개인정보유출계간지 액트온

거듭된 개인정보 유출 –그 원인과 대책

By 2011/10/10 10월 25th, 2016 No Comments
김기창

올해 들어 여러 건의 대규모 개인정보 유출 사건이 터져나왔다. 현대 캐피탈, 농협 등의 서버가 해킹공격을 당하여 막대한 분량의 고객정보가 유출되었고, 싸이월드와 네이트 서비스를 제공하는 SK커뮤니케이션즈의 서버도 침입공격을 받아 3500만에 달하는 계정정보가 유출되었다.

그동안 국내 이용자들의 컴퓨터(클라이언트 PC) 감염률이 세계에서 가장 높은 편이고, 감염된 컴퓨터(이른바, “좀비PC”)를 동원하여 이루어지는 DDoS 공격, 스팸메일 발송 등이 심각한 문제로 지적되어 왔었지만, 오히려 서버의 허술함이 클라이언트 컴퓨터들의 허술함보다 더하면 더했지 덜하지 않을 것이라는 우려를 자아낸다. 천만이 넘는 고객을 상대로 금융거래 서비스를 제공하는 자가 서버의 루트암호(관리자 계정 암호)를 여태껏 비상식적으로 관리해왔다는 점, 유지보수 업체 직원의 서버접근 절차에 대한 보안통제가 전혀 없었다(있어도, 유명무실하게 눈가림 수준으로 형식적으로 운영되었다)는 점 등, 내놓고 이야기하기 부끄러운 수준의 서버보안 부실 상황이 드러났다. 그 원인을 짚어볼 필요가 있다.

 

1. ‘보안 프로그램’에 대한 잘못된 집착

그동안 국내 보안업계의 모든 관심은 클라이언트 컴퓨터의 취약점에 대처하는데 집중되어 있었다. 동원된 방법은 이른바 “보안 프로그램”을 부가 프로그램 형태로 유저의 컴퓨터에 설치하게 하는 발상으로 일관한 것이었다. 유저의 컴퓨터가 안고 있는 문제를 부가 프로그램을 설치하게 함으로써 해결하려는 발상은, 초보인력들이 실험실 상황에서나 생각해 볼 수 있는 성질의 것이다.

실제로는 그런 부가 프로그램을 배포, 설치하는 과정에서 또 다른 무수한 위험 요인들이 새로이 등장한다. 서버들마다 유저가 이해할 수도 없고 다운로드 서버의 신원을 확인할 방법도 없이 뿌려지는 이런 저런 프로그램을 “보안 프로그램”이라면서 시도 때도 없이 설치해야 하고, 그런 프로그램을 설치하기 위해서 유저들이 자신의 컴퓨터를 언제나 관리자 권한으로 사용해야 하며, 부가프로그램이 일반적으로 가지는 보안 위험을 고려하여 설치나 실행을 어렵게 해둔 여러 안전장치를 해제하도록 요구하는 국내의 컴퓨팅환경은 양심적 보안전문가라면 이해하기도 용납하기도 어려운 열악한 보안 상황이라고 할 수 밖에 없다. 컴퓨팅 환경을 안전하게 개선하는 종합적 방안에 대한 아무 이해도 비전도 없이, 그저 “보안 프로그램을 설치하면 좋지 않을까?” 라는 식의 무모한 단편적 발상이 지배하는 한편, 악성 프로그램과 보안 프로그램이 마구 뒤섞여 나도는 인터넷에서 한국의 유저들은 보안 경고창 그저 “OK를 누르면 없어지는 것” 정도로 생각하고 있으며, 국내보안업계는 이런 사태를 개선하려기보다는 점점 악화되는 보안 환경을 보안 프로그램 영업의 기반으로 삼고 있다.

 

2. 그릇되고 경직된 규제 체제

더 큰 문제는 보안 프로그램 설치에 의존하는 이런 열악한 기술적 접근방법을 금융기관들이 채택하도록 금융감독원이 강제하고 있다는 점이다. 유저의 신원확인을 위하여 비밀번호에 더하여PKI기반의 개인인증서를 사용한다는 발상 자체만을 놓고 보면야, 이론적으로는(즉 인증서의 발급/재발급, 관리 절차가 안전하게 유지되고, 모든 유저들이 자신의 인증서 개인키를 안전하게 관리한다는 어려운 전제가 모두 충족된다고 ‘가정’한다면) 보안에 도움이 되겠지만, 실제로는 공인인증서의 저장방식이 특이하여 그것을 사용하려면 별도의 부가 프로그램을 유저의 컴퓨터에 일일이 설치해야 하고, 공인인증서 재발급 과정이 허술하게 관리되고(계좌 비밀번호와 보안카드 번호만 있으면 누구든지 온라인으로 무한정 재발급 받을 수 있다), 인증서 개인키 파일이 쉽게 유출될 수 있어 그 개인키를 실제로 해당 유저만이 이용하는지는 거의 전적으로 인증서 개인키 암호가 노출되었는지 여부에 달려있다. 이런 식의 공인인증서는 이론적 보안 효능보다는 부가 프로그램의 배포와 설치가 실제로 초래하는 부정적 보안위험이 더 크고, 결국에는 저급한 고정 암호(유저가 선택한 인증서 개인키 암호는 유저의 다른 여러 계정 암호와 같은 경우가 대부분이다)에 명운을 거는 보안체제와 크게 다르지도 않다. 그럼에도 금융감독원은 이런 공인인증서의 사용을 강요하고, 거기에 더하여 온갖 부가적 “보안 프로그램”을 유저 컴퓨터에 설치하게 하는 것이 마치유일하고 불가피한 보안기술 해법인양 믿고 있는 듯하다.

