들갑을 떨 것이 아니라 좀더 근본적인 문제의식을 놓고 고민할 필요가 있다.

지난 4월 보안업체인 안철수연구소는 개인정보보호 수칙 10계명을 발표했다. 이 10계명은 개인과 기업, 그리고 국가 역시 개인정보보호에 좀 더 철저한 예방과 사후 조치를 제안하고 있다.

이런 수칙은 이미 10년 전부터 꾸준히 보안업계에서 주문해 오던 것과 별반 다르지 않다. 그럼에도 보안 사고가 끊이지 않는 것은 뭔가 우리 인터넷 산업 전반에 큰 구멍이 존재한다는 것을 의미한다. 그 구멍이 바로 '과다한 개인정보 요구 관행'이다.

보안 사고는 사후 처리보다는 예방이 중요하다. 예방보다 더 중요한 것은 원인 분석일 것이다.

보안사고의 원인을 따지고 들어가 보면 결국 지나치게 너무 많은 개인정보를 요구하는 기업들의 회원관리 관행과 무의식적인 데이터 입력행위, 그리고 국가가 관리하고 제한적으로만 사용해야 할 주민등록번호를 활용한 본인 인증 남발이다.

'남겨야 할 데이터'와 '남기지 말아야 할 데이터'를 제대로 구분하지 않는다는 것이다. 이미 데이터베이스에 존재하는 개인정보 데이터는 도난의 위험이 있는 금고 속 보물과 같다. 그 금고 자체가 단단하다고 해도 결국 그 금고를 들고 가버리면 그 안에 있는 보물도 함께 없어질 수밖에 없다.

남겨야 할 데이터와 남기지 말아야할 데이터 구분 못해
결국 인터넷에서 가장 철저한 보안은 역설적이게도 "내 흔적을 남기지 않는 것"이다. 하지만 말이 쉽지 어디 그게 쉬운 일인가. 물건을 하나 사려 해도 아이디, 비밀번호뿐만 아니라 실명, 주민등록번호, 주소, 휴대폰 번호, 회사(집) 전화번호를 입력해야 한다. 결제 단계에서는 카드 번호와 카드 인증 번호까지 거쳐야 한다. 이것들이 모두 보물이다.

개인들은 불필요한 정보를 입력받지 않아도 사용할 수 있는 사이트를 이용할 필요가 있다. 개인정보를 과도하게 요구하는 것을 그대로 받아들여서는 안 된다. 실명 인증까지는 백번 양보해도 간단한 게시판 하나 쓰기 위해 집전화와 휴대폰번호, 주민등록번호가 '필수' 입력 사항이 되어야 할 하등의 이유는 없다. 지금이라도 당장 불필요한 사이트나 자주 가지 않는 사이트에서 탈퇴해야 한다.

또한 기업은 사용자에게 과다한 개인정보를 요구해서는 안 된다. 보관에 자신이 있다고 하더라도 굳이 사용자의 모든 개인정보가 영업에 도움이 될 것이란 막연한 사고방식도 고쳐야 한다. 어쩔 수 없이 사용자의 개인정보 입력이 필요할 경우에는 사용자가 남긴 데이터를 암호화해서 저장해두어야 하며 조직 안에서도 회원의 개인 정보 접근을 철저하게 관리해야 한다.

무엇보다 국가는 하루빨리 인터넷상에서 실명 인증의 환상에서 벗어나야 한다. 더구나 국가의 관리용도에 의해 탄생한 주민등록번호를 실명 인증의 필수 요소로 삼아서는 안 된다. I-PIN(아이핀) 등의 우회적인 실명인증 시스템조차 주민등록번호를 요구하고 주민등록번호 도용 서비스 업자들에게 국민들의 주민등록번호 도용 여부를 확인하게 하는 어처구니없는 인증 체계를 서둘러 고쳐야 한다.

결국 민간 서비스 기업들이 개인들의 본인 인증을 주민등록번호에 의존하는 행태를 하루빨리 개선해야 한다. 적어도 본인 인증은 사이트마다, 또는 사용 용도에 따라 달라야 한다. 애완견 이름과 가족 이름을 섞어놓는다거나 이전 주소지 우편번호의 합, 결혼한 연도의 합 등 유출되어도 본인이 아니면 유추하기 힘든 난수를 조합하는 등의 방법도 과다한 주민등록번호 인증 의존도를 줄일 수 있다.

