세상에서 가장 안전한 이름, 안철수연구소

선 마이크로시스템의 스콧 맥닐리 회장이 “프라이버시는 없다 (Privacy is dead). 그냥 잊고 살아라.”라는 충격적인 발언을 했을 때 분노의 목소리가 터져 나왔었다. 이 주제로 인터넷 상에서 토론이 전개될 정도로 큰 논란을 불러일으켰다. 이어서 오라클의 래리 앨리슨 회장도 “프라이버시에 대한 고민은 환상(illusion)일 뿐이다”라는 자극적인 발언을 했다. 이들의 발언은 닷컴 산업이 한창 기치를 올리고 있을 때 인터넷 산업을 이끌고 있는 대표 하드웨어와 소프트웨어 기업의 지도자들에게서 나온 메시지였기에 그만큼 영향력은 폭발적이었다. 또한 이들은 평소에 돌출 발언을 하지 않는 것으로 유명했기 때문에 영향력에 힘을 싣게 된 것이다.

IT의 특성과 기술의 흐름을 잘 아는 위치에 있는 공인(public figure)의 발언으로 인해, 많은 사람들이 근본적인 고민에 빠지게 되었다. 그렇다면 프라이버시는 정보화라는 혜택을 누리기 위해 포기해야 하는 요소인가? 대부분의 개인과 기업, 기관이 인터넷 없이는 하루도 살 수 없는 세상이 되었는데, 이 흐름은 되돌릴 수 없을 만큼 비점진적(disruptive)인 변화인가?

오늘날 개인정보보호 문제는 두 가지 관점에서 볼 수 있다. 각 개인의 정보가 디지털로 저장되어 어딘가에서 관리되는 과정과, 여기에서 관리되는 정보가 권한이 없는 사람에게 유출되는 점이다. 첫번째 문제는 보통 ‘통제되지 않는 디지털 서류 (Digital Dossier)’라고 표현한다. 정부나 금융 기관, 인터넷 포탈, 기업의 고객 관리 부서에서는 서비스를 하기 위해서 어쩔 수 없이 각 개인의 정보를 취득해서 디지털 서류화하는 과정을 거친다. 이 경우 오너쉽을 가진 이의 ‘정보에 대한 통제’가 핵심이 된다. 결국 그가 정보의 생성과 소멸을 책임져야 하기 때문이다.

둘째 문제의 원인은 여러 가지가 있다. 외부에서 해킹이나 악성코드 같은 기법이 동원될 수도 있고, 사회공학적인 방법을 활용할 수도 있고, 내부자가 공모할 수도 있다. 이렇게 유출된 개인 정보 자체도 거래의 대상이 되지만, 더 심각한 문제는 이 정보를 이용해서 돈이 되는 또 다른 정보를 훔치는 절도 행위이다. 이는 보통 정보 보안 담당자가 책임지는 영역이며, 결국 ‘인프라에 대한 통제’가 핵심이 된다.

서비스를 받기 위해서 각 개인이 제공하는 정보가 어떤 범위까지 어떻게 사용되는지 정보의 소유자인 개인은 알 도리가 없다. 심지어 그런 정보를 관리하는 주체가 과연 통제력이 있는지 조차도 직접 알아볼 수도 없다. 결국 개인정보를 보호하는 것은 관리자의 ‘통제의 역량’에 달려 있기 때문이다.

그런데, 설사 완벽하게 통제가 된다고 하여도 오늘날 기술의 발전은 예측하기 어려운 복잡성이 여전히 존재한다. 이를테면 데이터마이닝(Datamining) 기술은 데이터베이스, 인공지능, 통계의 개념이 통합되어 있다. 서로 다른 그룹에 속한 정보도 연관 관계를 분석해서 중요한 정보를 얻어낼 수가 있다.

