[김홍선의 보안이야기]장난감에까지 파고드는 보안문제

한 정유회사의 개인정보 유출 사고 소식을 접하고 많은 이들이 어리둥절해졌다. “나는 주유소에 내 개인 정보를 준 적이 없는데, 아마 그곳에서도 회원을 수집하나 보지? 그런데, 천만이 넘는다면 4명당 1명이라는 얘기인데...” 이 사건을 접한 일반인들의 반응은 개인 정보를 많이 취급하는 인터넷 기업이나 기관에서 정보 유출 사고가 났을 때 “혹시 내 정보도..”라고 걱정하던 때와 판이하게 달랐다.

이러한 사고의 원인은 소비자 마케팅의 일환으로 카드, 금융, 음식점과 같은 다른 업종간에 이루어지는 제휴 사업이었다. 주유소에 개인정보를 주지 않았더라도 제휴사의 회원이 연결되는 고리가 있었기 때문이다. 소비자들이 회원 가입할 때 그다지 심각하게 생각하지 않는, 아니 거의 읽지 않는 약관에 그렇게 개인정보가 활용될 수 있도록 장치가 마련되어 있다. 게다가 주유 사업은 정보통신망법의 사각 지대이다 보니 사후 관리나 감사도 어려운 것이 사실이다.

업종간 제휴와 결합은 우리나라만의 현상은 아니다. 그러나, 선진국에서는 프라이버시에 대한 규정과 문화가 어느 정도 형성되어 있다. 어떤 국가는 개인정보보호 최고책임자 (Privacy Commissioner)가 막강한 권한을 가지고 있어 개인 정보가 침해될 정황이 있으면 수색할 수 있는 권한도 있다. IT 강국이면서 뒤늦게 개인정보 보호 문제를 인식하고 이제서야 조치를 취하려는 우리 나라와는 시스템 자체가 다른 것이다.

더 심각한 문제는 개인정보에 대한 관리 주체나 범위에 있어서 공감대도 아직 형성되어 있지 않다는 것이다. 기업들은 개인정보를 무분별하게 수집해 왔고 이 정보를 마케팅 목적으로 활용하는 데만 혈안이 되었다. IT 구축과 관리는 사업 모델과 마케팅 목적을 지원하는 정도로 간주되다 보니 보안이나 프라이버시 보호 정책이 들어설 자리가 없었다. 개인들도 자신의 정보를 관리해야 한다는 인식이 약하다. 친한 사람에게 패스워드를 알려주는 것은 공동체 속의 나눔을 미덕으로 여기는 우리 문화에 기인하는 것인가? 이런 공감대가 없다 보니 법과 규정이 뒤늦을 수밖에 없다.

생활 속 구조적인 문제 '보안'

개인정보보호는 이러한 위험의 단편일 뿐이다. IT가 우리 생활 속으로 스며들어오면서 보안은 일면만을 가지고 볼 수 없는 구조적이고 입체적인 문제가 되었다. 생활 혁명의 현장에서 어떤 관점에서 보안 문제들을 보아야 하는지 조명해 본다.

첫째, 보안이 돈과 직접 관련되게 되었다. 전자상거래, 인터넷 뱅킹, 사이버 주식 거래 등 모두가 돈이 오가는 경제 활동이다. 이런 행위가 인터넷 공간을 중심으로 우리 삶의 현장에서 벌어지고 있다. 돈이 있는 곳에는 항상 범죄의 유혹이 있게 마련이다. 개인적 호기심으로 만들었던 바이러스가 범죄와 연관되면서 급증하기 시작했다. 특히 2005년 이후에는 범죄로 간주되는 악성코드의 위협이 눈에 띄게 늘었다. 기하급수적으로 증가하는 악성코드 중에서도 정보탈취를 목적으로 한 트로이 목마가 80% 이상을 차지한다는 사실은 그만큼 범죄 행위가 증대되고 있다는 점을 입증한다.