주민등록번호 남용이 보안 개인정보 침해 사고 부른다
최근 해외에서 공통 보안 인증체계인 오픈ID 도입과 확대를 서두르는 것도 방법이 될 수 있다. 오픈ID란 본인인증 전용 사이트에서 인증하고 나서 본인인증값만 서비스 사업자들에게 넘겨주는 방식이다. 오픈ID는 인증 체계를 단순화시키고 여러 서비스에 동시에 로그인 상태를 유지할 수 있을 뿐만 아니라 각 서비스 사업자들이 불필요한 개인정보를 개별적으로 보관 저장해둘 필요가 없다는 점에서 미국과 일본 등에서는 적극적으로 도입되고 있는 새로운 인증체계다.

국가는 기업들의 개인정보 보호 의무 범위를 확대하고 주민등록번호 인증 체계를 획기적으로 줄이는 방안 마련에 좀더 적극적이어야 한다. 국민들의 관리 번호를 국가가 민간업자들에게 인증해주고 관리 책임을 지운다는 사실 자체가 모순이었다.

개인정보를 관리하기 싫다는 민간업자에게 억지로 실명제법을 들이밀면서 강요하는 것도 우스운 일이다. 오죽하면 인터넷 동영상 사이트 유튜브를 소유한 구글이 실명제를 거부해야 할지 받아들여야 할지를 고민하겠는가.

이런 분위기에 화답하듯 방송통신위원회는 7월 22일 "인터넷 역기능 증가로 인한 국민불안이 가중됨에 따라 행정안전부, 국정원, 지식경제부 등과 함께 인터넷 정보보호 종합대책을 마련해 추진한다"고 밝혔다. 이를 위해 국회에서 정보통신망법을 즉시 개정해 시행키로 했다.

종합대책은 ▲침해사고 예방 및 대응능력 제고 ▲개인정보관리 및 피해구제체계 정비 ▲건전한 인터넷 이용질서 확립 ▲정보보호 기반조성 등 4개 전략하에 추진된다. 이를 위해 50개 세부대책도 마련해 로드맵을 갖고 진행한다.

이 가운데 주민등록번호 등을 사용하는 대상을 줄이고, 법으로 정한 경우를 제외하고는 수집·저장·유통하지 못하도록 강화하는 내용도 들어가 있다. 그리고 휴대폰인증, 공인인증서, 아이핀 등 대체수단 이용을 활성화하겠다는 계획도 발표했다. 또 인터넷을 장기간 사용하지 못하는 사용자가 손쉽게 탈퇴할 수 있도록 한다. 이번 종합대책을 통해 주민등록번호 수집률을 62.2%에서 30%로 축소하겠다는 목표도 설정했다.

이번 대책에서도 중요하게 언급되고 있는 개인정보의 불필요한 활용과 저장 관행이 뿌리 뽑힐 수 있을지 주목된다.

비어 있는 금고는 누구도 노리지 않는다
한편, 미국에서는 최근 서비스 사업자들이 자발적으로 개인정보를 활용한 타겟 광고를 사용자가 거부할 수 있도록 사후 거부(Opt-out) 방식으로 개선하겠다고 나섰다. 야후와 구글은 사용자들의 사이트 이용방식이나 행동 패턴을 분석해 이른 바 '사용자를 따라다니는 타겟 광고'에 이 제도를 도입하겠다고 8월 초 발표한 바 있다.
 
그럼에도 여전히 소비자 단체들은 사용자들이 인터넷을 돌아다니며 남기는 '쿠키'나 '캐시' 등을 함부로 사용하지 말 것을 경고하고 있다. 이런 것들 역시 개인정보 영역에 속한다는 것이다.
 
개인은 물론 기업과 국가 모두 개인정보의 수집과 범위, 활용에 있어서 근원적인 인식 전환이 필요한 때다. 비어있는 금고는 누구도 노리지 않는다.

----------------------->
GS칼텍스의 보물이 악용되는 사례를 보면서 아직도 정신 못 차린 정부 당국자들... 끊임없이 실명제에 대한 환상 때문에 계속되는 폐해를 방치해두고 있다. 정말 대책없는 저질 공화국이다!

이 글은 미디어 전문지 <미디어+미래> 9월호에 기고한 것이므로 무단전재 및 재배포 금지합니다. 해당 잡지의 편집교열을 통해 내용이 완전히 일치하지 않을 수 있습니다. 글이 쓰여진 시점이 8월 중순이므로 현재의 상황과 다른 점이 있을 수 있습니다.

이 글과 짝을 이루는 글:
2008/05/01 개인정보 유출, 원인은 과도한 실명제?

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

크롬에 대한 묻어가기 포스팅이긴 한데... 칭찬 반, 비난 반이다.^^

해외 매체에서는 구글 크롬의 황당 약관에 문제점을 지적하고 이에 대한 시정을 보도한 매체가 수두룩한데도 국내에서는 '찬양 일색'이다.

