2010.04.23
얼마 전 1,300만 건의 개인 정보를 탈취하여 불법 유통한 범죄에 대한 기사가 이슈가 되었다. 경찰 조사에 따르면 이들의 범행은 중국 해커와의 공모를 통해 국내 웹사이트 중 보안이 취약한 사이트들을 해커에게 지목해주고, 해당 사이트를 해킹하여 개인 정보를 얻어낸 후에 판매하는 방식으로 이뤄졌다고 한다. 특히 주목할만한 부분은 이번 사건에서 해킹을 당한 피해업체들의 경우, 개인 정보 유출 피해를 막기 위해 주민등록번호를 포함한 각종 개인 정보를 암호화하도록 한 방송통신위원회 고시의 내용을 대부분 모르고 있거나 알고 있더라도 비용이 많이 든다는 이유로 조치를 하지 않고 있었던 것이다.
정부기관 및 보안관련 기관에서는 웹사이트를 운영하는 정보통신서비스 업자들에게 지속적으로 개인 정보 유출을 막기 위한 조치를 권고하고 있으나, 관리자를 형식적으로 지정해두거나, 기초적인 비밀번호 암호화 원칙도 준수하지 않고 있는 등, 개인 정보 유출에 대한 심각성을 미리 인지하지 못하고 관리를 소홀하게 하고 있는 업체들이 많은 것이 현실이다.
인터넷 상의 각종 서비스 및 회원제 웹사이트 이용이 잦은 사용자들의 경우, 이러한 뉴스를 접할 때마다, ‘내 개인 정보가 과연 안전하게 관리되고 있는 것인지’ 불안할 수 밖에 없는 상황이다.
내 개인 정보, 내가 먼저 관리하자.
지금도 우후죽순 수많은 서비스들이 편리한 인터넷 환경을 등에 업고 생겨나고 있고, 새로운 서비스를 원하는 많은 사용자들은 가입에 필요한 개인 정보를 스스럼없이 제공하고 서비스를 이용하고 있다.
위에서도 언급한 것처럼, 인터넷을 통해 서비스를 하는 각 업체들은 자체적으로 가입자들의 개인 정보에 대한 관리를 철저하게 해야 하는 것이 필수적이나, 실제로는 그렇지 못한 경우가 있을 수 있으므로 사용자들도 각자의 개인 정보 보호를 위해 할 수 있는 최대한의 적극적인 관리를 해줄 필요성이 있다.
제시해볼 수 있는 몇 가지 간단한 가이드는 다음과 같다.
1. 내가 이용하는 서비스의 이용 약관을 꼼꼼히 살펴보자.
항상 강조되는 부분이지만, 사실 쉽지 않은 이야기다. 약관으로서 명시되는 그 많은 내용을 다 읽어보는 것은 어렵지만, 보통 ‘개인정보 취급방침’ 등의 분류로 기재된 부분을 확인해보면 내가 가입한 사이트에서 내 개인 정보를 어떻게 다룰 것인지 간단히 찾아볼 수 있다.
가입 시 요구되는 개인 정보의 항목은 어떤 것들이 있는지, 수집되는 정보들에 대한 동의는 어떤 절차로 이뤄지는지, 수집된 정보에 대한 이용 및 제3자에게 제공되는 경우는 어떠한 것들이 있는지, 탈퇴 시 개인 정보의 파기는 어떻게 이뤄지는지, 그 동안 변경된 취급 방침은 어떤지 등등 사용자 입장에서 민감할 수 있는 개인 정보에 대한 약관 내용은 꼭 읽어보도록 하자.
[그림 1 인터넷 쇼핑몰의 개인정보 취급방침에 대한 이용약관]
(해당 사이트는 이 글의 주제와 관련이 없습니다.)
인터넷을 통해 서비스를 제공하는 업체들은 제휴 서비스 및 제휴 업체가 있는 경우가 많다.
예를 들어 ‘A’라는 사이트에 가입하는 경우, 제휴를 맺고 있는 ‘B’라는 사이트에도 개인 정보가 공유되는 경우 이러한 내용을 약관을 통해 확인할 수 있으므로 가입 시에 꼭 따져보도록 하자.
또한 새로 가입하는 경우 외에도 차후 제휴 서비스가 변경/추가되는 경우에 업체는 가입자들에게 이를 알리고 약관을 변경해야 하므로 보통의 경우 가입 시에 기재한 이메일을 통해 이를 고지하게 된다. 이런 경우에도 변경된 약관의 내용을 꼭 확인하도록 하자.
2. 가입 시 기재하는 정보가 꼭 서비스 이용에 필요한 것인지 따져보자.
보통 인터넷 서비스 업체들은 ‘필수 입력 사항’이라는 것을 정해두고 가입 시 해당 정보를 입력하지 않으면 가입을 할 수 없도록 제한하고 있다. 이름과 주민등록번호의 경우에는 회원 관리를 위해 어쩔 수 없는 부분이라고 할 수 있으나, 핸드폰 번호나 이메일 주소의 경우 선뜻 입력하기가 꺼려지는 경우가 적지 않다. 이럴 경우 해당 사이트에서 제공하는 핸드폰 번호를 통한 SMS 서비스나 이메일 주소를 통한 소식지 발송, 이벤트 내용 발송 등의 서비스가 자신에게 정말 필요한 것인지 다시 한번 생각해볼 여지가 있다. 사이트 이용에 불편함이 없을 것이라고 예상된다면 적절한 가짜(?) 정보(예를 들면, 010-0000-0000, aaa@aaa.com 등)를 입력해두는 것도 나쁘지 않을 것이다.