실제로 각 개인의 행동 패턴을 연구하는 서비스 업체에서는 데이터마이닝 기술이 활용되고 있다. 정보의 양은 입체적으로 커지는 반면 데이터 저장을 위한 기기의 가격은 급속도로 떨어지고 있다. 이런 상황에서 각 정보를 그룹별로 차분하게 관리하는 것은 이미 구세대적 관리 기법이다. 그렇기에 정보를 일단 몰아 넣고 데이터마이닝 기술을 활용하면 더 효과적일 수 있다. 그런데, 개인 정보가 여러 곳에 분산되어 있을 때 이 기술로 정보를 유출할 수도 있다는 결론이 나온다. 실제로 그런 예도 발생하고 있다.

그 외에도 수많은 신기술들이 쏟아져 나오고 있다. RFID, 스마트 폰, 소셜네트워크서비스(SNS)와 같이 새로운 기술적 개념이 계속해서 산업 현장에 등장하고 있다. 기술 혁신을 통한 혜택과 이익 창출이 있기에 기업과 개인은 더욱 지능적이고 역동적인 기술과 알고리즘을 연구할 것이다. 기술의 진보는 거침이 없다.

게다가 IT는 전 산업에 스며들어 있는 인프라다. IT 없이 운영되는 기업은 상상하기 어려운 세상이 되었다. 그만큼 IT에 대한 의존도는 절대적이다. 정보 소통의 분량도 기하급수적으로 늘어나고 있다. 각 개인이 취급하는 전자 메일의 숫자만 보아도 이를 알 수 있다. 우리 나라에는 아직 도입이 되지 않았지만 해외의 직장인들은 모바일 전자 메일 도구인 ‘블랙베리(BlackBerry)’를 널리 사용한다. ‘블랙베리를 켜면서 출근 시간이 시작되고, 끄면서 퇴근을 한다’라는 우스갯 소리가 나올 정도다. 이런 상황에서 IT의 기술이 지속적으로 발전할 것이고, 이는 역기능적인 적용 범위도 확대된다는 것을 의미한다.

그러나 이런 IT의 기술의 지속적인 발전은 역기능적인 적용 범위도 확대된다는 것을 의미한다. 또한 신기술이 역기능 측면에서 활용되거나, 아니면 취약점을 지닐 때 그것을 막기 위한 방편은 더욱 복잡해질 수밖에 없다.

2008년도에 ‘개인정보보호’는 IT의 키워드 중의 하나라고 해도 과언이 아니었다. 누적되었던 문제가 각종 사건들로 계속 터져 나왔고, 연일 신문과 방송에서는 오랜만에 ‘보안’이 화두가 되었다. IT 보안 담당자는 항상 신경을 곤두세우고 있었다. 국민적 관심사를 집중적으로 조명하는 언론의 특성 덕택에 개인정보보호는 모든 국민이 자신이 유념할 문제로 인식되게 되었다.

그러나, 요란했던 분위기에 비해서 실질적인 대책은 부족했다는 인상을 지우기 어렵다. 국회에서 개인정보보호법은 공감대를 이룬 것 같아 다행이다. 그러나, 법과 정책이 있으니, ‘이제 알아서 지키겠지’하는 인식은 위험하다. 게임은 이제 시작되었을 뿐이다.

더욱이 정보화되고 네트워크화된 지식 기반 사회에서는 일방적인 통제는 먹히지 않는다. 현대 기업은 계층적 조직에 의한 의사 전달이 아니라, 자율과 실행의 역동적인 시스템으로 움직인다. 당연히 이 시스템을 움직이는 엔진은 기술 혁신이다. 따라서, 최신 기술이 무엇을 할 수 있느냐에 대한 인식이 전제되어야 진정한 정보의 통제가 이루어질 수 있다.

스콧 맥닐리 회장과 래리 앨리슨 회장은 기술 발전이 얼마나 우리에게 위협이 될 수 있는 지를 잘 알고 있었기에 위에서 언급한 예언적 메시지를 전할 수 있었다. 이런 IT 환경에 대한 기술적 통찰력 없이 법적, 정책적, 시민 운동적 논쟁만으로는 한계가 있다. 문제를 제대로 해결하려면 전문가들의 차분하면서도 지속적인 연구가 뒷받침되어야 한다.


