2014. 01. 27. 월요일

물뚝심송

금융권에 대규모 개인정보 유출 사건이 벌어지면서 사회적인 소동이 벌어지고 있다. 그저 옆에서 보기에는 뭔가 판타스틱한 개판이 벌어지고 있는 것 같기는 한데, 그게 정확하게 어떤 문제인지는 잘 모르겠다는 것이 일반적인 반응이다.

대충 모를 때에는 그저 누구 하나 찍어서 “이 놈이 개새끼네~” 하고 욕하고 넘어가면 될 것이고 이 판때기에서는 해당 금융기관들이 개새끼의 역할을 맡으면 될 것 같다. 그러나 그렇게 대충 넘어가기에는 뭔가 일 치르고 안 닦은 것 같은 느낌이 들기도 한다.

그래서 닦아준다.

딴지가 아니면 도대체 누가 이런 귀찮은 작업을 하겠는가 말이다.

해설

일단 금융시스템 관련 보안을 얘기할 때에는 덩어리를 두 가지로 나눠서 이해하면 좋다. 하나는 정보의 보관에 관련된 보안 문제이고 또 하나는 정보의 이동에 관련된 보안 문제이다. 이번에 벌어진 개인정보 유출사건은 보관에 관련된 보안이 실패한 경우다.

먼저 정보의 보관에 관련된 보안에서 가장 중요한 선결조건은 보안이 유지된 상황에서 보관해야 할 정보를 최소화해야 한다는 원칙이다. 쉽게 말해서 지켜야 할 것이 적을수록 안전해진다는 것이다. 개인정보를 아예 가지고 있지 않으면 잃어 버릴 것도 없다.

그러나 기업의 특성상 어떻게 해서든 많은 고객들의 신상 정보를 가지고 있길 원하고 있다. 또 어느 정도까지는 그런 개인정보를 보관해도 된다고 법이 허용하고 있다. 이 법도 별로 마음에 안 들지만 피치 못할 일이라고 양보하고 넘어가도록 하자.

그렇게 보관해야 할 중요한 정보들이 있다면, 그 정보, 흔히 데이터베이스의 형태로 보관되어 있는 정보에 대한 ‘접근권’을 잘 설정해야 한다. 인터넷 상의 해킹을 막고자 한다면 최선의 방법은 인터넷에 연결된 통로를 다 막아 버리면 된다. 하지만 웹사이트를 통한 인터넷 뱅킹 등의 서비스가 필요하니, 그 경로를 다 막아버리는 것은 불가능하다. 그러므로 최대한의 보안조치를 통해 그 경로를 감시하면 된다. 이런 부분의 안전성은 그나마 좀 믿을 만하다. 아직 금융기관이 인터넷을 통해 해킹 당해 크게 정보가 유출되었다는 사고는 그리 흔치 않다.

북한이 농협을 해킹했지 않냐고? 글쎄... 그거 북한 소행 맞아?

혹시 남한 소행은 아닐까...

그리고 또 중요한 것은 시스템 개발이나 유지보수를 위한 외부 인력의 접근이 벌어질 때 보안 절차를 잘 만들어 놓고 준수해야 한다. 인터넷 망을 통한 해킹이 안된다면, 사람이 접근해야 될 것 아닌가? 그 때 그 사람에 대한 자격 검증을 세밀하게 관리하고 있다면 안전해진다.

이번 개인정보 유출 사건은 바로 이 부분이 실패한 것으로 보인다. 하청업체 직원이 데이터베이스에 접근해서 USB에 담아가 버린 것이다. 보통 제대로 된 보안 조치를 하는 회사라면, 이런 경우 개인이 노트북, 스마트폰, 카메라, USB, 외장하드 등의 장비를 가지고 들어갈 수 없게 되어 있으며, 나갈 때도 뭔가 장비를 가지고 나가지 않는지 철저하게 조사하기 마련이다. 그랬다면 이번 사건은 없었다.