전회에서 브로드밴드의 보급으로 인해 상시접속(Always-on) 상태인 PC가 공격 대상이 되었다고 언급한 바 있다. 탈취한 정보로 돈을 벌 수 있다는 인식이 확산되면서 해킹, 악성코드는 물론 키로거(Keylogger), 메모리 해킹과 같은 높은 수준의 공격이 일반화되었다. 키보드, 메모리는 컴퓨터에서 가장 하드웨어 밑바닥에 위치하고 있다. 일반인은 물론 대부분 소프트웨어 전문가도 하드웨어를 에워싸고 있는 운영체제(OS) 내부로 들어갈 경우는 적다. 그런데, 해킹을 위해 이런 시스템 소프트웨어 수준까지 활용한다는 것은 그만큼 공격이 집요하고 치밀해졌다는 얘기다.

둘째, 보안이 개인의 문제가 되었다. 개방화의 물결 속에 정보 보안이 군대나 정보기관의 영역에서 민간 산업의 문제로 확장된 바 있다. 그래도 이 때까지 정보보안 문제는 주로 내부의 정보 시스템에 관련되었고 이는 IT 전문가들의 관리 영역이었다. 그러나, PC가 우리 생활의 중요한 일상품(commodity)이 되면서 IT와 관련 없는 사람들이 보안 사고의 피해자가 되었다. 뿐만 아니라 만일 그 PC가 우회 공격의 도발점으로 활용되면 자신의 의사와 무관하게 가해자가 될 수도 있다. 이러다 보니 정보 보안이 IT 시스템 관리자 일부의 문제가 아니라, 일반 PC 사용자나 기업 내의 비 IT 부서 직원들에게 모두 해당하는 문제가 된 것이다.

개인의 권리와 안전을 보호하는 것은 국가의 의무이다. 급격한 환경 변화에 소외될 수 있는 국민들이 피해를 입지 않게 해야 한다. 그런 점에서 정보 보안은 국가적 의제(agenda)이다. IT에서 이 만큼 대다수 개인의 삶과 직결된 분야가 있었던가? 이렇게 일반 국민을 위해 총체적으로 접근해야만 한 적이 있었던가? 이와 같이 정보 보안은 개인의 일상 생활에 영향을 주기 때문에 다른 산업 분야와 동일한 관점으로 인식해서는 안 된다.

정보보안은 국가적 의제

셋째, 정보 보안은 각종 서비스에 영향을 주게 되었다. 지식 기반 사회에서는 산업 사회의 업종 구분의 의미가 점점 퇴색하고 있다. 앞서 언급한 정유사의 예처럼 기업과 사용자 간의 연결 상에는 변화가 없더라도, 기업 내부나 기업 간의 제휴로 인해 후단(backend)에서 활발하게 비즈니스 통합이 이루어지고 있다. 이를 연결하는 접착제 역할은 IT가 담당하고 있다. 데이터베이스 간의 정보 교환, 네트워크에 의한 통신, 애플리케이션 간의 결합과 같이 디지털로 저장된 정보는 유연하게 흘러간다. 계열사나 협력사 간에 이루어지는 이런 정보 프로세스에서 보안 취약점으로 인한 피해는 고스란히 개인 사용자에게 돌아간다.

이를 방지하기 위해서는 각 사용자의 관점에서 서비스를 종합적으로 조명해야 한다. 예를 들어, 미국에서 1996년에 만든 의료정보관련법인 HIPAA(Health Insurance Portability & Accountability Act)에서는 병원, 약국, 보험 회사가 보관하거나 주고 받는 중요한 정보(개인 정보, 병력, 투약 이력 등)가 허가된 사람 이외에는 어떤 형태로도 노출되어서는 안 된다는 것을 원칙으로 하고 있다. 비자(VISA), 마스터(Master), 아멕스와 같은 신용카드들이 만든 데이터 보안 표준인 PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 처리를 담당하는 가맹점, 금융기관, 카드사 간의 보안 가이드라인을 종합적으로 규정한다. 그 외에도 민간, 금융, 공공 분야에서 다양한 서비스가 출현하고 있는데, 각 서비스 별로 초점을 맞추어 총체적인 보안 대책을 수립해야 함을 법으로 규정하고 있다.