글 : 안철수연구소 대표이사 김홍선

-윈도 비스타 64비트 환경 테스트에 첫 시도해 통과

안철수연구소(대표 김홍선 www.ahnlab.com)는 기업 PC용 통합백신인 ‘V3 Internet Security 7.0 Platinum Enterprise’(이하 ’V3 IS 7.0 플래티넘’)가 최근 국제 안티바이러스 평가 기관인 바이러스 불러틴(www.virusbtn.com)에서 실시한 국제 인증 테스트에서 단 1개의 오진 없이 100% 진단율로 ‘VB 100% 어워드’를 획득했다고 3일 발표했다.
 
이번 ‘VB 100% 어워드’는 윈도 비스타 64비트 환경에서 테스트를 했다. 안철수연구소는 윈도 비스타 64비트 환경에 처음 시도해 인증을 받게 된 것이다. 안철수연구소 제품 중 윈도 비스타 64비트를 지원하는 것은 기업 PC용 통합백신 ‘V3 IS 7.0 Platinum’과 ‘V3 IS 7.0’, 개인 PC용 통합백신 ‘V3 IS 2007 Platinum’, 온라인 통합보안 서비스인 ‘안랩 온라인 시큐리티(AhnLab Online Security)’이다.
 
‘VB 100% 어워드’는 ‘체크마크(CheckMark)’와 함께 공신력 있는 국제 인증으로 손꼽힌다. 신뢰성과 공정성 있는 테스트 환경에서 전세계에 널리 퍼져 있는 바이러스, 트로이목마, 스파이웨어 등 각종 악성코드 샘플 목록인 ‘와일드 리스트’(Wild List, 보충 설명 참고)를 단 1개의 오진도 없이 100% 진단해야 인증을 수여한다.
 
이번에 인증을 받은 ’V3 IS 7.0 플래티넘’의 특징은 안티바이러스, 안티스파이웨어, PC 방화벽, 개인정보보호, 피싱 차단 등의 기능이 뛰어날 뿐 아니라 기업 환경에 맞게 보안 관리 기능도 우수하다는 점이다. 감염된 PC의 추적/차단 기능으로 악성코드 확산을 방지하며, PC의 취약점을 파악해 리포트함으로써 사전 예방을 할 수 있게 해주며, PC 최적화 기능을 제공함으로써 컴퓨터 자원을 효율적으로 관리할 수 있게 해준다. 최고 수준의 긴급 대응 조직인 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응팀)의 24시간 365일 지원으로 악성코드 및 보안 이슈 발생 시 신속하게 대응할 수 있다는 점도 강점이다.
 
V3 제품군은 2003년부터 지속적으로 ‘VB 100% 어워드’를 획득해 세계적 대응력을 공인 받고 있다. 또한 2003년부터 체크마크 인증도 지속적으로 받고 있으며, 2007년에는 세계 백신 업계 최초로 최고 등급인 EAL4(Evaluation Assurance Level 4) 등급으로 국제정보보호평가기준인 CC(Common Criteria)인증을 획득한 바 있다. 이런 글로벌 수준의 기술력과 성능을 바탕으로 V3는 국내 백신 시장에서 50% 이상의 시장점유율로 1위를 차지하고 있으며 일본, 중국은 물론 동남아, 중남미 등 해외에서도 좋은 반응을 얻고 있다.
 



<보충 자료 - 와일드 리스트>-------------------------------------------------
 
전세계적으로 두 곳 이상의 지역에서 실제로 감염 활동이나 발견 등의 보고가 있었던 바이러스 목록으로, 체크마크나 VB 100% 어워드, ICSA 인증 등 주요 국제 공인 테스트에서 범용적으로 사용한다. 안철수연구소도 국내 및 아시아 지역을 대표하여 리포터로 활동 중이다.

아이핀(i-PIN)은 “인터넷 개인식별번호(Internet Personal Identification Number)”의 약자로 2005년 정보통신부와 한국정보보호진흥원이 마련한 제도이다. 대면확인이 어려운 온라인에서 본인을 확인 받을 수 있는 수단 제공을 목적으로 한다.