바로 이 부분 때문에 이번 사건이 해당 회사들의 책임이 되는 것이다. 할 수 있는 모든 보안 조치를 다 하고서 당했더라면 회사들도 피해자가 된다. 그러나 할 수 있는 모든 조치는커녕 당연히 해야 할 조치도 안하고 당했으니 책임을 져야 하는 것이다. 물론 우리 사회는 그런 명확한 책임조차 제대로 묻지 못하겠지만, 그 문제는 정치 혹은 사회적인 문제이니 넘어가도록 하자.

그렇게 보안 조치를 엉망으로 했으면 더 말할 필요도 없지만, 열심히 보안 조치를 설정하고 집행했음에도 불구하고 보관중인 데이터가 흘러 나가는 수가 있다. 그럴 때를 대비한 방법도 있다. 저장된 데이터들을 몽땅 암호화 시켜두면 된다. 이번에도 몇몇 금융사들은 개인 정보가 담긴 데이터베이스들을 모두 암호화해서 보관하고 있었기에 유출되지 않았다는 소문이 돌았다. 실제로 그렇게 암호화 된 자료라면 복사해서 들고 나와봐야 해독이 어려우니 가지고 나올 생각 자체를 안 하게 된다.

물론 자료를 암호화시켜 보관해 두면 일이 몇 배로 복잡해진다. 저장할 때 암호화 해야 되고 이용할 때 또 복호화하는 작업이 필요하다. 따라서 컴퓨터도 훨씬 더 많이 필요해지고 시간도 더 걸리며 시스템 개발 작업도 훨씬 더 어려워진다. 쉽게 말해 돈이 더 든다는 것이다. 이 돈을 아끼려다 이런 꼴을 당하는 것이다. 아마도 암호화 데이터베이스를 운영하고 있어서 이번 유출 피해를 피한 금융기관들은 지금쯤, 돈이 좀 들더라도 암호화 시켜 놓길 정말 잘했다고 가슴을 쓸어내리고 있을지 모른다.

보안이라는 것이 항상 그렇다. 막상 사고가 터지기 전까지는 진짜 쓸데없이 쓰는 돈처럼 보이기 마련이다. 그렇기 때문에 기업들은 언제나 보안에 들어가는 비용을 최소화하려고 노력을 한다. 위험하다는 것을 안다. 결코 모르지 않는다. 그러면서도 자꾸 비용을 줄이려 한다. 이는 영업이익을 발생시키는 것이 존재의 목적인 영리기업의 본질적인 문제일 뿐이다. 따라서 보안을 강화시키는 것은 외부의 압력과 감시가 필수적인 일이 된다. 그리고 기업은 언제나 이런 감시와 압력에 저항을 하기 마련이다. 이 싸움에서 기업이 이긴다면 우리는 역시나 또 언제 뚫릴지 모르는 취약한 보안에 의존하고 있는 서비스를 사용해야 할 것이고, 외부의 감시와 압력이 이긴다면 조금은 더 안전한 서비스를 쓰게 될 것이다. 당연한 얘기다.

그건 그렇고, 이미 자료는 유출되었다. 정보 보관의 보안이 대규모로 실패한 것이다.

그렇다면 이제 우리가 걱정해야 할 일은 무엇이 있을까?

일차적으로 유출된 정보들은 거의 불법에 가까운 마케팅에 이용될 것이다. 이 말인즉슨, 당신들은 이제 조금 더 많은 스팸전화와 문자에 시달리게 된다는 거다. 이 정보를 최초로 돈을 주고 산 놈들이 바로 그런 계통에 종사하는 인간들일 것이다. 그것도 타겟을 정확히 골라 마침 소득 수준에 비해 지나치게 많은 카드 사용을 한다거나 하는 사람들을 상대로 고금리 사금융 대출 서비스 알선 전화가 쏟아지게 될 것이다.

그게 전부야? 별거 아니네..

