오늘날 정보는 거미줄처럼 연결된 하나의 거대한 컴퓨터 속에 들어있다. 이러한 정보는 인터넷과 다양한 멀티미디어를 통해 디지털화된 정보 형태로 소통되고 공유된다. 정보는 사회의 여론을 주도하기도 하며 새로운 가치를 창조하기도 한다. 그만큼 폭발적인 전파력과 영향력을 지니고 있다.

이러한 이유 때문에 많은 이들이 정보를 생성하고 활용하는데 혈안이 되어 있다. 반면, 디지털 정보가 축적되고 소멸되지 않는 특성에 대해서는 아무도 관심을 기울이지 않는다. 용도 폐기된 정보가 데이터베이스에 보관된 상태로, 각 개인 PC에 저장된 형태로 무관심과 부주의 속에 방치되고 있다. 주목해야 할 점은 이 정보들 중에는 소중한 개인정보가 포함되어 있어 악용될 가능성이 있다는 것이다.

정보 시스템을 구성하는 제품과 서비스를 미국 기업들이 주도하다 보니 이러한 정보를 관리하는 체계도 미국의 사례를 따르는 경향이 있다. 물론 정보 시스템을 구성하는 하드웨어, 소프트웨어, 통신 인프라 등은 선진 글로벌 기업들의 주도로 표준화될 수 있다. 그러나, 정보를 생성하고 소멸하는 과정, 그리고 소통하는 삶의 방식은 그 구성원들의 인식과 문화적 환경에 따라 다르다. 이런 차이점을 이해하지 않고 무작정 모방하려고 하면 실효성도 떨어질 뿐만 아니라 때로는 역효과도 발생할 수 있다는 점을 간과해서는 안 된다.

최근 사회 문제가 되고 있는 개인정보 유출의 해결책 또한, 정보가 소통되는 그 공동체의 문화와 역사적 특성과 함께 사회 생활의 행동 방식에 따라 적절하게 적용되어야 한다. 정책의 대상인 그 구성원들이 따를 수 있어야 좋은 정책인 것이다. 하지만 이러한 정책을 따르고 적용하기 힘들다면 예외의 경우가 발생하고, 예외가 발생하는 경우가 많으면 많을수록 이미 그 정책은 설 자리를 잃는다.

문명의 뿌리가 같다고 할 수 있는 미국과 유럽만 해도 엄연한 차이가 존재한다. 예를 들어 직원들이 사용하는 PC, 통신내역, 이메일과 같은 컴퓨터 자원의 경우, 미국에서는 이것이 회사의 자산이기 때문에 회사가 모니터링하고 관리할 수 있는 권한을 당연시한다. 그러나, 유럽 국가에서는 회사가 비용을 지불한다고 해도 개인의 프라이버시가 우선한다.

하물며 동양권의 문화는 역사적으로 서구와 다른 길을 통해 오늘에 이르렀다. 글로벌화에 따라 문화간의 융합이 이루어지고는 있지만, 개인주의에 기반을 둔 서구식 방식을 그대로 적용하는 데는 무리가 따른다. 동양권에서도 국가별로 특성이 다르다. 이를 테면 학연, 혈연, 직장 동료 등 다양한 그룹에서 각 개인을 중심으로 형성되는 네트워크 안에서의 한국인의 정보 공유 행위는 유난히 강하다. 이런 차이점과 오랜 기간 형성되어 온 관행과 습관을 고려하지 않고서는 효과적인 정책이 성립되기 힘들다.

최근 쟁점이 되고 있는 주민등록번호 제도는 우리 사회가 발전하는 과정에서 스스로 만들어낸 제도이다. 국가에서 각 개인에게 유일한 번호를 부여하는 방식은 우리나라에만 존재한다. 냉전 시대에 분단된 국가의 현실에서 일사불란한 주민 관리 체계는 행정적으로나 동원 체제를 위해 효과적이었다. 국가 주도의 산업 발전과 교육 체계를 위해서도 활용도가 컸다. 특히 정보의 통합화를 실현하는데 지대한 역할을 했다는 평가를 받고 있다.

더 나아가 우리가 IT 강국이 되는 과정에서 정보의 전산화는 효율성과 생산성을 목표로 급속도로 이루어졌다. 부동산, 가족상황, 주소등록, 병역관계, 신용등급, 금융거래, 의료정보, 포털의 회원 정보 등 거의 모든 개인 정보가 전산화되었고 각 개인의 분류 기준은 주민등록번호로 일반화되었다. 일반기업의 서비스를 이용하는 과정에서도 주민등록번호는 아무 거리낌없이 사용되고 있다. 이런 상황을 고려했을 때 주민등록번호의 유출 방지에 포커스를 맞추어 문제의 해결책을 찾는 것은 근원적인 대책이 되지 못한다. 게다가 이를 대체하거나 분리하고자 할 경우, 시스템 재구성에만도 상당히 많은 고통과 비용을 수반하게 된다.

