여러분들의 개인정보는 안녕하십니까?

2008.04.29

 

“개인정보가 버젓이 인터넷 떠돌아 다닌다”, “국민 1/4 개인정보 유출”, “한국 개인정보 중국 포탈을 통해서 판매” 이것은 최근 우리들 눈 또는 귀에 자주 오르내리고 있는 내용들이다. 사상 유례없는 개인정보 유출 사고가 발생하면서 개인정보 보호에 대해서 관심이 늘고 있다. 또한 언론매체에서도 관련 뉴스들이 급격히 늘어났다. 하지만, 개인정보 보호에 대한 관심이 얼마나 지속될지는 의문이다. 나는 여기서 묻고 싶다. “디지털시대인 지금 여러분들의 개인정보 얼마나 안전할까?” 이에 대한 대답은 본인 스스로가 잘 알고 있을 것이다. 만약 지금 바로 대답이 떠오르지 않는다면 깊게 생각해 보지 않았거나 이 질문에 의아함을 가지고 있을 것이다. 과연 나는 내 개인정보를 잘 보호하고 있었을까 하는 의문과 함께 말이다.

개인정보라 함은 사전적 정의도 있겠지만 우선 개인마다 개인정보의 범위와 중요도도 다를 수 있다. 우리나라에서 정의하고 있는 개인정보라 함은 ‘생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보를 말하며, 당해 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것’으로 정의하고 있다. 이제 사전적 의미의 정의를 벗어나 여러분들이 생각하는 개인정보 보호의 의미를 정의할 때이다. 디지털시대 우리들의 일그러진 개인정보를 되찾기 위해서는……

개인정보 자기평가

디지털시대인 현재, 이제 여러분들의 개인정보 유출 및 도용은 어려운 일이 아니다. 과거 영화, 소설에서만 나오던 이야기가 아니라 지금 여러분들 주위에서 실제로 벌어지고 있거나 또 앞으로 벌어질 수 있는 일들이다. 섬뜩한 일이 아닐 수 없다. 바로 디지털시대의 가장 큰 장점인 시, 공간을 넘나드는 세상인 네트워크 환경이 있었기에 가능해진 것이다.

자, 그럼 다음질문에 여러분들은 얼마나 많이“예” 라고 대답할 수 있을까?

- 백신 프로그램을 사용하고 주기적으로 업데이트 한다.
- 인터넷 연결 시 개인용 방화벽을 사용한다.
- 이메일 또는 메신저를 통해 계좌번호, 주민등록번호 같은 중요 정보를 보내지 않는다.
- 전화번호나 주민등록번호를 물으면 쉽게 알려주지 않는다
- 출처가 불분명하거나 이상한 메일은 클릭하지 않는다.
- 비밀번호는 영문과 숫자 및 특수문자를 조합한 방식의 비밀번호를 사용한다.
- 컴퓨터 사용도중 잠시 자리를 비우는 경우 윈도우 잠금 기능을 사용한다.

위 물음에 “예” 라고 대답하지 못하는 경우라면 여러분의 개인정보는 위험에 노출도어 있을지도 모른다. 물론 단순히 이런 부분들이 지켜지지 못했다고 해서 개인정보가 위험하다고 하는 것은 어불성설일지도 모른다. 하지만, 디지털시대인 지금 “예” 라고 대답할 수 있었던 경우에 비해 분명 위험에 노출되어 있을 확률은 더욱 높다. 이것은 개인정보를 지키기 위한 최소한의 행동들이다.

자 이제 우리들의 일상생활에 얼마나 많은 개인정보가 노출되어지고 있는지 다음 가상의 우리들의 일상 이야기를 한번 들여다 보도록 하고, 여러분들의 일상 생활과 비슷하지 한지 또 어떠한 부분들에서 위험에 노출되는지 함께 이야기를 풀어 나가보도록 하겠다.

우리들의 일상 이야기

‘삐비비빅~ 삐비비빅~’ 시끄럽게 울려대는 자명종 소리에 깨어나며 한 주의 아침을 시작하는 주인공은 여느 날과 같이 출근 준비에 바쁘다. 출근준비에 TV 에서 흘러나오는 아침뉴스는 최근 연이어 들려오고 있는 개인정보 유출 및 해킹사고에 대한 이야기들이었다. 근래 이런 내용의 뉴스를 많이 접하고 나니 내 개인정보는 안전한가에 대한 생각이 잠시 스쳐 지나갔지만 허둥지둥 집을 나서며 전철역에 다다라서야 겨우 숨을 가다듬었다.