11. 귀하의 콘텐츠 라이센스 부여

11.1 귀하는 서비스를 통해 귀하가 제출, 게시 또는 게재하는 콘텐츠에 대해 이미 확보하고 있는 저작권 및 기타 권리를 보유합니다. 콘텐츠를 제출, 게시 또는 게재함으로써 귀하는 서비스를 통해 귀하가 제출, 게시 또는 게재하는 콘텐츠를 Google이 전 세계 어디서나 복제, 개조, 수정, 변환, 게시, 수행, 게재 및 배포할 수 있는 영구적이고 비독점적이며 취소가 불가능한 비독점적인 라이센스를 무상으로 Google에 부여하게 됩니다. 해당 라이센스는 Google이 해당 서비스를 게시, 배포 및 홍보하기 위한 목적으로만 제공되며, 해당 서비스의 추가 약관에 정의된 대로 특정 서비스에 대해서는 라이센스가 취소될 수 있습니다.

11.2 귀하는 Google이 제휴 서비스를 제공하기 위해 파트너 관계를 맺은 다른 회사, 조직 또는 개인이 해당 콘텐츠를 이용할 수 있는 권리와 제휴 서비스의 제공과 관련하여 Google이 해당 콘텐츠를 이용할 수 있는 권리가 본 라이센스에 포함된다는 점에 동의합니다.

11.3 귀하는 Google이 사용자에게 서비스를 제공하기 위해 요구되는 기술 관련 절차를 수행할 때 (a) 귀하의 콘텐츠를 다양한 공개 네트워크 및 미디어를 통해 전송 또는 배포하고, (b) 귀하의 콘텐츠를 연결 네트워크, 장치, 서비스 또는 미디어의 기술 요구사항에 맞도록 원하는 대로 수정할 수 있음을 이해합니다. 귀하는 해당 라이센스가 Google이 해당 조치를 취할 수 있도록 허용한다는 점에 동의합니다.

11.4 귀하는 귀하가 상기 라이센스를 부여하는 데 필요한 모든 권리와 권한을 갖고 있음을 확인하고 이를 Google에 보증합니다.

구글에서도 명백한 '실수'라고 이야기할 정도로 악독한 조항이다.

또는 모두들 인터페이스와 안정성, 기능에 익숙해지기 위해 노력할 즈음 이런 뉴스도 뜬다.

구글 크롬, 하루만에 뚫렸다[파이낸셜뉴스]

또 다른 차원에서의 비판 글도 보인다.

내가 구글 크롬을 싫어하는 이유[RUKXER.net]

짧게 정리하자면 구글이 크롬을 내놓고 액티브엑스를 지원한다고 하면 결국 IE를 대체하기 위해 그동안 쌓아온 파이어폭스가 오히려 초기 대체제가 될 가능성이 높다는 지적이다.

실제로 이런 이야기가 있었기 때문이다.

B> 액티브액스가 된다고 하는데, 언제 된다는 것인가?
G> 아직은 액티브액스를 지원하지 못한다. 앞으로 몇몇 사이트의 액티브액스만 작동할 것이다. 유저들이 많이 방문하는 사이트 위주가 될 것이다. 지금 액티브액스를 지원할 사이트 목록을 만들고 있다. 크롬 개발팀의 한국 개발자가 준비 중이다. 액티브액스를 작동할 사이트는 구글의 서드 파티를 통해 트래픽을 조사한 뒤 결정할 것이다. 아마도 인터넷 뱅킹이나 쇼핑몰 등이 되지 않을까? 구체적 기준은 만들어가고 있다.
구글코리아 크롬 블로거 간담회에서 오고간 이야기들[칫솔_초이의 IT 휴게실 ::]

그만이 만나본 구글 관계자는 이 문제에 대해 "사실은 검토는 하고 있지만 비관적이라고 본다. 임시방편이지 궁극적인 지원이 우선은 아니다. 사용자들의 불편을 줄여주기 위한 방안으로 고려하는 것이지 액티브엑스를 장기적으로 지속적으로 지원한다는 뜻은 아니다. MS도 액티브엑스를 포기한 마당에...."

행여라도 금융결제원 나리들이나 IE가 미움받으면 크롬으로라도 면피해야겠다고 생각한 어르신들 있으면 김칫국은 적당히 마셔주시길 바란다. 결국 액티브엑스는 사장될 운명이다.

어쨌든 영악한 것은 네이버뿐만은 아닌 것이 분명하다.