물론 이런 사태는 전 세계에 유례를 찾기 힘든 것이다. 그러나 금융감독당국은 세계 각국의 보안기술 진전 방향이나 전자금융 감독 기법에 대한 자신들의 무지함을 깨닫기는커녕, 외국은 전자금융거래 발달 수준이 미개할 것이라거나 외국의 금융거래는 보안이 허술할 것이라는 어처구니없는 오해와 자기 합리화에 골몰하고 있다. 현대 캐피탈이나 농협 사태처럼 엄청난 보안 사고가 터져나온 뒤에도 금융감독원의 입장이 그리 변한 것 같지는 않다.

 

3. 클라이언트 보안 위주의 경직적 규제 체제의 함정

보안 규제의 경직적 운영은 참신하고 다양한 보안 기술의 시장 적용을 제도적으로 가로막아 왔다. 모든 금융기관들이 천편일률적인 보안 솔루션을 지난 10여 년간 사용하도록 강요함으로써 업체 간의 활발한 기술 경쟁이나 그를 통한 보안 기술 혁신, 외국의 다양한 보안 기술 트렌드의 시내시장 진입을 불가능하게 만든 것이다. 그 뿐 아니라, 유저 PC에 각종 부가 프로그램을 강제 설치하는 것으로만 일관하는 경직된 보안 규제 체제는 유저들이 웹사이트가 설치하라는 부가 프로그램을 무조건 설치하도록 “반복 학습”시킴으로써 유저들의 컴퓨터/인터넷 이용 행태 자체를 위험하게 변질시켰을 뿐 아니라, 다음 두 가지 이유로 서버 보안의 허약화를 불가피하게 만들었다:

첫째, 금융기관들은 강제 규정이 요구하는 클라이언트 보안에 관한 사항을 구비하는 데에만 일차적 관심을 기울이게 된다. 솔루션 제공/판매자의 입장에서도 규정으로 강제되지 않는 서버 보안에 필요한 조치를 마련하는데 소요되는 시간과 비용을 금융기관(발주자 또는 솔루션 구입자)에게 설명하기 곤란하게 된다. 규정이 강제하는 부분과 그렇지 않은 부분이 이런 식으로 적나라하게 대비될 경우, 규정으로 강제되지 않는 부분에 대한 비용 투입을 설명하기가 상대적으로 더 어려워지기 때문이다.

강제 규정이 아예 없었더라면 ‘보안에 진정 도움이 되는 것’이 무엇인지를 기준으로 자원 투입이 결정되었을 터이지만, 강제 규정은 이러한 합리적 투자 결정 과정을 왜곡시킨다. 비록 강제 규정을 입안하는 자는 ‘최소한’의 보안 요건만을 규정화하려는 선량, 순진한 의도를 가지고 있었더라도, 실제로는 강제 규정에 정해진 것 이상의 보안 조치는 업계가 (강제 규정이 아예 없을 때보다 오히려) 더 소홀히 하게 된다. 강제 규정으로 정해진 사항들은 사실상 ‘보안 조치의 상한선’으로 변질될 수밖에 없다.
 

 

< 공인인증서 사용마크> 출처 : 한국인터넷진흥원 KISA

둘째, 서버가 허술하여 계정 정보가 대량 유출되는 등 고객에게 피해가 가는 사고가 발생할 경우 금융기관은 “감독규정이 요구하는 조치를 모두 다 취했으므로 잘못이 없다”는 주장을 쉽게 내세울 수 있게 된다. 물론 전자금융거래법 제9조는 “접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여” 개인고객에게 발생한 손해에 대하여는 금융기관이 자신에게 “잘못이 없었다”는 점을 입증해도 개인고객에게 고의나 중대한 잘못이 있었음을 입증하지 못하면 금융기관이 배상하도록 규정하고 있으므로, “우리 잘못이 아니다”는 주장은 소용이 없다. 하지만 그 외의 모든 경우에는 강제 규정은 금융기관에게 “우리는 법에서 하라는 것은 다했으니 우리 잘못은 아니다”는 식의 면죄부를 주는 수단이 될 수 있다. 기업은 손해 보는 투자를 하지 않는다. 단기적이건 장기적이건 이익이 되어야 투자를 한다. 보안을 비용이라 생각하지 말고 투자라고 생각하라고 아무리 떠들어 봐도 소용이 없는 이유는 바로 이런 식의 강제 규정이 있기 때문이다. “이용자PC에 … 보안프로그램을 설치할 것” 따위의 특정 조치를 강제하는 규정이 있으면, 업체는 이것만 하고 나면 사고가 터져도 핑계거리가 생기므로 안 물어줘도 될 가능성이 커진다. 안 물어줘도 될 가능성을 강제 규정이 제공해 주는데 보안에 투자할 이유는 없는 것이다.