지난 2~3년간 옥션, GS칼텍스, 하나로텔레콤 등에서 개인정보가 유출되는 대형 사고가 발생하였다. 이들 정보는 중국 등지에서 저렴(?)하게 거래되고 있는 것으로 알려져 있다. 또한 구글DB나 P2P 등에서 이력서나 주민등록번호 등 민감한 개인정보를 구하는 것은 어제 오늘 일이 아니다. 2006~7년 사이에만 해도 천만 건 이상의 주민등록번호가 유출된 것으로 추정되고 있으며, 이렇게 유출된 정보는 타인의 아이디, 패스워드 등을 조회하는 등 범죄행위에 악용되고 있다.


그림 1 개인정보 유출 피해 - 한국정보보호진흥원 2007년
한국정보보호진흥원의 2007년 발표에 의하면 총 9,000여건의 개인정보 유출 피해 중 주민번호 도용이 78%를 차지하여 가장 심각한 것으로 나타났다. 이에 따라 각 개별 사업자들이 주민등록번호 이용자로부터 받지 않아도 본인확인을 할 수 있도록 하기 위한 주민등록번호 대체 수단으로 아이핀을 의무적용 하도록 하는 방안이 탄력을 받고 있다.

아이핀을 사용하기 위해 이용자는 아이핀을 발급하는 본인확인기관에 자신의 신원정보 즉 공인인증서, 핸드폰, 직접 방문 등을 통하여 본인확인을 하고 아이핀을 발급받으면 된다. (아이핀의 발급과 사용방법에 대한 보다 자세한 내용은 한국정보보호진흥원 홈페이지 http://www.kisa.or.kr 를 참고하면 된다.)

이용자가 웹사이트에 회원가입을 할 때 아이핀을 사용하면, 인터넷 사업자는 본인확인기관으로부터 본인확인정보(열세자리 아이핀), 중복가입확인정보 그리고, 필요에 따라 생년월일과 성별 정보를 추가로 받게 된다. 인터넷 사업자는 이 정보를 사용하여 본인확인, 성인인증, 중복가입, 성별식별 등을 처리할 수 있다.


그림 2 아이핀 서비스 구성도
아이핀은 주민등록번호를 대체하여 신분을 증명할 수 있고, 인터넷 사업자가 관계법령에 따라 실시하는 본인 확인을 주민등록번호 없이 수행할 수 있다. 또한, 아이핀은 외부 노출 시에 수시로 변경가능하기 때문에 해킹 등의 사고가 발생했을 때 유연히 대처할 수 있는 장점이 있다.

아이핀도 취약점 있다
이런 장점을 가진 아이핀도 단점으로 지적 받고 있는 것이 있다. 열세자리 본인확인정보가 유출되었을 때 쉽게 변경할 수 있어 안전하다고는 하지만, 이용자가 본인확인정보가 유출 여부를 실시간으로 인지하기 어렵고 인지한다고 해도 변경하기 어려울 수도 있다. 게다가 유출된 후 조치를 취하는 사이에 발생하는 문제에는 대처할 수가 없다. 이 부분은 원타임 패스워드 개념으로 매번 다른 아이핀 번호를 발급하여 유출되어도 문제가 없도록 완벽하게 개선되었으면 한다.

방송통신위원회에서 이달 중 신규가입자에게 주민등록번호 이외의 본인확인 방법을 제공하는 것을 의무화한 정보통신망법 시행령 개정안을 마련하여 의결할 것이라고 한다. 이렇게 되면 일정 규모 이상의 웹사이트-대상 웹사이트는 1,000여 곳이 될 것이라고 한다-는 회원가입 시 주민등록번호를 입력할 필요 없이 아이핀이나 공인인증서, 휴대전화 등을 사용하여 본인확인을 하게 된다. 이 개정안은 규제개혁위원회 등의 심사와 국무회의의결을 거쳐 내년 초에 시행될 예정이라고 하니 인터넷을 통한 주민등록번호의 유출이 어느 정도 줄어들 것으로 기대된다.