우리가 집중할 문제는 정보 그 자체다. 누가 이 정보를 볼 수 있고 누가 이 정보를 생성부터 소멸까지 관리할지에 대한 책임 소재가 분명해야 한다. 과거에 개인 정보 통합과 검색 시스템을 구축하는 데만 주력해 온 결과 정보의 라이프사이클을 책임질 오너쉽이 실종된 경우가 허다하다. 이것이 오늘날 개인정보보호를 위해 해결할 문제의 핵심이다.

그나마 물리적으로 관리 주체가 명확한 시스템, 데이터베이스, 네트워크 같은 인프라는 범위라도 정해져 있다. 거의 모든 개인이 사용하는 PC에 저장된 정보는 오너쉽이 누구에게 있는가? 게다가 PC는 플랫폼으로써 업무적, 개인적 정보와 각종 소프트웨어가 혼합되어 있다. PC가 독립적으로 사용될 때에는 영향력이 적었으나, 이미 PC는 전체 시스템에 직접적인 영향을 주는 구성 요소로 진화했다. 이와 같은 플랫폼의 정의와 주체를 규정하는 것이 논의의 출발점이다.

정보 그 자체에 집중하지 않는 상태에서 보안 솔루션이나 기술을 채택하는 경우 수박 겉핥기식이 되어 실효성은 떨어질 수 있다. 더욱이 PC 플랫폼이나 어플리케이션, 문서의 활용 형태가 워낙 다양해서 고객과 솔루션 벤더를 둘 다 만족시키는 접점을 찾는 것도 쉽지가 않다. 정보유출방지 솔루션을 도입한 많은 케이스를 보면, 사용하기는 불편하고 보안 상태는 나아지지 않고 있는 상태에서 정책을 수립하는 사람이나, 사용자 솔루션 제공자 모두가 힘들어 하는 사례가 비일비재하다.

결국 정보의 활용을 극대화하면서 생성과 소멸을 책임질 수 있는 오너쉽을 가지는 것이 관건이다. 그 주체와 범위는 각 기업이나 기관, 개인의 업무 환경과 문화에 따라 다를 수가 있다. 정보 자체의 라이프사이클이라는 초점을 잃지 말고 중심을 잡는 정책이 절실하다. 단 우리의 문화와 업무 형태를 고려한 방향이어야 실효성이 있다.@

[저자] 김홍선 안철수연구소 부사장, CTO

“개인정보가 버젓이 인터넷 떠돌아 다닌다”, “국민 1/4 개인정보 유출”, “한국 개인정보 중국 포탈을 통해서 판매” 이것은 최근 우리들 눈 또는 귀에 자주 오르내리고 있는 내용들이다. 사상 유례없는 개인정보 유출 사고가 발생하면서 개인정보 보호에 대해서 관심이 늘고 있다. 또한 언론매체에서도 관련 뉴스들이 급격히 늘어났다. 하지만, 개인정보 보호에 대한 관심이 얼마나 지속될지는 의문이다. 나는 여기서 묻고 싶다. “디지털시대인 지금 여러분들의 개인정보 얼마나 안전할까?” 이에 대한 대답은 본인 스스로가 잘 알고 있을 것이다. 만약 지금 바로 대답이 떠오르지 않는다면 깊게 생각해 보지 않았거나 이 질문에 의아함을 가지고 있을 것이다. 과연 나는 내 개인정보를 잘 보호하고 있었을까 하는 의문과 함께 말이다.

개인정보라 함은 사전적 정의도 있겠지만 우선 개인마다 개인정보의 범위와 중요도도 다를 수 있다. 우리나라에서 정의하고 있는 개인정보라 함은 ‘생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보를 말하며, 당해 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것’으로 정의하고 있다. 이제 사전적 의미의 정의를 벗어나 여러분들이 생각하는 개인정보 보호의 의미를 정의할 때이다. 디지털시대 우리들의 일그러진 개인정보를 되찾기 위해서는……

개인정보 자기평가

디지털시대인 현재, 이제 여러분들의 개인정보 유출 및 도용은 어려운 일이 아니다. 과거 영화, 소설에서만 나오던 이야기가 아니라 지금 여러분들 주위에서 실제로 벌어지고 있거나 또 앞으로 벌어질 수 있는 일들이다. 섬뜩한 일이 아닐 수 없다. 바로 디지털시대의 가장 큰 장점인 시, 공간을 넘나드는 세상인 네트워크 환경이 있었기에 가능해진 것이다.