현재 우리나라 툴바 시장의 1위는 알툴바, 그리고 2위는 구글툴바다. 곰TV 덕을 톡톡히 봤지만 의외의 놀라운 숫자다. 미국 시장에서 툴바의 의미는 상당하다. 툴바를 통한 검색이 상당히 높기 때문이다.(자료는 나중에.. 졸려서.. ㅠ,.ㅠ)

우리나라에서는 툴바를 통해 검색이 이뤄지는 비율이 적긴 하지만 그래도 하나라도 더 깔려 있으면 사용자들의 패턴을 읽어낼 수 있는 길이 다양해지고 그 콘텐츠 이용 패턴을 기계적으로 수집해서 이를 다시 검색 랭킹 알고리즘의 부분으로 사용할 수 있다면 이거야 말로 구글은 꿩먹고 알 먹고다.

크롬도 마찬가지다. 물론 비밀모드도 지원하고 어쩌구 하지만 여전히 많은 사람들은 '기본값'으로 애플리케이션을 돌릴테니까. 구글 크롬에서 이뤄지는 다양한 사용자 행동들은 구글의 랭킹과 인덱싱, 사용자 패턴 인식 및 콘텐츠 분석 및 연결성 학습 자료로 그대로 쌓일 것이다.

어쨌든 기술 시장에 좀더 새로운 활력소가 되어주고 있다는 것만으로도 너무나 환영할 일이다. (이렇게 이런저런 이야기들이 나와야 IT가 조금이라도 관심을 받지 않겠나. ^^;)

지난 몇 달 동안 진행한 구글 내부의 테스트 평가는 의외로 '형편없었다'고 한다. 하지만 이후 극적인 변화를 겪으면서 내부 직원들도 자신감이 붙는 계기가 있었다고 한다. 그 계기가 무엇인지는 나도 잘 모르겠다. 어쨌든 불과 몇 개월만에 만들어진 구글 크롬은 10여년 동안 이런 저런 우여곡절을 거치며 발전해왔던 다른 브라우저들보다 훨씬 각광을 받고 있는 뉴비인 것만은 사실이다.
 
솔직히 다른 것 다 떠나서 이것만으로도 구글은 크롬 버즈 마케팅에 성공한 것이다. 단 한줄, 단 한마디의 다른 매체 광고도 없이 말이다.

구글 관계자(조원규 센터장이었던 거 같은데.. ^^헤, 이원진 대표님께서 하신 말씀이군요..ㅋ)가 한 말이 떠오른다.

"우린 온라인의 힘을 믿어요"

**덧, 어쩌면 구글은 '온라인 팬들의 힘'을 믿는 것이 아닐까? ^^

** 그나저나 제목이 확실히 낚시인 느낌이.. ^^; 낚이셨다면 죄송~ ^^;;

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

패닉상태다. 지난 2월 설날 옥션의 해킹 사실이 밝혀지고 나서 최근 1081만명의 회원 개인정보가 유출됐다는 소식에 네티즌들이 갈팡질팡하고 있다. 이렇게 유출된 정보 가운데 계좌번호 등 은행 거래정보가 100만 여건이 포함돼 있다는 소식이 더욱 충격적이다.

옥션의 개인정보 관리 부실을 성토하는 네티즌들은 급기야 국민은행과 엔씨소프트의 개인정보 유출 및 도용 사건의 집단 소송에 이은 사상 최대규모의 집단 소송을 예고하고 있다. 다음과 네이버 등 카페에서는 공공연히 집단소송을 제기하겠다는 변호사들의 소송인 모집 행위가 본격화 하고 있어 사태는 쉽사리 사그러들지 않을 것으로 보인다.
 
뛰는 보안 위에 나는 해커
보안 전문가들은 오래 전부터 대형 사이트들의 개인정보를 유출하거나 사이트를 마비시키는 등의 수법을 동원하는 해킹 기법이 정교화되고 있다고 경고해왔다. 특히 해커들은 예전처럼 자신의 기술이나 지식을 자랑하기 위한 '순수한(?)' 목적을 상실한 채 돈 벌기 위한 기술로 해킹을 시도하는 경향이 뚜렷해지고 있다.

해커들은 대형 금융 사이트나 개인정보를 많이 다루는 대형 포털 서비스, 아이템 현금 거래 등을 이용하기 위해 노리는 게임 사이트를 주요 목표로 설정하고 있다. 이러한 사이트에 해킹하는 방법은 크게 세 가지.

첫 번째는 사이트에 과부하를 일으키는 방법이다. 흔히 말하는 DDoS(서비스 거부 공격)라 불리는 공격 방식은 특정 서버에 대량의 트래픽을 요청해 서버가 감당할 수 없는 상황까지 만들어 다른 일반 고객들이 해당 사이트를 접근할 수 없도록 만드는 것이다. 우리나라에서는 지난 3월 미래에셋 홈페이지를 마비시켜 5000여만 원을 요구했던 사례가 대표적이다. 기업 입장에서는 서버를 원상복구하기 위해 노력할 것이고 해킹에 의한 서비스 중단으로 입게 될 피해를 우려해 해커의 요구에 굴복할 것이라는 범죄 심리가 배경에 깔려 있다.