그러나, 유출되고 있는 개인정보는 주민등록번호뿐 만이 아니다. 보통 웹사이트에 가입할 때 이름과 주민등록번호는 물론이고 이메일, 주소, 집전화 번호, 핸드폰 번호 등을 함께 요구한다. 더 나아가서는 취미나 결혼기념일 등의 추가적인 개인정보를 요구하는 곳도 있다. 이용약관에 개인정보의 수집 및 이용에 대해서 그 용도가 애매모호한 문구를 삽입하여 개인정보수집을 정당화하고 있으며 이를 거부 할 때는 웹사이트 가입 자체를 할 수가 없다.

이렇게 수집된 개인정보는 마케팅 목적으로 사용되거나 역시 애매한 동의를 통하여 제3자에게 넘어가기 일쑤이다. 이렇게 억지로 수집한 개인정보를 관리 또한 허술하게 하여 해킹을 당해서 외부로 유출되니 이용자로써는 하소연할 데도 없고 참으로 답답할 뿐이다. 한국정보보호진흥원에 따르면 올해 7월 현재 회원 가입 때 주민등록번호 등 개인정보를 입력하는 사이트는 조사 대상 1만2007곳 중 1만22곳(83.5%)이며, 개인정보 수집 사이트는 2005년 36%에서 2006년 50%, 2007년 60%로 계속 늘어나는 추세라고 한다.


그림 3 개인정보 입력 요구 사이트 - 한국정보보호진흥원 2008년
이 문제를 해결하기 위하여 2004년 노회찬의원을 필두로 하여 무려 5개의 개인정보보호법안이 지난 17대 국회에 제출되었으나 제대로 토론 한번 못해보고 2008년 5월 국회임기 만료로 자동 폐기되고 말았다. 그러나, 지난 8월 한나라당 이혜원의원, 10월 민주당 변재일의원 등이 다시 개인정보보호법을 발의하였으며 입법 예고된 정부안을 포함하여 총 세 개의 안을 두고 국회에서 논의될 예정이다. 이번 18대 국회에서는 개인정보보호법이 꼭 통과되어 무분별한 개인정보수집행위가 금지되었으면 하는 바램이다.

적절한 보안장치 구축 시급
개인정보보호법이 제정되고 아이핀 등 주민등록번호 대체 수단이 적용되어도 시스템이 적절한 보안장치를 갖추지 못하면 해킹을 통하여 개인정보가 유출될 우려는 여전히 남는다. 얼마 전 한나라당 이정현의원과 성균관대 정보보호연구소가 조사한 바에 의하면 아이핀 도입 웹사이트 50개 중 32곳에서 해킹을 통하여 본인확인정보가 쉽게 유출될 수 있는 것으로 나타났다. 이렇게 가로 채어진 본인확인정보는 다른 웹사이트의 인증 등으로 사용할 수 있다고 한다. 이번 조사에 따르면 주로 정부기관에서 본인확인 정보가 유출될 수 있는 허점이 있었으며, 다음과 네이버와 같은 대형포탈에서는 문제가 없는 것으로 나타났다. 이는 아이핀을 도입한다 해도 시스템이 올바르게 구축되지 않으면 무용지물이 됨을 나타낸다. 시스템이 보안지침을 따라서 구축되도록 하고 정확히 검증하여야 할 것이다.

현재 매출액 100억 이상, 일일 평균 이용자가 100만 명 이상인 업체는 정보통신망 침해사고를 예방하기 위해서 “정보보호 안전진단”을 의무적으로 수행하도록 되어있다. 그리고, 개별 사업자가 개인정보가 안전하게 관리됨을 인증 받을 수 있도록 “개인정보 영향평가”와 “정보보호관리체계인증”이 있다. 그러나, 그 대상이 너무 협소하거나 의무사항이 아니어서 실효성이 떨어진다. 이와 같은 시스템 감리나 운영에 대한 감사가 개인정보보호법에 포함되어 개인정보의 무분별한 수집과 그 허술한 운영에 대해서 국가가 적극적으로 개입해야 할 시점이다.