하지만 이차적인 문제가 남게 된다. 이제 진짜 범죄의 레벨로 가는 수순이 전개될 것이다.

추가 해설

보관되어 있는 개인 정보가 털리는 것, 이 자체로는 사실 심각한 문제를 유발하지는 않는다. 내 개인 정보가 털렸으니 프라이버시가 좀 침해된 것이고, 재수없을 수는 있다. 물론 그 자체도 인권 차원에서 심각한 문제이긴 하지만, 당장에 금전적인 피해를 유발하지는 않는다. 내 계좌가 털린 것도 아니잖은가?

멍청한 일반 언론들은 이번에 유출된 자료를 가지고 당신 몰래 당신의 카드 번호를 이용해 피자를 시켜 먹을 수 있다는 둥 하는 소릴 하고 있지만, 범죄자들이 바보는 아니다. 그렇게 카드를 부정 사용하는 순간, 본인이 이의제기를 당연히 하게 되고 그러면 그 피자를 시켜 먹은 놈은 당장 적발되게 된다. 그렇게 쓰려고 이런 정보를 훔치는 것이 아니다.

물론 당분간 우리는 카드 결제내역을 유심히 들여다 보게 될 것이며, 그 중에 내가 사용하지 않은 것에 대해 즉각 이의제기를 신청하게 될 것이다. 그러면 된다. 어차피 카드는 결제되기 전에 이의제기를 할 수 있게 되어 있으며 이의 제기가 있다면 실제 누가 카드를 썼는가를 조사하는 단계가 준비되어 있다. 그리고 이런 사건까지 있었으니 상당부분은 카드회사가 책임을 지게 될 것이다. 그러면 된다.

그러나 그 다음의 문제는 따로 있다.

바로 정보의 이동에 관련된 보안 문제가 이번 유출로 인해 심각하게 위협받게 된다는 것이다. 즉 쉽게 말해서 인터넷 뱅킹 전체가 위험해진 것이다.

왜 그런지 자세히 알아보기로 하자.

이번에 유출된 자료는 개인의 재산, 신용한도, 연락처, 주소, 소득 수준 정도의 개인 신상 정보와, 그 개인이 가지고 있는 카드 관련 정보에 불과하다. 이 정보만으로는 할 수 있는 범죄는 기껏 해봐야 카드 부정 사용 수준에 불과하다. 카드 대출을 받거나, 해외에서 물건을 사거나 하는 수준이다.

그 정도면 본인이 지속적으로 카드 사용내역을 관리만 하고 있어도 바로 적발이 되며 책임소재를 가려 바로 원상복구가 가능한 수준의 문제다. 위에서 얘기한대로 범죄자들은 그렇게 바보가 아니다.

실제로 우리나라에서 사용되고 있는 피씨들 중의 상당수는 이미 바이러스에 감염되어 좀비 피씨의 역할을 하고 있는 상황이다. 그런 좀비 피씨들에서 인터넷 뱅킹을 이용하는 사용자들의 숫자도 정확하게 파악하기 힘들지만 상당한 숫자에 이르고 있다.

그 말의 뜻은 이미 상당수의 개인이 가지고 있는 은행 계좌에 관련된 정보(이번에 유출된 카드 정보와는 차원이 다른)가 유출되어 어딘가에 모이고 있다는 뜻이다. 그나마 인터넷 뱅킹 시스템이 사회적으로 붕괴하지 않고 그럭저럭 사용되고 있는 것은 피씨에 보관되지 않는 정보들 덕분이다. 그 때 그 때 입력하는 공인인증서 암호라든가, 시크릿 카드에 적혀있는 숫자들, 그리고 OTP에서 발생시켜주는 암호들이 있어서 막아주고 있는 것이다. 물론 공인인증서 암호는 키보드 해킹을 통해, 시크릿 카드는 주로 모바일 해킹을 통해 수집되고 있기도 하다.

그러니 제발 자기 통장 시크릿 카드를 사진으로 찍어서 스마트폰에 넣어가지고 다니지 좀 말자. 그거 걔들이 다 들여다 보고 있다.