두 번째는 사이트 내에 침입해 중요한 정보를 조작하거나 빼내는 방법이다. 지난 2월 옥션이 발견한 해킹으로 인한 침입과 개인정보 유출 사례가 대표적이다. 이렇게 특정 사이트에 침입하기 위한 방법으로는 서버나 소프트웨어의 취약점을 역이용하는 방법과 원격 조작이 가능한 스파이웨어를 메일이나 메신저를 통해 상대방 서버에 심는 방법이 자주 사용된다. 이렇게 중요한 정보는 단순히 고객의 개인정보 뿐만 아니라 기업에게는 치명적일 수 있는 회계 장부, 기밀 문서 등도 유출 대상이다.

세 번째는 개인정보 자체를 목표 대상으로 하는 경우다. 즉 기업의 중요한 직책의 개인정보를 빼돌려 금융 거래나 물품 거래, 또는 역 정보를 남기는 식이다. 이 경우 개인이 대상이기 때문에 기업이 전반적인 대응을 하기 힘들다. 다양한 방식을 통해 목표한 개인의 PC에 키보드 입력을 알아 챌 수 있는 스파이웨어를 심거나 아예 상대방의 작업화면 전체를 원격에서 보고 조작까지 가능한 프로그램을 자연스럽게 설치해두는 방식을 쓴다.

이 방식은 고전적이지만 개인을 대상으로 한다는 점에서 피해자의 대응이 어렵고 개인정보 유출 범위를 추적하기 힘들다는 점에서 고전적이지만 가장 많이 사용되는 수법이다. 지난 2004년 국내를 떠들썩하게 만들었던 중국발 국내 국가기관 무더기 해킹 사건이 이런 사례다. 아직까지 이 사례로 인한 피해 범위는 알려지지도 않았다.
 
지하에서 거래되는 개인정보
이외에 내부자의 실수나 고의에 의한 고객 개인정보 유출도 빈번하게 일어나고 있다. 지난해 정보보호진흥원에 신고된 개인정보 침해 건수가 2만 5천여 건에 이르는 것으로 조사됐지만 이것은 인지된 경우에 불과하다. 2007년 5월 모 통신업체 직원들이 공모해 23만여 건의 개인정보를 빼돌리는 사건이 발생했으며 최근에는 국민건강보험공단이 보관하던 개인정보 72만건이 유출되었으며 대형할인마트의 고객 개인정보 역시 유출사고가 벌어진 바 있다.

세계적인 보안 기업인 시만텍이 매 6개월마다 조사해 발표하는 '인터넷 보안 위협 보고서' 최근호에 따르면 지난해 하반기 동안 원격 공격자의 명령에 의해 움직이는 봇 감염 컴퓨터는 6백만 개를 넘어섰으며 상반기에 비해 29% 이상 증가했다고 밝혔다.

일반적으로 해킹은 특정한 목표를 타게팅 하고 있지만 악성코드는 무작위 피해를 주는 것으로 분류되었다. 하지만 최근에는 악성코드를 이용해 무작위 피해를 주는 동시에 혼란이나 취약점을 틈타 해킹이 동시다발적으로 이뤄지고 있다는 점이 최근 인터넷 위협의 특징이다. 고전적인 수법인 노트북이나 하드디스크를 절취하거나 내부자가 기밀이나 고객 개인정보를 USB나 외장하드디스크로 복사해 빼돌리는 사례도 끊이질 않고 있다.

따라서 최근 옥션을 비롯한 대형 사이트의 보안 사고는 이러한 맥락 속에서 수많은 피해 사례 중 일부에 불과할 것이라는 것이 보안 업계의 시각이다. 인터넷 포털 다음 역시 8개월 동안 개인정보 유출을 쉬쉬하다가 나중에서야 사고를 인정하는 모습을 보였듯이 많은 기업들이 자진해서 보안 침해 사고를 고백하지 않는다는 점도 해커들에게는 유리한 환경인 셈이다. 개인정보를 빼내서 이득을 봐도 되고 해당 기업에게 협박을 해도 먹히고 있기 때문이다.

시만텍 보고서에 따르면 이미 이렇게 유출된 개인정보나 기업 기밀정보는 지하경제서버(Underground economy server)에서 판매되고 있다고 밝혔다. 여기서 거래되는 정보에는 주민등록번호, 신용카드, 은행카드와 개인식별번호, 온라인 사용자 계정, 이메일 주소 리스트 등이 포함돼 있다는 것이다. 지하경제서버에서 거래되는 카드인증번호나 신용카드 번호는 1~6달러, 은행 계좌나 신용카드, 생년월일, 주민등록번호 등을 포함한 세부적인 개인정보의 경우 14~18달러 정도면 구매할 수 있다.