자, 그럼 다음질문에 여러분들은 얼마나 많이“예” 라고 대답할 수 있을까?

- 백신 프로그램을 사용하고 주기적으로 업데이트 한다.
- 인터넷 연결 시 개인용 방화벽을 사용한다.
- 이메일 또는 메신저를 통해 계좌번호, 주민등록번호 같은 중요 정보를 보내지 않는다.
- 전화번호나 주민등록번호를 물으면 쉽게 알려주지 않는다
- 출처가 불분명하거나 이상한 메일은 클릭하지 않는다.
- 비밀번호는 영문과 숫자 및 특수문자를 조합한 방식의 비밀번호를 사용한다.
- 컴퓨터 사용도중 잠시 자리를 비우는 경우 윈도우 잠금 기능을 사용한다.

위 물음에 “예” 라고 대답하지 못하는 경우라면 여러분의 개인정보는 위험에 노출도어 있을지도 모른다. 물론 단순히 이런 부분들이 지켜지지 못했다고 해서 개인정보가 위험하다고 하는 것은 어불성설일지도 모른다. 하지만, 디지털시대인 지금 “예” 라고 대답할 수 있었던 경우에 비해 분명 위험에 노출되어 있을 확률은 더욱 높다. 이것은 개인정보를 지키기 위한 최소한의 행동들이다.

자 이제 우리들의 일상생활에 얼마나 많은 개인정보가 노출되어지고 있는지 다음 가상의 우리들의 일상 이야기를 한번 들여다 보도록 하고, 여러분들의 일상 생활과 비슷하지 한지 또 어떠한 부분들에서 위험에 노출되는지 함께 이야기를 풀어 나가보도록 하겠다.



내 주변에서 일어나는 보안위협

여러분의 인생은 위 이야기와 얼마나 비슷한가요? 물론 사람마다의 일상 이야기가 모두 다르다 보니 꼭 내 이야기같이 완벽하게 피부에 와 닿진 않겠지만 부분적으로나마 스팸메일, 광고전화와 같이 일반적으로 흔히 겪는 상황은 직면해 보았을 것이다. 언제부터인가 이러한 단어들이 우리 인생에 아주 깊숙이 파고들어있다. 어떤 위험들이 주인공 주변에서 개인정보를 위협하고 있는지 위 사례를 통해 알아보도록 하겠다.

출근길에 지하철에서 주인공은 감시카메라를 보게 되었다. 이제 감시카메라는 지하철뿐만 아니라 공공 장소에서는 많이 볼 수 있게 되었다. 개인 및 회사의 자산을 지키기 위한 용도로 쓰이기도 하고 공공장소에서의 감시 그리고 범죄를 예방하기 위한 용도로 많이 이용되고 있다. 최근에는 특정 구를 중심으로 어두운 골목길에 감시카메라를 설치하여 범죄로부터의 사전예방을 수행하고 있다. 또 이외도 인터넷과 연결되는 웹 캠을 이용하여 언제든지 쉽게 화면을 실시간으로 확인할 수 있다. 하지만 이러한 웹 캠의 관리가 제대로 이뤄지지 않다 보니 침해 사고도 자주 일어난다. 감시카메라의 이점이 있지만, 이러한 순수목적 뒤엔 자기의 사생활이 노출될 수 있다는 점은 잊지 말아야 한다.

이제 회사공간으로 들어가 보자. 주인공은 업무 시작을 위해 이메일을 열어보는 순간 어김없이 많은 스팸메일이 메일박스에 쌓여있는 것을 보았다. 스팸메일이 크게 증가하다 보니 업무를 수행함에 있어 이런 메일을 지우는데 소요되는 시간도 적지 않게 낭비되고 있다. 광고성 메일에는 순수 광고의 메일도 있겠지만 사용자의 정보를 빼내가기 위한 악성코드가 첨부된 메일, 스크립트가 삽입된 메일 또는 피싱메일이 있다. 사용자는 메일을 읽어보기 위하여 단순히 클릭했을 뿐인데 자신도 모르게 특정 프로그램이 설치되어 개인정보가 빠져나갈 수 있다. 일부 언론에서 말하는 해킹류가 이런 방식으로 많이 이용하고 있기도 하다.