그림3에서 보았듯이 83%의 웹사이트가 개인정보를 요구하고 있다. 대형포털 사이트들, 그리고 신용카드를 결제 수단으로 사용할 수 있는 사이트를 운영하고 있는 회사들에서 경제활동인구인 2,400만 명 이상의 개인정보를 이미 소유하고 있을 것으로 예상할 수 있다. 이미 유출되어 거래되고 있는 개인정보만도 1,000만 명 이상으로 추정되고 있다. 거의 전 국민의 개인정보가 알게 모르게 떠돌아 다니고 있다고 해도 과언이 아니다.

지금부터라도 취할 수 있는 조치를 취하여 개인정보가 유출되거나 도용되는 피해를 막아야 한다. 더 이상의 대형 개인정보 유출 사고가 있어서는 안될 것이다. 이를 위해서 제도적 장치가 기반이 되어야 함은 두 말 할 나위 없다. 주민번호 대체 개인식별 수단을 통해 주민등록번호 사용범위의 축소, 주민등록번호를 대체할 수 있는 본인확인방법의 제공 의무화, 개인정보수집의 제한과 관리기준강화 등 개인정보의 무분별한 수집과 수집된 개인정보를 철저히 관리할 수 있는 제도가 법제화되어야 할 것이다.

개인정보 보호에 대해서 사회적으로 공감대가 형성되고 정부의 추진 의지로 개인정보보호법안이 검토되고 있는 현 시점에서 모쪼록 현실적이고 합리적인 방안이 마련되기를 바란다.@

피싱을 피하는 방법

지난번 피싱의 변천사 원고를 끝내자마자, 친구에게 연락이 왔다. 자신이 피싱 공격에 당했다는 것이다. MSN 메신저의 로그인 화면을 가장한 페이지에 아이디와 비밀번호를 입력하였다며 대처 방법을 문의해 왔다. 친구의 불안한 마음이 이해되긴 했지만, 참 시기 적절한 질문을 받아 감탄이 절로 나왔다. 피싱이 못된 녀석이라는 건 알았는데 피싱인지 아닌지는 도대체 어찌 구분하여 혹 피싱으로 인해 피해를 입었다면 어떻게 대처해야 하는 것일까, 지금부터 살펴보자.

가장 간단한 방법은 의심하고 의심하는 것
지난 몇 달간 국내•외 유명사이트들이 해킹 당하거나 피싱의 경유지로 활용되는 사례가 보도되었다. 이제 그 어떤 사이트도 무조건적으로 신뢰할 수 없게 되었다. 최근에는 유명 사이트를 본떠 만든 위장 사이트의 형태가 갈수록 지능적으로 변해가고 있다. 때문에 접속한 사이트가 평소와 다르지 않은지, 링크 연결이 어딘지 의심스럽지 않은지 꼼꼼히 확인하여야 한다. 로그인 할 때, 평소에는 하지 않던 추가 정보를 왜 입력하도록 하는지 한 번쯤 의문을 품고 확인해 보자.
특히 금융관련 사이트는 직접적으로 금전적인 피해를 주기 때문에 더 주의해야 한다. 금융결제원에 따르면 금융관련 피싱 사이트의 경우, 다음 6가지 특징이 주로 발견되고 있다고 밝혔다. 아래와 같은 특징이 발견되는 사이트라면 개인정보를 입력하거나 로그인 하는 행위를 잠시 보류해 두는 것이 좋다.

1. 한 화면에서 개인정보를 동시에 여러 개 입력하게 한다.
2. 이체 거래를 수행할 때, 이용자가 직접 출금 계좌번호를 입력하게 한다.
3. 로그인 절차 없이 주소만 입력하면 바로 인터넷뱅킹 화면이 나타나서 금융거래를 수행하게 한다.
4. 보안카드 비밀번호를 입력할 때, 별도로 뜨는 인증서 선택창이 없이 화면에서 보안카드 비밀번호를 입력하도록 유도한다.
5. 공인인증서 비밀번호를 입력할 때, 2회 이상 입력하도록 요구한다.
6. 평소 이용하던 은행의 인터넷뱅킹 사이트와 화면 구성이 차이가 난다.