지난 2월에는 국내 인터넷 대출회사 사이트를 해킹해 개인정보 10만건을 25만원에 판매하다 경찰에 붙잡힌 일당도 있있다. 이렇게 구매된 개인정보는 2차 범죄에 악용되거나 명의도용을 위한 재료로 사용되기도 하며 심지어 통계회사나 텔레마케팅회사가 거래 주체로 나서기도 한다는 것이다.
 
만능 패스워드 주민등록번호, 대체수단 서둘러야
보안 관계자들은 100% 보안은 없다고 잘라 말한다. 인터넷으로 오가는 모든 정보는 중간에 가로채일 수 있고 PC에 저장되는 모든 데이터는 흔적없이 복제될 수 있다. 보안 전문가들은 한결같이 사용자들이 비밀번호나 중요한 인증 번호의 흔적을 절대 남겨놓지 말라고 주문한다.

비밀번호를 메모해놓는다거나 인증번호를 주민등록번호나 생일 등 유추가 가능한 조합으로 만드는 것은 아예 명의 도용을 방조하는 행위라고까지 말한다. 메일이나 메신저로 날라오는 이상한 파일을 호기심에 열어보는 것에서부터 피싱 사이트에 접속해 자신의 개인정보를 남기는 행위 역시 위험하기 짝이 없는 행동들이다.

옥션 사건 이후 언론에서는 정보유출 업체에 대한 처벌이나 책임 강화 쪽에 무게를 두고 보도하고 있지만, 그보다 정작 정부의 안일한 개인정보 식별체계 관리의 허술함을 지적하는 목소리가 높다.

특히 악성 댓글 등을 막기 위한 제한적 실명제 같은 제도가 국가가 관리 책임이 있는 주민등록번호를 민간 사업자들에게 저장토록 하면서 개인정보 유출이 명의 도용으로 손쉽게 이어지는 결과를 만들고 있다는 것이다.

주민등록번호 오남용에 대한 대안으로 정부는 그동안 아이핀(I-PIN)이나 지핀(G-PIN) 등의 대체 인증 체계를 준비해왔지만 정보통신부의 해체와 국회의 정치 일정으로 인한 법률 처리가 늦어지면서 사용자는 물론 정부기관과 민간업체들 사이에서 이들 대체 수단 정착이 지연되고 있는 상황이다.

또한 민간 업체들 역시 주소나 집전화번호 등 불필요한 개인정보를 과다하게 필수로 요구해왔다는 점도 개인정보 유출에 의한 피해 범위를 확대시켰다는 비난이 쏟아지고 있다. 정부는 물론 민간 기업들의 개인정보 보유 수준을 낮추고 보안 수준을 높이는 방안 마련이 시급하다.

만일 이번 옥션 사태를 교훈으로 삼지 못한다면 413조원에 이르는 국내 인터넷 상거래 전체가 네티즌의 불안감으로 인해 축소되거나 근본적으로 흔들릴 수도 있다.

------------->
------------------------------------->
이 글은 미디어 전문지 <미디어+미래> 5월호에 기고한 것이므로 무단전재 및 재배포 금지합니다. 해당 잡지의 편집교열을 통해 내용이 완전히 일치하지 않을 수 있습니다. 글이 쓰여진 시점이 4월 중순이므로 현재의 상황과 다른 점이 있을 수 있습니다.

이후 관련 칼럼 하나가 더 있었는데 잡지보다 미리 공개돼 있습니다. 같은 내용입니다.

2008/04/22 해킹한 개인정보가 거래되는 사회

해킹과 관련한 링블로그 글 :
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/06 옥션 해킹 사건 후폭풍, 집단 소송 위기
2008/02/24 해킹한 DB 사겠다는 메일
2008/02/22 개인정보 10만 건 값은 25만원?
2008/02/12 피해자가 더 큰 피해를 받는 사회
2008/02/11 사이버 인질극에 대처하는 우리의 자세
2007/06/16 IPv6 정보 사이트 해킹 당하다
2006/07/19 '악성코드 치료하려면 돈 내라' 사기 프로그램 난립
2006/06/14 게임 ID 유출 악성코드 '숙주 사이트' 통해 유포
2006/03/08 "취약점 정보 사고파는 암시장 형성"
2006/01/20 국내외의 웹사이트 해킹율과 트로이목마 유포상황
2005/12/19 "순수 해커 줄고, 돈 노린 크래커 급증"
2005/05/13 청년 해커 21개월 실형, 美정보당국 총동원된 결과?