그렇다면 왜? 사람들은 메일을 클릭하게 될까? 본인과 관계없는 메일이라고 판단되면 바로 지우게 될 것 같기도 하지만, 해커 집단에서는 이렇게 읽지않고 지우는 것을 막기 위해서 사회 공학적 방법(Social Engineering)을 사용하기 때문이다. 그 사람과 관계 있는 내용의 제목을 사용하거나 또는 좀더 유혹적인 광고내용으로 광고가 아닌 척 하는 이런 광고를 피해가기 힘든 경우가 있다. 이와 같은 위협에 노출되는 것을 예방하기 위해서는 다음의 몇 가지 방법만 준수해도 더욱 안전한 인터넷 사용이 가능하다.

- 백신 프로그램의 사용과 주기적 업데이트
- 개인용 방화벽의 사용 (임의의 프로그램이 인터넷 접속을 수행할 경우 차단 경고 메시지를 보여준다)
- 운영체제의 보안 업데이트 수행 (윈도우는 매월 둘째 주 수요일에 정기 보안 업데이트가 있다.)

더욱 안전한 사용을 위해서는 지켜야 할 것들이 더 있지만 필자는 여기서 위 세 가지 사항만은 꼭 지켜줄 것을 당부한다. 스팸메일과 함께 또 다른 광고성내용이 개인용 휴대전화를 통해서도 많이 사용되고 있다. 060 전화번호가 대표적인데, 이러한 광고성전화는 사용자들이 해당 번호가 광고임을 많이 인지하고서는 일반전화 번호를 이용하거나 한번 울리고 끊어진 후 부재중 전화를 남긴 다음 사용자가 다시 전화를 걸게 하는 다양한 방법 등을 이용되고 있다. 060번호의 경우는 해당 통신사에 차단 요청을 하거나 휴대전화에서 제공하는 기능을 통하여 차단할 수 있다. 그럼 휴대전화 번호는 어떻게 알고 전화를 하였을까? 이것은 여러분들이 제공한 정보를 제 3자에게 판매하거나 기타 여러 방식으로 취득한 경우다. 개인정보를 제공할 때 보다 주의를 기울여야 한다.

그렇다면 어떤 경우가 있는지 알아보도록 하자. 앞서 언급하였던 주인공의 이야기와 같이 물건을 구매하기 위하여 최저가 사이트를 검색하였고 제일 저렴한 사이트에서 구매를 하게 되었다. 구매하기 위하여 회원가입을 하며 개인정보를 제공하고 물건을 샀지만 해당 쇼핑몰 사이트의 개인정보 관리를 잘 하는지 의문이다. 국내의 내로라하는 유명 쇼핑몰에서도 정보가 유출되는 마당에 영세 사이트는 오죽하겠는가? 실제 특정 사이트에 개인정보를 제공하고 다음날부터 광고성 메일이 많이 들어왔다는 말을 들은 적이 있다. 이 경우 삼자에게 정보를 제공하였거나 사이트의 관리자 모르게 정보가 유출되었을지도 모른다. 그렇다고 모든 중소 사이트가 안전하지 않다고 보는 시각은 적절치 않다. 다만, 개인정보를 제공할 때 해당 사이트에서는 어떤 방식으로 정보를 보관하고 이에 대한 약관은 어떤지 등 업체 스스로가 적극적으로 안전함을 알려야 할 의무는 있을 것이다.

주인공의 업무시간 중에 사용하는 이메일과 메신저 이야기를 해 보도록 하자. 업무 중에 빈번하게 사용하는 툴이 두 가지 일 것이다. 그런데 여러분은 이러한 정보가 그대로 노출될 수 있다는 점을 숙지해야 한다. 특별한 경우를 제외하고는 암호화 없이 데이터가 전달되기 때문에 정보가 쉽게 노출될 수 있다. 정보감시 또한 쉽다는 이야기가 된다. 이미 기업의 정보유출을 방지한다는 명목 하에 내부 직원들의 이메일과 메신저 대화내용을 감시하고 있기도 하다. 여러분의 개인정보가 당신뿐만 아니라 제 3자에 의해서 감시되고 있다는 것은 분명 불쾌한 일이다. 이외에 해커와 같이 악의적 사용을 위해서도 유출될 수 있으므로 주민등록번호, 신용카드 또는 계좌번호 등은 가급적 이메일을이나 메신저를 통해서 전달하는 것을 자제하는 것이 좋다. 참고로 안전한 메일을 사용하기 위해서는 PGP (http://www.pgpi.org) 와 같은 프로그램을 이용하는 방법들이 있고 메신저 대화의 내용도 암호화 해주는 유용한 프로그램(MSN 의 경우 Simplite 가 있다) 들이 나와 있으므로 쉽게 찾아 볼 수 있을 것이다.