그러나 이렇게 가짜(?) 정보를 입력해서 가입하면서, 이메일을 통해 서비스 변경 사항이나 약관 수정 내역을 받지 못하는 것이 걱정된다면, 자신이 주로 중요하게 사용하는 이메일 계정 외에 사이트 가입 시에만 사용하는 이메일 계정을 별도로 만들어서 관리하는 것도 한 가지 방법이 될 수 있겠다.
3. 가입 시 사용하는 아이디와 패스워드는 겹치지 않도록 관리하자.
대부분의 사용자들은 자신이 사용하는 아이디, 패스워드를 거의 모든 사이트에 동일하게 적용하기 마련이다. 그러나 해킹을 통한 개인 정보 유출 사고가 발생하게 되면 탈취한 개인 정보를 이용하여 2차 범죄가 이어지는 경우가 다반사다. 아이디와 패스워드가 여러 곳에 똑같이 설정되어 있을 경우 한 사이트에서 해킹 사고가 발생하면 그 외의 사이트들에서 내 정보는 더 쉽게 유출될 수 있다는 것을 명심하자.
또한 자신이 가입한 사이트에서 해킹 사고가 발생했을 경우, 동일한 아이디, 패스워드를 설정해둔 타 사이트들의 계정 정보를 즉각 변경하는 것도 2차 유출을 막을 수 있는 방법이다.
4. 내가 가입한 사이트들을 주기적으로 관리하자.
가장 어려운 부분일 수 있다. 워낙 인터넷 사이트들이 방대하다 보니 그 때 그 때 필요에 의해서 가입했던 사이트들은 시간이 지나면 자연스럽게 잊혀지게 마련이다. 자신이 평소에 지속적으로 이용하는 곳이 아니라면 과감히 탈퇴하여 해당 사이트에서의 개인 정보가 유출될 여지를 미연에 방지할 수 있도록 하자.
평소 철저하게 개인 정보를 관리하는 몇몇 사용자들의 경우 자신이 가입한 사이트 리스트를 항상 주기적으로 업데이트하는 경우를 심심찮게 보게 된다. 그러나 이렇게 하지 않더라도 자신이 가입한 사이트를 확인할 수 있는 방법은 있다. 주요 기관들에서는 내 주민등록번호가 인터넷 상에서 몇 군데에 사용되었고, 해당 주민등록번호를 통해 가입된 사이트는 어떤 곳들인지 알아볼 수 있도록 하고 있다.
서울신용평가정보㈜에서 운영하는 Siren24(http://www.siren24.com/)의 경우 주민등록번호를 입력을 통해 사용자의 개인 정보가 어떻게 사용되고 있는지 간단히 조회해 볼 수 있도록 하고 있다.
[그림 2 Siren24(서울신용평가정보㈜ 운영)]
[그림 3 Siren24에서 주민등록번호를 통해 조회한 결과]
한 때 개인 정보 클린 캠페인이 진행되면서 가입한 사이트들의 리스트도 무료로 조회할 수 있도록 하였지만, 현재는 무료 조회 서비스는 불가능하다. 하지만 이러한 명의 도용 방지 서비스를 하는 사이트의 경우 가입자의 개인 정보가 인터넷 상에서 사용되는 시점에 즉시 SMS를 통해 그 사실을 알려주는 등의 서비스를 제공하므로, 보다 적극적으로 개인 정보 관리를 하고 싶은 사용자의 경우 유료 사용도 고려해볼 수 있다.
내 개인 정보 사용은 어쩔 수 없는 선택?
보안과 편의의 관계는 항상 상충된다. 인터넷을 통해 제공되는 각종 편리한 서비스를 사용하기 위해서는 어느 정도의 보안 위험을 감수할 수 밖에 없다는 것이다.
초반에 언급했듯 국가 기관에서는 서비스 업체들에게 지속적인 보안 관리 지침을 주고 있지만 사용자 입장에서는 서비스 업체의 완벽한 관리를 무조건 믿고 있을 수는 없는 노릇이다.
또한 반대로 서비스 업체들의 입장에서도 각 사용자들에게 충분한 서비스를 제공하기 위해서는 개인 정보의 수집을 배제할 수 없다.
개인 정보 관리의 중요성이 지속적으로 강조되고 있는 요즘, 아무쪼록 이 글이 잊을만 하면 발생하는 개인 정보 유출 사고 시에 걱정 없이 대처하기 위한 사용자들의 적극적인 개인 정보 관리에 조금이나마 도움이 되길 바란다.@
윤병무엔진테스터
안철수연구소에서 매일 업데이트 되는 따끈따끈한 엔진을 이쁘게 포장하고 테스트하여 고객에게 전달하는 업무를 담당하고 있다. 현재 “안랩 칼럼니스트”로 활동하며, 초보자에게 필요한 여러 IT 활용지식을 쉽고 간결한 필체로 제공하고 있다
소박한 꿈이라고 한다. .
위 글은 안랩닷컴
페이지에서도 제공됩니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
내 정보는 내가 지킨다!
안랩닷컴에서 찾으세요
'AhnLab 보안in' 카테고리의 다른 글
아이패드 가입자 11만명 해킹 왜 발생했나? (0) | 2020.04.09 |
---|---|
과장된 보안위협과 해킹 시연, 윤리적 책임없나? (0) | 2020.04.09 |
<안철수연구소> 기업 안전 정보보안수칙 15계명 (0) | 2020.04.09 |
안랩의 이웃 KISA 김희정 원장 만나보니 (0) | 2020.04.09 |
스팸 이메일 공격 예방 행동지침 5가지 (최초 스팸 및 안티스팸 역사) (0) | 2020.04.09 |