요즘 해킹 관련해서 언론의 호들갑이 다시 시작되고 있는데요. 예전에도 사람들의 관심사와 더불어 각종 소설과 사태 부풀리기가 계속되고 있다는 점이 아쉽네요. 문제의 본질은 민간에 의한 과도한 개인정보 위탁 관리가 아닐까 하는 생각을 여전히 지울 수 없습니다. 또한 정보보호와 보안에 대한 전면적인 인식 개선에 적극적인 투자가 있어야 하는 것 역시 지적해야 할 상황이죠. 중국발 해킹이니 사이버 전쟁이니 하는 이야기는 십중팔구 소설의 가능성이 높다고 봅니다. 2004년 당시 관련한 칼럼을 다시 소개합니다. 다행히 몇일 울궈먹던 해킹 전쟁 관련 소설이 이후 잠잠해 졌었죠.

2004/07/16 해킹 사고, SF 소설은 그만 써라

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

최근 옥션이 해킹을 당해 1081만명의 회원 개인정보가 유출됐다는 소식에 네티즌들이 갈팡질팡하고 있다. 이렇게 유출된 정보 가운데 계좌번호 등 은행 거래정보가 100만 여건이 포함돼 있다는 소식이 더욱 충격적이다. 이미 중국 등지의 게시판에서는 확인할 수는 없지만 옥션 등에서 유출된 개인정보를 판다는 소식까지 전해지면서 사태는 점차 확대되고 있다.

더구나 이러한 상황에 곳곳에서 개인정보 유출과 도용 사건 사고가 끊이질 않는다는 소식이 속속 전해지면서 413조원 규모의 국내 전자상거래 전체에 대한 위기감이 고조되고 있다.

예고된 보안 사고, 불감증만 탓할 수 없다
보안 전문가들은 오래 전부터 대형 사이트들의 개인정보를 유출하거나 사이트를 마비시키는 등의 수법을 동원하는 해킹 기법이 정교화되고 있다고 경고해왔다. 특히 해커들은 예전처럼 자신의 기술이나 지식을 자랑하기 위한 '순수한(?)' 목적을 상실한 채 돈 벌기 위한 기술로 해킹을 시도하는 경향이 뚜렷해지고 있다.

해커들은 대형 금융 사이트나 개인정보를 많이 다루는 대형 포털 서비스, 아이템 현금 거래 등을 이용하기 위해 노리는 게임 사이트를 주요 목표로 설정하고 있다.

이러한 공격에는 보안이 허술한 서버나 PC 등 '좀비'를 경유지로 이용한 공격이 주로 사용되고 있다. 세계적인 보안 기업인 시만텍이 매 6개월마다 조사해 발표하는 '인터넷 보안 위협 보고서' 최근호에 따르면 지난해 하반기 동안 원격 공격자의 명령에 의해 움직이는 봇 감염 컴퓨터는 6백만 개를 넘어섰으며 상반기에 비해 29% 이상 증가했다고 밝혔다.

해킹 이외에도 내부자의 실수나 고의에 의한 고객 개인정보 유출 등 보안 사고는 빈번하게 일어나고 있다. 지난해 정보보호진흥원에 신고된 개인정보 침해 건수가 2만 5천여 건에 이르는 것으로 조사됐지만 이것은 인지된 경우에 불과하다. 2007년 5월 모 통신업체 직원들이 공모해 23만여 건의 개인정보를 빼돌리는 사건이 발생했으며 최근에는 국민건강보험공단이 보관하던 개인정보 72만건이 유출되었으며 대형할인마트의 고객 개인정보 역시 유출사고가 벌어진 바 있다.

고전적인 수법인 노트북이나 하드디스크를 절취하거나 내부자가 기밀이나 고객 개인정보를 USB나 외장하드디스크로 복사해 빼돌리는 사례는 IT업계에서 흔하게 벌어지는 일이다.

따라서 최근 옥션을 비롯한 대형 사이트의 보안 사고는 이러한 맥락 속에서 수많은 피해 사례 중 일부에 불과할 것이라는 것이 보안 업계의 시각이다. 인터넷 포털 다음 역시 8개월 동안 개인정보 유출을 쉬쉬하다가 나중에서야 사고를 인정하는 모습을 보였듯이 많은 기업들이 자진해서 보안 침해 사고를 고백하지 않는다는 점도 해커들에게는 유리한 환경이다. 개인정보를 빼내서 이득을 봐도 되고 해당 기업에게 협박을 해도 먹히고 있기 때문이다.