마지막으로 주인공이 퇴근 후 친구를 기다리는 와중에 무료 선물 증정을 미끼로 개인정보를 요구하는 경우를 보았다. 제공해 주는 선물도 좋지만 주인공은 자기의 개인정보와 함께 이것을 맞바꾼 것이다. 과연 이러한 것이 자기의 개인정보 보다 더 가치가 큰 것일까? 아직 우리사회에서 거리낌 없이 쉽게 정보를 주고 개인정보에 대한 중요성을 경외시하는 분위기이다. 과거보다 개인정보의 인식은 높아졌지만 아직도 개인정보를 중요시하는 서방국과 비교하면 보안의식 성숙은 아직 요원한 것 같다.

개인의 의식변화 필요

아마도 많은 수의 사람들은 프라이버시 침해 문제가 직접 본인에게 영향을 미치기 전까지는 크게 인식을 못한다. 자기가 제공한 정보가 제공한 곳에서만 사용되고 관리가 잘 되고 있다면, 이러한 내용의 글도 없었을 것이다. 하지만 현실은 그렇지가 않다. 개인정보를 수집하여 판매하기도 하고 악성코드에 감염된 PC 들을 이용하여 스팸메일을 다량으로 전송하기도 한다. 또한, 트로이목마 프로그램을 이용하여 게임계정, 개인정보 등 중요한 데이터를 사용자 모르게 빼내간다. 아직도 개인정보에 대한 사회의 인식은 크게 바뀌지 않아 영리를 추구하는 기업은 불필요한 정보까지도 제공할 것을 요구한다. 상품을 구매하는데 주민등록번호는 왜 필요한 것이며, 직업, 나이, 결혼유무 등은 왜 얻으려고 하는 것일까? 우리는 이제 “왜, 그런 정보가 필요한 것이죠? “ 하고 당당히 요구할 수 있어야 한다. 우리의 의식이 바뀌어야 사회의 분위기도 바뀌게 되는 것이다.

디지털시대 있어 여러분의 정보는 본인 스스로가 보호해야 한다. 이제 여러분이 제공한 개인정보는 0과 1이라는 디지털에 의해 기록되게 되고 다양한 방식으로 이용될 것이다. 정보를 제공받은 곳은 안전하게 관리해야 할 의무를 가지고 있지만 그렇지 못한다면 어떻게 대처해야 할까? 결국 이 시대의 개인정보를 안전하게 관리해야 할 몫은 여러분인 것이다.

이 짧은 글이 여러분의 개인정보 인식에 작지만 큰 변화를 주었으면 하는 바람이다.@

[글] 안쳘수연구소 ASEC팀 정관진 선임연구원
현재 안철수연구소 시큐리티대응센터에서 취약점 및 악성코드 분석을 담당하고 있는 정관진씨는 다수의 보안 강연 및 컬럼니스트로 활동하고 있으며, 오픈 소스와 유비쿼터스환경의 보안에 많은 관심을 가지고 있다. 또한, 아파치사용자그룹(http://www.apache-kr.org)사이트의 운영자이기도 하다.

최근 돈벌이를 노린 범죄 집단이 온라인 게임 / 뱅킹 / 쇼핑몰 등을 해킹해 사용자의 개인정보 DB를 빼내거나 사용자 몰래 PC에 설치돼 개인정보를 빼내가는 악성코드나 스파이웨어를 유포하는 사례, 피싱(Phishing) 사이트나 보이스 피싱을 이용해 정보를 유출하는 일이 급증하고 있습니다. 안전한 인터넷 거래를 위해 각 업체들의 보안 강화는 물론 개인 사용자들도 보안 수칙을 준수하는 등 각별한 주의가 필요한 시점입니다.

따라서 여러분들에게 안철수연구소는 개인, 기업, 정부 등 각 주요 부문에 대한 정보보호 안전수칙 10계명을 발표해 보안을 생활화하는 습관을 길러, 제 2의 피해가 없도록 해야겠습니다.

<개인정보보호 수칙 10계명>----------------------------------------  

[개인]    

1. 자신이 가입한 사이트의 패스워드를 변경한다. 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 개인정보나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다.    

2. 만약 본인이 주민등록번호가 유출됐다면, 신용정보 사이트를 통해 명의 도용 차단 서비스를 활용하는 것이 좋다. 또한 현재 가입된 이동통신사에 '가입제한' 등록 신청을 한다.    