위장 사이트 외에도 이메일을 통한 피싱 사이트 유입 방식이 늘고 있다. 특히 국내 유명 쇼핑몰의 해킹 이후 스팸 메일이 부쩍 늘었다고 불평하는 이들이 많다. 이럴 때일수록 의심스러운 이메일은 아무리 궁금한 제목이라 해도 과감히 지우도록 하자. 또한 메일 수신자의 이름이 없는 경우, 메일 본문의 인터넷주소와 실제 접속되는 주소가 다른 경우는 무조건 의심하고 보자. 링크 연결이 잘못된 경우 해당 사이트의 연락처로 연락해 보는 것도 한 방법이다.

주는 게 있으면 받는 게 있는 법, give and take!
공짜로 무언가를 얻으면, 하다못해 천 원짜리 한 장 이라도 참 기분이 좋다. 하지만 우리는 알고 있다. 공짜는 더 이상 공짜가 아니라는 사실을! 응모하지도 않은 경품 이벤트나 복권에 당첨되었다는 이메일이나 게시글에 혹하지 말자. 온라인 게임아이템 충전, 말도 되지 않는 금리가 적용된 신용대출, 취업 알선이나 성금 모금과 같은 문구에도 속지 말아야 한다.

P2P 프로그램을 통한 자료 공유도 무료로 자료를 얻는 대신에 대가를 지불해야 하는 경우가 많다. 대개는 광고를 보거나, 특정 프로그램을 꼭 다운로드 받아야 하곤 한다. 그러나 그 대가가 개인정보이거나 금융정보라면 더 이상 무료가 아닌 게 된다. 정당한 방법으로 구매하고 당당히 이용하는 성숙한 자세가 피싱 사이트의 유혹에서 멀어지는 길이기도 하다는 것을 기억하였으면 한다. 되로 주고 말로 받는 사태를 피하고 싶다면…

주기적인 비밀번호 변경을 생활화 한다
혹시 아직도 모든 이메일, 쇼핑몰, 인터넷 뱅킹 아이디와 비밀번호를 동일하게 쓰고 있지는 않은지… 최소한 비밀번호만이라도 신선한 상태로 유지해야 한다. 비밀번호 변경 주기를 만들어 비밀번호를 자주 변경하면 그만큼 위험이 줄어든다. 한국정보보호진흥원(KISA)에서 발표한 ‘패스워드 선택 및 이용 가이드’에 따르면, 주기적으로 비밀번호를 변경하는 습관을 가지고 제3자에게 노출되지 않도록 관리해야 한다. 또한 비밀번호 힌트 및 정보를 제공하지 않도록 해야 하며 비밀번호가 노출된 경우에는 새로운 비밀번호로 변경해야 한다.

안전한 패스워드 생성 방법 보기☞


지켜보는 눈이 있다
우체국이나 은행에 비치된 PC를 보면, 간혹 전 사람이 이용한 공인인증서가 바탕화면에 다운받아져 있는 경우가 있다. 공공장소 특히 PC방, 학교 도서관, 공공기관의 PC실 등에서는 가능한 금융 거래를 자제하고, 부득이하게 이용한다 하더라도 사용한 공인인증서와 개인 정보를 완전히 폐기해야 한다. 또한 공인인증서는 PC에 저장하는 것보다 별도 저장매체를 이용하는 것이 더 안전한 방법이다.

낚시꾼, 그들은 놀랍게 진화하고 있다
피싱의 악명이 높아갈수록 피싱 보안 제품도 발전해 가고 있음은 분명하다. 그러나 최근에는 피싱 보안 제품의 약점을 공격하는 방법들이 다수 발견되고 있어, 안티피싱 제품을 100% 신뢰하는 것은 바람직하지 못하다. 스팸 메일로 다수를 공격하거나 위장 사이트로 사람을 낚던 단순한 방법이 도메인 뺏기, DNS나 프록시 서버 주소를 변조하는 파밍 기법으로 진화하고 있는 사례가 발견되고 있으니 이들의 사기 수법은 멈출 기세가 아니다.