전철을 기다리고 있는 주인공의 뒤로는 감시카메라가 바쁘게 돌아가며 사람들의 행동을 유의 주시하고 있다. 회사에 도착 후 따뜻한 모닝커피와 함께 하루를 시작하는 주인공. 하지만 이메일을 열어보는 순간 오늘도 어김없이 들어와 있는 다량의 스팸메일에 한숨만 나온다. 대부분의 업무는 이메일과 메신저로 처리하는 그녀에게는 이메일이 이제 중요한 업무도구로 자리잡았다. 점심시간을 얼마 앞두고 걸려오는 한 통의 전화, 그런데 처음 보는 전화번호였다. “여보세요 ~” 라는 인사말과과 함께 시작되는 녹음된 음성이 흘러나온다. 바로 광고전화였다.

언제부터인가 부쩍 늘어난 광고성 문자와 전화에 짜증이 난다. 그래도 점심시간이 아니던가 즐거운 식사 후 주어지는 황금 같은 휴식시간에 평소에 눈여겨봤던 카메라를 사기 위하여 최저가 검색을 한다. 최저가로 검색된 사이트에 방문하였더니 정말 다른 곳보다 10%이상 싼 곳이었다. 그러나 한번도 들어보지 못한 회사이름과 어딘가 엉성해 보이는 디자인에 이상한 생각이 들었다. 문뜩 오늘 아침에 흘러나왔던 개인정보 뉴스가 생각났다. 하지만 다른 곳보다 싼 가격은 구매를 할 수밖에 없게 만들었다. 어느덧 퇴근시간이 다가오는 무렵, 친구로부터의 메신저 대화 요청. 오늘 저녁을 함께하자는 것이었다.

퇴근 후 만나기로 한 장소에 예정 시간보다 10분 먼저 도착하였고 기다리는 도중 한 낯선 사람이 다가와 신상품 출시를 기념하며 화장품 샘플을 준다고 한다. 공짜라고 하니 마냥 기분이 좋았는데 왠걸 이름과 전화번호의 간단한 정보를 기입해 줄 것을 요청한다. 요새 개인정보 유출이 문제가 되고 있어서 적어주는 게 꺼림직하긴 하였지만, 무료로 준다는 유혹은 거절하기 쉽지 않았다. 어찌되었던 오늘 하루를 바쁘게 보낸 주인공은 피곤함을 뒤로하고 깊은 잠에 빠져들었다.

내 주변에서 일어나는 보안위협

여러분의 인생은 위 이야기와 얼마나 비슷한가요? 물론 사람마다의 일상 이야기가 모두 다르다 보니 꼭 내 이야기같이 완벽하게 피부에 와 닿진 않겠지만 부분적으로나마 스팸메일, 광고전화와 같이 일반적으로 흔히 겪는 상황은 직면해 보았을 것이다. 언제부터인가 이러한 단어들이 우리 인생에 아주 깊숙이 파고들어있다. 어떤 위험들이 주인공 주변에서 개인정보를 위협하고 있는지 위 사례를 통해 알아보도록 하겠다.

출근길에 지하철에서 주인공은 감시카메라를 보게 되었다. 이제 감시카메라는 지하철뿐만 아니라 공공 장소에서는 많이 볼 수 있게 되었다. 개인 및 회사의 자산을 지키기 위한 용도로 쓰이기도 하고 공공장소에서의 감시 그리고 범죄를 예방하기 위한 용도로 많이 이용되고 있다. 최근에는 특정 구를 중심으로 어두운 골목길에 감시카메라를 설치하여 범죄로부터의 사전예방을 수행하고 있다. 또 이외도 인터넷과 연결되는 웹 캠을 이용하여 언제든지 쉽게 화면을 실시간으로 확인할 수 있다. 하지만 이러한 웹 캠의 관리가 제대로 이뤄지지 않다 보니 침해 사고도 자주 일어난다. 감시카메라의 이점이 있지만, 이러한 순수목적 뒤엔 자기의 사생활이 노출될 수 있다는 점은 잊지 말아야 한다.