시만텍 보고서에 따르면 이미 이렇게 유출된 개인정보나 기업 기밀정보는 지하경제서버(Underground economy server)에서 판매되고 있는 것으로 밝혀져 충격을 더해주고 있다. 여기서 거래되는 정보에는 주민등록번호, 신용카드, 은행카드와 개인식별번호, 온라인 사용자 계정, 이메일 주소 리스트 등이 포함돼 있다는 것이다. 지하경제서버에서 거래되는 카드인증번호나 신용카드 번호는 1~6달러, 은행 계좌나 신용카드, 생년월일, 주민등록번호 등을 포함한 세부적인 개인정보의 경우 14~18달러 정도면 구매할 수 있다.

지난 2월에는 국내 인터넷 대출회사 사이트를 해킹해 개인정보 10만건을 25만원에 판매하다 경찰에 붙잡힌 일당도 있있다. 이렇게 구매된 개인정보는 2차 범죄에 악용되거나 명의도용을 위한 재료로 사용되기도 하며 심지어 통계회사나 텔레마케팅회사가 이 같은 자료를 사주는 판매자로 나서기도 한다.

만능 패스워드 주민등록번호, 대체수단 서둘러야
인터넷으로 오가는 모든 정보는 중간에 가로채일 수 있고 PC에 저장되는 모든 데이터는 흔적없이 복제될 수 있다고 그동안 보안 전문가들의 줄기차게 경고해왔다. 어쩌면 보안 사고를 100% 예방할 수 없고 그 피해 또한 100% 복원할 수 없다는 것이 정답일 것이다. 그래서 예방이 더 중요하다.

옥션 사건 이후 언론에서는 정보유출 업체에 대한 처벌이나 책임 강화 쪽에 무게를 두고 보도하고 있다. 하지만 달리 보면 정작 정부의 안일한 개인정보 식별체계 관리의 허술함이 근본 문제일 수 있다는 지적이 나오고 있다.

특히 악성 댓글 등을 막기 위한 제한적 실명제 같은 제도가 국가가 관리 책임이 있는 주민등록번호를 민간 사업자들에게 저장토록 하면서 개인정보 유출이 명의 도용으로 손쉽게 이어지는 결과를 만들고 있다는 것이다. 해외에서는 인터넷 서비스 가입 절차에 주민등록번호 등 국가가 관리하는 개인 식별 번호를 요구한다거나 전화번호 등을 필수로 요구하는 경우는 극히 드물다.

주민등록번호 오남용에 대한 대안으로 정부는 그동안 아이핀(I-PIN)이나 지핀(G-PIN) 등의 대체 인증 체계를 준비해왔지만 새 정부 들어서 정보통신부의 해체 등의 문제가 겹치면서 정부기관과 민간업체들 사이에서 이들 대체 수단 정착이 지연되고 있는 상황이다. 사용자들 역시 이 대체 수단에 대한 인지도도 낮은 상태인데다 대체수단 사용을 의무화하는 법안은 국회에서 표류되다 폐기 처분될 처지에 놓여 있다.
 
또한 민간 업체들 역시 주소나 집전화번호 등 불필요한 개인정보를 과다하게 필수로 요구해왔다는 점도 개인정보 유출에 의한 피해 범위를 확대시켰다는 비난이 쏟아지고 있다. 정부는 물론 민간 기업들의 개인정보 보유 수준을 낮추고 보안 수준을 높이는 방안 마련이 시급하다.
 
실명제 추진은 일사천리인데 보완책 마련은 지지부진이다. 이게 IT강국 한국의 현재다.

■ 참고 : 시만텍 인터넷 보안 위협 보고서(ISTR)

-------------------------------------------->

이 내용은 전자신문인터넷 쇼핑저널 이버즈에 칼럼으로 기고된 내용입니다.

** 덧, 보완책이라고 정부가 내놓은 방안 좀 보소. 이런 것들이 무슨 정보통신 강국을 이끌겠다고 나서는지. 한심한 작자들...

개인정보 유출땐 인터넷사 대표 징역[조선일보]

해킹 보안 관련 글 :
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/02 닥터 바이러스의 추억
2008/02/24 해킹한 DB 사겠다는 메일
2008/02/22 개인정보 10만 건 값은 25만원?
2008/02/11 사이버 인질극에 대처하는 우리의 자세
2007/10/22 한국 웹, IE 종속 [폐쇄형 공인인증서 한몫]
2007/06/16 IPv6 정보 사이트 해킹 당하다
2006/09/25 바이러스 치료, 패치관리까지 '무료시대'
2006/09/12 [간단 정보] 美 삼성통신(?) 사이트가 악성코드에 감염됐다는군요.
2006/07/19 '악성코드 치료하려면 돈 내라' 사기 프로그램 난립
2006/06/14 게임 ID 유출 악성코드 '숙주 사이트' 통해 유포
2006/03/08 "취약점 정보 사고파는 암시장 형성"

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.