 

은행 서버가 허술하여 계정정보가 노출되는 사고가 터진 경우, 강제 규정이 아예 없었다면 해당은행이 ‘합리적 보안 조치’를 빠짐없이 모두 다 취했는지가 문제로 되고, 서버의 보안을 위한 여러 조치들에 제대로 투자하지 않았다면 그런 사업자는 배상책임을 면하기 어려울 것이다.강제규정은 보안을 강화하기는커녕, 금융기관들이 (규정으로 강제된 클라이언트 보안 조치만을 취하고, 그 이상의) 보안을 위하여 투자할 인센티브를 오히려 제거하는 역할을 한다. “이용자 PC에 …보안프로그램을 설치할 것”과 같은 식의 지엽말단적이고 경직적인 강제 규정을 폐기하고, 서버가 됐건 클라이언트 PC에 관한 것이건 “합리적 수준”의 보안 조치를 취하도록 하는 일반적 권고 규정만을 두고, 과연 무엇이 “합리적”인지는 사안별로 업계 전문가의 구체적 판단에 맡기는 것이 옳다.

 

4. 개선 방안

물론 금융기관만이 개인정보를 수집, 보유하는 것은 아니다. 다양한 서비스 제공자들이 유저의 개인정보를 수집, 보관, 이용한다. 문제는 금융기관조차도 서버 보안에 대한 세련되고 선진적인 조치를 취할 인센티브가 없기 때문에 이런 서비스를 제공할 국내 보안 업계의 역량 자체가 미미한 수준에 머물고 있다는 점이다. 금융기관들에 대한 감독 체제가 유연화 되면, 합리적 보안 조치를 취하지 않으면 배상책임을 면하기 어렵도록 제도가 변화될 수 있고, 진전된 수준의 서버 보안 조치에 대한 수요가 늘어나고 업계의 역량이 개선될 수 있다. 구체적으로 몇 가지 개선 방안을 제시하면 다음과 같다.

 

보안 감사 서비스 활성화

클라이언트 보안에 대한 강제 규정이 초래하는 문제에서 보았듯이, 서버 보안 역시 구체적 항목 별로 특정 보안 기술의 적용을 경직적으로 강제하려는 발상은 피해야 한다. 서버의 보안 절차에 대하여 (민간 업체가 수행하는) 국제기준의 보안 감사 서비스가 활성화되면, 서버 보안 수준에 대한 점검이 전문적 수준에서 이루어질 수 있다. 서버가 이러한 보안 감사를 받도록 강제 규정을 도입하려 하기 보다는 서버가 자신의 보안 조치 및 보안 절차에 대하여 어떤 점검과 감사를 제3자로부터 받고 있는지를 투명하게 공개하도록 하는 것이 올바른 접근 방법이라고 생각한다. 국내보안 업계는 그동안 오로지 클라이언트 보안 프로그램 위주의 영업으로 일관해 온 나머지, 서버보안 절차에 대한 제대로 된 감사 서비스를 제공할 역량조차 갖추지 못하고 있다. 왜곡된 보안 강제 규정이 보안 업계의 경쟁력을 어떻게 약화시키는지 보여주는 사례라고 생각한다.

 

 

수집 정보의 최소화

흔히 서비스 제공자들은 자신의 서비스 제공에 직접 관련이 없는 정보까지 유저들로부터 일단 받아두려는 경향도 있다. 나중에 자신들이 서비스를 확장할 경우를 대비해서 다양한 정보를 미리 확보하려는 의도이긴 하나 이런 관행은 제지되어야 한다. 서비스 제공에 직접 필요한 정보 외의 개인 정보를 수집하려는 시도는 바람직하지 않다. 물론 이 경우에도 경직적 규정은 업계의 자율을 침해할 우려가 있으므로 적절한 균형이 필요하다.

 

개인정보에 대한 자기 통제권 보장

어떤 정보가 수집되고, 어떤 용도로 사용되는지에 대하여 당사자가 언제나 열람, 수정할 수 있어야 할 것이다. 회원 가입 시에 확보한 개인정보를 회원 탈퇴 후에도 보유하는 관행은 중단되는 것이 옳다.

 

유출 사실 공지 의무

개인정보가 유출된 경우, 그 사실을 본인에게 반드시 고지해야 할 뿐 아니라, 개인정보가 유출되었다는 사실 자체를 공지하도록 의무를 지울 필요가 있다. 사고를 은폐하려는 시도는 언제나 있지만, 사고 발생 사실을 공지해야 할 의무를 부과하고 그 의무를 위반한 데 대하여 적절한 수준의 벌칙 규정을 둘 경우, 사고 사실을 은폐하려는 시도가 사업자에게 더 큰 부담으로 작용하도록 만들 수 있다. 사고 사실을 공지할 의무를 지우는 것은 사고를 예방하는데 필요한 투자를 평소에 하도록 인센티브를 제공할 수 있을 것이다.

 

2011-10-09