3. 계좌정보까지 유출됐다면 전화 금융사기로 일컬어지는 ‘보이스 피싱’에 각별히 주의해야 한다. 보이스 피싱은 공공기관이나 은행 등을 사칭해 돈을 빼앗아가는 신종 사기 수법이다. 특히 요즘에는 상당히 지능적인 방법으로 돈을 갈취하기 때문에 자신의 개인 정보나 계좌 정보 등을 거론하며 걸려오는 전화는 일단 의심해보고 전화를 끊는 것이 좋다. ▲한국말이 어눌하거나 ▲경찰, 금융권, 공공기관 관계자라거나 ▲전화로 개인정보를 요구한다면 유의한다.  

4. 굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제하고, 지난 1개월 동안 한 번도 들어가지 않은 사이트가 있다면 탈퇴하는 것이 좋다. 가입한 곳을 북마크에 따로 관리하는 것도 한 방법이다. 

5. 해킹 피해자 모임에 가입할 때에는 믿을 수 있는 모임인지 확인한다. 피해자 모임에 가입하라는 이메일이나 전화를 받았을 경우, 자신의 정보를 유출하지 말고 해당 사이트에 직접 가입하여 확인한다.

6. PC방 등 누구에게나 개방된 컴퓨터에서는 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. 불가피하게 사용할 경우 신뢰성 있는 백신 및 PC방화벽 등이 설치 실행되는 곳에서만 이용한다. 

7. 윈도 운영체계는 최신 보안 패치를 모두 적용하며, 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합백신 보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.  

8. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트보안’(http://secuon.vitzaru.com/blu2/home/home.do) 서비스를 이용해 예방한다.  

9. 웹 서핑 때 액티브X '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.  

10. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.  

[기업]    

1. 기업 및 기관에서는 사용자 안전과 개인 정보보호가 필수적인 최우선 과제라는 보안의식을 갖고 신뢰할 수 있는 웹사이트 및 홈페이지 구축과 함께 항상 최상의 보안상태를 유지하도록 관리해야 한다. 정기적인 서버 보안점검, 모의 해킹, 보안장비 로그 점검 등 전담 인력을 배치해 주기적으로 보안 시스템을 점검한다.  

2. 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 보안 대응 지침 실천을 위한 교육을 수시로 실시한다.  

3. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.  

4. 네트워크 안전을 위한 네트워크 통합 위협관리장비나 방화벽의 설정을 통해 불필요한 포트를 차단한다.  

5. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다.  

6. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.  

7. 개인 사용자의 아이디와 패스워드를 주기적으로 점검한다.  

8. 운영체제(OS)의 최신 보안 패치를 적용한다.  

9. 사내 PC의 보안 솔루션이 최신 버전인지, 작동이 정상적으로 되고 있는지 상황을 수시로 점검하고 감염이 자주 되는 PC를 특별 관리한다.  

10. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.   

[국가]  

1. 개인정보보호법 등 사용자 안전을 위한 법 제도를 신속히 제정해 국민들의 인터넷 사용 안전 대책을 마련한다. 개인정보가 유출될 경우 이를 개인정보 주체에게 알리도록 의무화하거나, 기업이나 기관이 개인정보와 고객정보 보호를 위한 웹사이트나 홈페이지 할 수 있는 법을 마련해야 한다.    

2. 포털, 게임 등 개인 정보보호에 필수적인 웹사이트 안전에 대한 '정보보호 안전진단' 제도의 실효성을 강화한다. 인터넷 보안취약성 점검이나 모의해킹 등을 통해 실제 해킹 여부를 확인하고, 안전진단을 실시하는 업체들의 관리 감독을 엄격히 실시한다.   

3. 해킹 예방과 사이버 범죄 수사를 위해 다른 나라들과의 공조체계를 마련한다.  

4. 정보보호 전문가를 육성할 전문적 교육체계를 마련하고 중요 국가시설에는 보안전문가들이 상시 관리 감독하도록 한다. 국가적 차원에서 실질적으로 사이버 안전체계를 강화하기 위해서는 전문보안업체의 인력 양성 및 수급이 중요하며, 기업 및 기관 등에도 보안 전문가 육성이 필요하다.    

5. 국가 중요 시설의 경우 정보보호계획 수립을 의무화해 체계적으로 관리한다.  

6. 국가적인 사이버 재난 및 사이버 전쟁에 대비한 국가 사이버 안전 대책을 일원화하여 일관성 있게 계획하고 추진할 수 있는 국가 CSO(Chief Security Officer 최고 보안책임자) 직책을 마련한다.