이렇게 수집된 대량의 은행계좌 정보와 이번에 유출된 카드정보, 개인 신상 정보가 데이터베이스화 되어서 교차검색이 가능해진다면, 데이터 마이닝 기술로 대량의 “완벽한 개인 금융정보”가 만들어질 수 있다.

비밀번호? 생년월일, 주소, 전화번호 등과 완전히 연관이 없는 비밀번호를 쓰는 사람이 얼마나 될까? 계좌 비밀번호 같이 숫자 네 자리로 된 비밀번호는 없는 것이라고 생각해도 무방할 정도로 뚫기 쉽다. 공인인증서 암호 같이 조금 긴 문자열로 되어 있는 암호들도 지금 전세계적으로 분산처리 컴퓨팅을 이용해서 아예 “레인보우 테이블” 같은 것을 작성해서 뚫고 있다. 거기다가 개인 신상에 관한 정보들이 추가되면 약간의 추정만으로 거의 모든 암호를 알아낼 수 있게 된다. 이렇게 이미 모든 정보들이 이미 크래커들의 손아귀에 들어간 것이나 다름 없다는 것이다.

물론 그렇게 장악된 금융정보의 숫자는 천만 단위는 아닐 것이다. 그 중에서 거르고 걸러서 1%만 건지더라도 수십만 단위다. 이런 계좌정보들이 블랙머니의 유통에 활용될 수도 있고, 또 일부 계좌 잔고가 많은 사람들은 직접적으로 계좌가 털릴 수도 있다는 상황이 온 것이다. 심지어 그런 정보들도 정확도 순으로 단계별로 정리되어 팔리게 될 상황이다.

이번에 정보를 유출한 그 인간은 자신이 복사하여 천 몇백만 원 받고 팔아먹은 정보가 얼마의 가치가 있는지 이해하지도 못하고 있을 것이다.

지금 당장은 아니다. 그들도 데이터 처리에 시간이 걸린다. 우리가 이번 사건을 잊을 무렵이 되면 슬슬 자기도 모르는 사이에 자신의 계좌에 거액이 들어왔다가 빠져 나간다거나, 아니면 알게 모르게 자신의 계좌에 들어있는 잔고가 줄어들기 시작할지도 모른다.

티도 안 나게 백만 개의 계좌에서 수수료라는 항목으로 500원씩 인출될 지도 모른다. 한번에 오억 원이다. 재미있지 않은가? 이 정도면 체포의 위험을 무릅쓰고 벌일만한 범죄일 것이다.

총체적인 시스템 실패

지나치게 위험을 과장하고 있는 것 아닌가 하는 의문을 가질 수도 있다. 맞다. 개인의 입장에서는 저렇게 범죄의 대상이 될 가능성은 지극히 희박하다. 당신은 안전할 수도 있다. 빅데이터의 위험성은 일반인들에게는 진짜 체감하기 힘든 문제라는 측면도 있다. 오천만 인구 중에서 백만 개의 계좌가 털린다고 해 봐야, 확률은 2%도 안 된다.

그러나 온라인 피싱이나 스미싱에 걸려 피해를 보는 사람들은 0.1% 도 안 되는데도 불구하고 사회적으로 그렇게 심각하다고 난리를 쳤다. 왜일까?

그런 사고가 일정한 비율 이상으로 발생하고 있다면, 시스템 전체의 안전성에 근본적인 문제가 있다는 것을 의미하기 때문이다. 누가 은행에 계좌를 만들면서 이 계좌는 몇 %의 확률로 털릴 가능성이 있다고 생각하면서 만들 것인가 하는 점을 생각해 보시길 바란다. 그런 사람은 아무도 없다.

반대로 얘기하자면, 그런 일정한 비율로 발생 가능한 위험이 상존하는 시스템이라면, 사람들이 금융 거래 자체에 참여하기를 거부하게 될 것이라는 얘기이다. 즉, 전체 금융 시스템이 붕괴하는 것이다.