때문에 그들이 진화하는 만큼 개인 PC 사용자도 발전해 가야 한다. 자신의 정보를 호시탐탐 노리는 사기꾼들에게 낚이지 않도록 가능한 안전한 PC 사용 환경을 스스로 만들어 가야 한다. 피싱에 절대 안전이란 존재하지 않으며, 명백한 범죄라는 인식이 분명해져야 한다. 피싱이라는 범죄 행위가 국경을 자유롭게 넘나들고 있는 현 시점에서, 개별 PC 사용자의 개인정보를 위협하는 피싱을 제재할 수 있는 법적 제도와 국제적 협력이 필요한 시점이다.


글 : 안철수연구소 인터넷사업팀 양혜미

최근 국내 최대 규모의 오픈마켓이 침해에 의해서 약 1,800만 명의 개인정보가 유출된 사건과 유명 포털사이트를 통해서 사용자의 키입력을 외부로 전송하는 악성 프로그램을 유포한 후 수집한 100만여 건의 개인정보를 이용, 자신들이 운영하는 도박 사이트를 12억 회에 걸쳐서 광고하는 수법으로 1억원의 부당이익을 챙긴 일당이 입건되는 사건 및 여 1억여원의 부당이익을 챙긴 일당 6명이 입건되는 사건 등 개인정보 유출과 관련하여 큼직한 사건들이 연이어 우리 주변에서 발생하고 있다.

얼마전 필자는 수백개에 이르는 인터넷 사이트 목록을 입수한 적이 있다. 목록에 나열된 인터넷 사이트들은 모두 국내에서 운영되는 것들이며, 그 종류도 기업, 기관, 교육 등으로 다양했다. 언뜻 이들 인터넷 사이트 목록을 보면 무작위로 추출했을 것 같은 이들 사이트 들은 사실 각 기업이나 기관의 내부에서 안전하게 지켜지고 있어야 할 개인정보가 유출되어 중국에서 거래되고 있는 최신의 사이트 목록들이다.

언론 매체를 통해서 수시로 밝혀지는 개인정보유출 사건의 피해자는 개인정보를 지키지 못했다는 이미지 하락을 감수해야 하는 기업 또는 기관이지만, 유출된 정보가 2차, 3차에 걸쳐 악용되어 심리적, 물질적 피해를 당하고도 마땅한 대체능력을 갖추지 못한 개인이 최대의 피해자일 것이다.

이웃 일본의 경우 3년 전 개인정보보호법이 발효된 후 기업, 기관들의 개인정보 보호에 대한 활동을 강화하는 계기를 마련하였으며, 일본 법원 역시 개인정보를 유출한 몇몇 일본 기업들에게 개인정보 유출 대상 개개인에게 거액의 피해보상을 판결한 사례에서 보듯이 점점 목소리가 높아지고 있는 사용자/소비자의 개인정보보호에 열을 올리고 있다.

이에 반해 우리나라의 경우 기업/기관의 광고에서 사용자/소비자, 국민을 위한 서비스를 최우선으로 한다는 메세지를 지겹도록 내보내고 있지만, 그들이 사업/서비스의 기반으로 하고 있는 소비자, 국민의 정보를 얼마나 소중하게 지키고 있으며, 어떠한 방안들을 마련하고 있는지 묻지않을 수 없다.

우리나라에서도 개인정보보호법안은 3년전에 국회에 제출되었으나, 지난 정기국회에서 통과하지 못하고 사실상 자동 폐기 될 운명인데다, 새로운 정부가 출범하면서 이제까지 우리나라의 정보보호 정책을 수립하고 집행한 정보통신부의 해체와 정보보호 업무의 분산 등의 사례를 보면 아직까지 무방비로 노출된 개인들의 아슬아슬한 인터넷 여행은 계속되어야 하는 것이 현실이다.

물론, 관련 법안이 제정되고 관련 업무가 한 부처에서 주관된다고 해서 모든 문제가 해결되는 것을 의미하지 않지만, 인구 5,000만명을 돌파한 우리나라가 정보통신 강국으로 도약할 수 있는 한 축으로 개개인들이 보장받아야 할 최소한의 권리를 찾기위한 길이 멀게 느껴지는 것은 씁슬한 일이 아닐 수 없다.@

안철수연구소 컨설팅팀 선임컨설턴트 이성열