7. 주민등록번호 등 과도한 개인정보를 입력하도록 하는 국내 웹사이트 회원 등록에 대해 대안 마련과 개선을 한다.  

8. 포털 등 웹사이트 회원 가입 시 1인당 아이디(ID)를 여러 개 가입할 수 있는 관행은 인터넷 역기능과 사이버 범죄 악용 가능성을 감안해 폐지할 수 있도록 한다.  

9. 보안은 안전한 인터넷 생활의 인프라라는 관점에서 개인정보보호 등 보안에 대한 투자를 선진국 수준인 10% 이상으로 확대한다. 국가 시설이나 공공 기관의 경우 반드시 일정 수준의 정보보호시스템을 갖추도록 의무화한다.  

10. 국민들에 대한 보안의식 제고를 위한 범국가적인 지속적인 계도 및 캠페인을 실시하고 학교 교육부터 보안교육을 의무화한다.

인터넷 보급율 세계 최고인 우리나라가 보안 문제로 몸살을 앓고 있다. 인터넷이 발전함에 따라 보안 문제도 함께 커진다는 점은 이미 상식이 될 만큼 보안에 대한 관심은 커 가고 있으나, 실제로 인터넷을 이용하여 사업을 하는 기업이나 그것을 이용하는 사용자 역시 관심에 걸맞은 보안을 마련해 놓고 있지는 못한 것 같다.

최근 온라인 게임에서의 보안 문제가 사회적으로 큰 이슈가 되었다. (아마도) 해커들이 관리가 소홀한 사이트의 데이터베이스를 해킹해 주민번호를 대규모로 유출시키고 그것을 악용하여 게임에 등록한 뒤 (아마도) 아이템을 판매하여 돈을 챙겼을 거라는 게 보안업계의 공통적인 시각이다. 이번 사태를 배경으로 하여 필자는 보안업계에 종사하는 한 사람으로서 보안 솔루션 측면에서 이러한 문제에 대처할 수 있는 방안은 어떤 게 있고, 어떤 장단점이 있는지 검토해 보려고 한다.

주민번호의 대량 유출을 막기 위해서 해당 데이터베이스를 보호하는 솔루션으로는 ‘데이터베이스 보안’ 제품이 있다. 이 데이터베이스 보안 제품은 크게 데이터베이스에 대한 접근을 통제하여 인증받고 권한이 있는 사용자만 해당 데이터베이스를 사용할 수 있게 함으로써 데이터베이스의 유출을 막는 제품(접근통제형 제품)과, 데이터베이스에 저장되는 내용을 암호화함으로써 이것이 유출되더라도 이를 악용하지 못하도록 하는 제품(데이터베이스 암호화 제품)으로 나눌 수 있다. 접근을 통제하는 제품 역시 패킷을 검사하여 처리하는 방식과 애플리케이션 수준에서 처리해 주는 방식으로 나눌 수 있는데, 각기 장단점이 있기 때문에 각 기업의 인프라와 정책 관점에서 어떤 방식이 적절한지 검토해야 할 것이다.

특히 요즘 SQL Injection 등을 이용해 웹을 통해 데이터베이스를 해킹하는 방식이 많이 활용되고 있기 때문에 데이터베이스를 보호하기 위해 웹 방화벽(Web Application Firewall)을 사용하기도 한다. 이것은 데이터베이스만을 보호하기 위한 것이 아니고, 대다수의 온라인 서비스가 웹을 통해 이뤄지는 현실에서 웹을 통한 다양한 해킹을 막을 수 있다는 점이 강점이다. 물론 웹 방화벽은 주로 외부에서 접근하는 시스템을 보호하기 위해 설치하고 있어서 기업 내부에서 웹을 통하지 않고 데이터베이스를 접근하는 경로를 보호하지 못하는 제한을 안고 있다.