이렇게 시스템 상에 근본적인 문제가 발생한다면, 사회적인 관점에서는 시스템을 리셋 해야 된다. 기업들이 해야 할 보안조치를 안 하는 바람에 유출된 개인 정보가 사회 전체의 시스템을 새로 갈아 엎어야 하는 비용을 유발하는 괴물로 돌아올 수도 있다는 뜻이다.

불과 몇 십억의 보안 비용을 아끼려다가 몇 십조가 들지도 모르는 시스템을 새로 만들어야 하는 상황이 온 것이다.

이보다 더 어리석을 수도 있을까?

그러나 그 어리석음은 아직도 전혀 멈추지 않고 있다. 자신들이 유출시킨 정보가 어떤 사회적인 여파를 가져올지 생각도 안 해본 상태에서 겨우 다수의 고객이 카드를 재발급하게 될 때 발생할 비용을 걱정하고 있다. 지금 그게 문제가 아니라는 얘기다.

거기다가 관계 당국은 그저 이번 사건으로 유출된 정보는 모두 회수했으며 추가 피해는 카드사가 지게 될 것이라고 주장하고 있다. 아니 정보가 무슨 탈영병이 들고 나간 총알도 아니고, 복사할 때 복사했다고 도장이 찍히는 것도 아닌데 어떻게 모두 회수했다는 것을 입증하는가? USB에 들어있는 데이터 복사하는데 몇 분이나 걸리며, 그게 복사되지 않았다는 것을 어떻게 입증한단 말인가. 그리고 또 그렇게 무사히 회수했으면 발생할 리도 없는 추가피해를 왜 얘기한단 말인가.

한마디로 말해서 이 사건은 우리 사회의 총체적인 시스템 실패(System Failure)이다.

감시하라

어떤 관점에서는 이런 문제는 기술의 발전으로 인해 생겨난 새로운 형태의 문제일 수도 있다. 예전 같으면 은행 거래 시스템을 붕괴시키기 위해서는 본점에 보관되어 있는 거래 원장을 무더기로 훔쳐갔어야 하며, 그러려면 컨테이너 몇 개가 필요했을 것이다. 그러나 이제는 손 안에 쥐고 있으면 보이지도 않는 USB 하나에 그보다 훨씬 더 많은 분량의 정보가 담겨서 오가는 세상이 되어 버렸다. 그렇게 오가는 정보를 손쉽게 분석하고 교차 검색해서 새로운 정보를 만들어낼 수 있는 기술도 흔해 빠졌다.

그러나 그런 기술을 관리하며 시스템을 유지해야 하는 사람들의 마인드는 아직도 새로운 시대에 적응하지 못하고 과거에 머물러 있는 것도 현실이다. 어찌 보면 이런 것들 역시 문화적 수준이 문명의 발달을 따라잡지 못하는 문화충격(Culture Shock)의 한 갈래일 수도 있겠다.

그래도 어쩌겠는가. 우리는 이미 이런 시대에 살고 있는 것을.

그리고 우리가 우리의 삶을 유지하기 위해 필요한 일들을 위임하고 있는 기업이나 정부의 관리자들이 이런 시대의 변화를 따라잡지 못하고 헛발질을 계속하고 있는 것을 바로잡을 임무 역시 우리에게 주어져 있는 것이 맞다.

힘들고 귀찮더라도 지속적으로 깨어 있어야 한다. 새로운 문명을 이해하려는 노력을 게을리하면 곤란하다. 그렇게 되면 반드시 그 문명은 우리에게 복수를 해 오기 마련이다. 할 수 없다. 우리가, 국민이 주인이 되어야 하는 민주 공화국에 살고 있는 업보인 것이다.

저들을 지속적으로 감시하라. 그것 만이 살 길이다.

물뚝심송

트위터 : @murutukus

편집 : 보리삼촌