이제 회사공간으로 들어가 보자. 주인공은 업무 시작을 위해 이메일을 열어보는 순간 어김없이 많은 스팸메일이 메일박스에 쌓여있는 것을 보았다. 스팸메일이 크게 증가하다 보니 업무를 수행함에 있어 이런 메일을 지우는데 소요되는 시간도 적지 않게 낭비되고 있다. 광고성 메일에는 순수 광고의 메일도 있겠지만 사용자의 정보를 빼내가기 위한 악성코드가 첨부된 메일, 스크립트가 삽입된 메일 또는 피싱메일이 있다. 사용자는 메일을 읽어보기 위하여 단순히 클릭했을 뿐인데 자신도 모르게 특정 프로그램이 설치되어 개인정보가 빠져나갈 수 있다. 일부 언론에서 말하는 해킹류가 이런 방식으로 많이 이용하고 있기도 하다.

그렇다면 왜? 사람들은 메일을 클릭하게 될까? 본인과 관계없는 메일이라고 판단되면 바로 지우게 될 것 같기도 하지만, 해커 집단에서는 이렇게 읽지않고 지우는 것을 막기 위해서 사회 공학적 방법(Social Engineering)을 사용하기 때문이다. 그 사람과 관계 있는 내용의 제목을 사용하거나 또는 좀더 유혹적인 광고내용으로 광고가 아닌 척 하는 이런 광고를 피해가기 힘든 경우가 있다. 이와 같은 위협에 노출되는 것을 예방하기 위해서는 다음의 몇 가지 방법만 준수해도 더욱 안전한 인터넷 사용이 가능하다.

- 백신 프로그램의 사용과 주기적 업데이트
- 개인용 방화벽의 사용 (임의의 프로그램이 인터넷 접속을 수행할 경우 차단 경고 메시지를 보여준다)
- 운영체제의 보안 업데이트 수행 (윈도우는 매월 둘째 주 수요일에 정기 보안 업데이트가 있다.)

더욱 안전한 사용을 위해서는 지켜야 할 것들이 더 있지만 필자는 여기서 위 세 가지 사항만은 꼭 지켜줄 것을 당부한다. 스팸메일과 함께 또 다른 광고성내용이 개인용 휴대전화를 통해서도 많이 사용되고 있다. 060 전화번호가 대표적인데, 이러한 광고성전화는 사용자들이 해당 번호가 광고임을 많이 인지하고서는 일반전화 번호를 이용하거나 한번 울리고 끊어진 후 부재중 전화를 남긴 다음 사용자가 다시 전화를 걸게 하는 다양한 방법 등을 이용되고 있다. 060번호의 경우는 해당 통신사에 차단 요청을 하거나 휴대전화에서 제공하는 기능을 통하여 차단할 수 있다. 그럼 휴대전화 번호는 어떻게 알고 전화를 하였을까? 이것은 여러분들이 제공한 정보를 제 3자에게 판매하거나 기타 여러 방식으로 취득한 경우다. 개인정보를 제공할 때 보다 주의를 기울여야 한다.

그렇다면 어떤 경우가 있는지 알아보도록 하자. 앞서 언급하였던 주인공의 이야기와 같이 물건을 구매하기 위하여 최저가 사이트를 검색하였고 제일 저렴한 사이트에서 구매를 하게 되었다. 구매하기 위하여 회원가입을 하며 개인정보를 제공하고 물건을 샀지만 해당 쇼핑몰 사이트의 개인정보 관리를 잘 하는지 의문이다. 국내의 내로라하는 유명 쇼핑몰에서도 정보가 유출되는 마당에 영세 사이트는 오죽하겠는가? 실제 특정 사이트에 개인정보를 제공하고 다음날부터 광고성 메일이 많이 들어왔다는 말을 들은 적이 있다. 이 경우 삼자에게 정보를 제공하였거나 사이트의 관리자 모르게 정보가 유출되었을지도 모른다. 그렇다고 모든 중소 사이트가 안전하지 않다고 보는 시각은 적절치 않다. 다만, 개인정보를 제공할 때 해당 사이트에서는 어떤 방식으로 정보를 보관하고 이에 대한 약관은 어떤지 등 업체 스스로가 적극적으로 안전함을 알려야 할 의무는 있을 것이다.