넷째, 보안의 문제가 개인의 일반 전자기기로 확장되고 있다. 인터넷은 이미 우리 가정 속으로 깊이 들어오고 있다. 인터넷 전화는 유료 전화 시장을 대체해 가고 있다. IPTV는 쌍방향 커뮤니케이션의 형태로 TV 문화를 바꾸고 있다. 아마 방송국에서 일방적으로 방영하는 프로그램에 맞추어 살고 있는 우리의 모습을 10년 뒤에 보면 격세지감을 느끼게 될 것이다. 백색 가전 제품도 인터넷 기기(Internet Device)로 바뀌고 있다. 현재 개인 영역 통신망인 PAN(Personal Area Network) 기술로 가전제품들 사이의 연동이 되기 시작했고 인터넷 연결을 지원하는 냉장고 등은 이미 선보였다. 앞으로 블루투스(Bluetooth)나 지그비(ZigBee)와 같은 PAN 기술로 집안 내 모든 기기가 네트워크로 연결되는 시대가 올 것이다. 이러한 발전과 더불어 보안은 더욱 심층적이고 다각적인 형태로 나타날 것이다.

IT 전문 컨설팅 회사인 가트너(Gartner)에서는 이미 2000년도에 “미래의 세상은 한 개인이 여러 개의 인터넷 기기(Internet Device)를 소유하게 될 것”이라고 예측했다. 휴대폰, 디지털 카메라, IPTV, 인터넷 전화, 게임기, 휴대폰은 이미 그렇게 진화했다. 아무도 책임질 수 없는 인터넷 공간이 정보보안의 출발점이라는 명제에 따르면, 보안의 문제는 각 개인이 사용하는 장난감에까지 퍼져나가게 될 것이다.

결론적으로 생활 혁명으로 인해 정보 보안은 각 개인의 문제이자 각 개인을 겨냥한 서비스의 총체적 문제가 되었다. 이는 우리의 일반 생활 기기에도 적용되며, 경제적 가치가 있는 거래가 늘어날수록 사고의 위험성은 더 커지게 된다.

사회에는 어두운 세력에 의해 돈을 갈취하거나 범죄 위험이 큰 우범 지대가 형성되게 마련이다. 자신의 안전을 위해서는 그런 지역을 피해 다니면 된다. 정보화 사회가 되면서 지능적인 화이트칼라 범죄가 등장했다. 그래도 이러한 범죄는 특정 기업이나 돈 많은 이들을 겨냥한 범죄였다. 하지만 인터넷과 IT가 이룬 생활 혁명은 그 피해가 다수의 평범한 개인들에게 미치게 된다. 게다가 사이버 공간에서는 우범 지대가 잘 구분되지도 않는다. 그래서 보안이 어렵다.

근본적인 해결을 위해서는 관련되는 개인과 기업, 기관의 공동 노력이 필요하다. 정부에서는 사회적 안전망을 구축하기 위한 기반을 마련해야 한다. 기업에서는 경영진이 정보 자산에 대한 감독을 주도해야 한다. 이미 글로벌 기업에서는 CEO의 위험 관리 속에 정보 보안이 핵심적인 요소 중 하나가 되었다. 아울러 각 개인도 새로운 시대에 맞는 자기 관리가 필요하다. 범죄의 위험 지역을 아무리 국가에서 잘 관리한다 해도 스스로 통제를 못하면 아무 소용이 없다. 정보 보안의 궁극적 목표는 신뢰의 공동 플랫폼을 구축하는 것이고, 이는 우리가 적합한 시스템과 문화를 갖추어야 가능하다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com