또 다른 온라인 게임에서 일어 난 아이디 유출은 트로이 목마를 통한 것으로 알려져 있다. 이러한 해킹 방식은 작년에도 계속 있어 왔던 것인데, 이번에는 좀더 대규모인 데다가 해당 업체가 자체 제공하는 전용 보안 솔루션에서 이를 제대로 막지 못했다는 점에서 사용자들이 더 크게 반발하는 듯 하다. 기술적으로 보면, 이것은 게임이 해킹당한 것이 아니라, 그것을 이용하는 사용자의 PC가 어떤 경로를 통해 트로이 목마에 감염되었고, 그것을 통해 사용자의 계정이 도용당한 것이기 때문에 이 문제는 게임 이용자의 PC 보안 문제로 보는 것이 적절하다. PC 보안을 위해서는 백신(안티바이러스) 소프트웨어, 스파이웨어 제거(안티스파이웨어) 소프트웨어, 개인 방화벽, 키보드 보안 제품을 사용할 수 있는데, 요즘 온라인 게임업체나 인터넷 금융업체에서는 이들을 온라인 서비스(ASP)로 제공하기 때문에 이를 잘 활용하는 것이 보안의 한 대책이 될 수 있겠다. 하지만 PC의 성능과 기능이 엄청나게 발전하긴 했지만 근본적으로 안전하지 못한 데다가 거기서 작동하는 윈도 운영체제와 우리나라에서 90% 이상의 점유율을 자랑하고 있는 인터넷 익스플로러 역시 보안 취약점이 많기 때문에 사용자 개인이 스스로 안전을 지킨다는 생각으로 보안에 주의하는 것도 매우 중요하다고 하겠다. – 개인이 보안을 위해 어떠한 점에 주의해야 하는지는 이후 글에서 정리해 볼 계획이다.

온라인 게임에서는 일정한 등급이 되어야 아이템을 획득할 수 있다. 일부 게임 사용자들이 게임 핵(game hack)을 이용하는 이유다. 게임업체들은 이러한 게임 핵을 막기 위해 게임 보안 솔루션을 사용하고, 자체 보안 관제 체제나 보안 관제 업체에 위탁해서 게임의 운영 상태를 감시한다. 이 또한 창과 방패의 게임처럼 게임보안 솔루션을 피해 가는 게임 핵이 나오곤 한다. 온라인 게임은 야간에 즐기는 사람들이 많을 뿐 아니라 인터넷만 있으면 온라인 게임은 국경을 넘어 어디서나 접속할 수 있기 때문에 24시간 대응하는 게 주요한 이슈가 되었다. 24시간 365일 대응 개념은 백신업체나 보안관제 업체에게는 일상화된 방식인데, 이제는 게임보안 업체에서도 이러한 방식으로 대응해야 할 필요성이 증가할 것으로 보인다.

특히 최근 사태에서는 주민번호의 도용이 문제가 되었기 때문에 주민번호의 대체 수단에 대한 논의가 활발해 지고 있다. 이미 공인인증서, 가상 주민번호, 개인 ID 인증 등 다양한 방식이 제안되고 있는데, 이러한 대체 수단들은 주민번호를 직접 입력하지 않는다는 점에서 보안을 좀더 강화하는 장점이 있기는 하지만, 해당 대체 수단을 PC 오랫동안 저장한다면 이것들이 유출될 수기 때문에 대체 수단의 보안도 고려해야 할 것이다. 주민번호의 보호와 관련해서 주민번호를 통한 실명확인 시 신용평가기관과 협력하여 문자 서비스(SMS)로 본인에게 알려 주는 서비스도 있다. 이것은 주민번호를 보호하지는 못하지만, 주민번호의 도용 여부를 사용자에게 알려 줌으로써 대처할 수 있도록 해 준다. 하지만 좀더 원론적인 측면에서 본다면, 온라인 게임뿐 아니라 온라인 쇼핑, 포털 등 다양한 온라인 서비스에서 주민번호를 입력하게 하고 있는데, 주민번호가 반드시 필요한지 원점에서 재검토하는 것도 필요하리라 생각된다.

여기에 나열한 제품이나 서비스를 다 쓴다고 해서 온라인 서비스에서 개인 정보를 보호할 수 있는 것은 아니다. 이 제품들은 특정한 범위에서 특정한 수준의 공격을 막기 위한 것이기 때문이다. 지금도 돈이나 정보를 노리는 해커들은 보안의 취약점을 찾아 공격 방법을 준비하고 있어서, 온라인 서비스 제공 업체, 보안업체, 사용자, 정부 등이 지속적인 노력과 협업을 해야만 해킹을 사전에 막거나 피해를 최소화할 수 있다. 이 지점에서 “완벽한 보안은 없다”는 평범하지만 진리인 보안의 금언이 등장할 수밖에 없다. 보안업계에 몸담고 있으면서 늘 어렵게 느끼는 점이다.

          강은성 상무는 안철수연구소에서 사용자의 IT 자산을 지키는 보람과
          즐거움으로 일하고 있으며, 어린이들도 즐겁게 뛰놀 수 있는 안전하고
          편안한 인터넷 세상을 만드는 꿈을 갖고 있습니다.




출처 : 매경 인터넷 2006년 3월 3일