주인공의 업무시간 중에 사용하는 이메일과 메신저 이야기를 해 보도록 하자. 업무 중에 빈번하게 사용하는 툴이 두 가지 일 것이다. 그런데 여러분은 이러한 정보가 그대로 노출될 수 있다는 점을 숙지해야 한다. 특별한 경우를 제외하고는 암호화 없이 데이터가 전달되기 때문에 정보가 쉽게 노출될 수 있다. 정보감시 또한 쉽다는 이야기가 된다. 이미 기업의 정보유출을 방지한다는 명목 하에 내부 직원들의 이메일과 메신저 대화내용을 감시하고 있기도 하다. 여러분의 개인정보가 당신뿐만 아니라 제 3자에 의해서 감시되고 있다는 것은 분명 불쾌한 일이다. 이외에 해커와 같이 악의적 사용을 위해서도 유출될 수 있으므로 주민등록번호, 신용카드 또는 계좌번호 등은 가급적 이메일을이나 메신저를 통해서 전달하는 것을 자제하는 것이 좋다. 참고로 안전한 메일을 사용하기 위해서는 PGP (http://www.pgpi.org) 와 같은 프로그램을 이용하는 방법들이 있고 메신저 대화의 내용도 암호화 해주는 유용한 프로그램(MSN 의 경우 Simplite 가 있다) 들이 나와 있으므로 쉽게 찾아 볼 수 있을 것이다.

마지막으로 주인공이 퇴근 후 친구를 기다리는 와중에 무료 선물 증정을 미끼로 개인정보를 요구하는 경우를 보았다. 제공해 주는 선물도 좋지만 주인공은 자기의 개인정보와 함께 이것을 맞바꾼 것이다. 과연 이러한 것이 자기의 개인정보 보다 더 가치가 큰 것일까? 아직 우리사회에서 거리낌 없이 쉽게 정보를 주고 개인정보에 대한 중요성을 경외시하는 분위기이다. 과거보다 개인정보의 인식은 높아졌지만 아직도 개인정보를 중요시하는 서방국과 비교하면 보안의식 성숙은 아직 요원한 것 같다.

개인의 의식변화 필요

아마도 많은 수의 사람들은 프라이버시 침해 문제가 직접 본인에게 영향을 미치기 전까지는 크게 인식을 못한다. 자기가 제공한 정보가 제공한 곳에서만 사용되고 관리가 잘 되고 있다면, 이러한 내용의 글도 없었을 것이다. 하지만 현실은 그렇지가 않다. 개인정보를 수집하여 판매하기도 하고 악성코드에 감염된 PC 들을 이용하여 스팸메일을 다량으로 전송하기도 한다. 또한, 트로이목마 프로그램을 이용하여 게임계정, 개인정보 등 중요한 데이터를 사용자 모르게 빼내간다. 아직도 개인정보에 대한 사회의 인식은 크게 바뀌지 않아 영리를 추구하는 기업은 불필요한 정보까지도 제공할 것을 요구한다. 상품을 구매하는데 주민등록번호는 왜 필요한 것이며, 직업, 나이, 결혼유무 등은 왜 얻으려고 하는 것일까? 우리는 이제 “왜, 그런 정보가 필요한 것이죠? “ 하고 당당히 요구할 수 있어야 한다. 우리의 의식이 바뀌어야 사회의 분위기도 바뀌게 되는 것이다.

디지털시대 있어 여러분의 정보는 본인 스스로가 보호해야 한다. 이제 여러분이 제공한 개인정보는 0과 1이라는 디지털에 의해 기록되게 되고 다양한 방식으로 이용될 것이다. 정보를 제공받은 곳은 안전하게 관리해야 할 의무를 가지고 있지만 그렇지 못한다면 어떻게 대처해야 할까? 결국 이 시대의 개인정보를 안전하게 관리해야 할 몫은 여러분인 것이다.

이 짧은 글이 여러분의 개인정보 인식에 작지만 큰 변화를 주었으면 하는 바람이다.@

[글] 안쳘수연구소 ASEC팀 정관진 선임연구원
현재 안철수연구소 시큐리티대응센터에서 취약점 및 악성코드 분석을 담당하고 있는 정관진씨는 다수의 보안 강연 및 컬럼니스트로 활동하고 있으며, 오픈 소스와 유비쿼터스환경의 보안에 많은 관심을 가지고 있다. 또한, 아파치사용자그룹(http://www.apache-kr.org)사이트의 운영자이기도 하다.