본 글은 IT 미디어 GadgetLife에 Happari:Studio가 투고했던 글입니다.
원문은 여기서 보실 수 있습니다.
2012년 5월, 사회를 떠들썩하게 했던 SBS 드라마 ‘유령’이 전파를 탔다. 악성코드가 심어진 USB가 대한전력의 컴퓨터를 통해 전력 제어망이 바이러스에 감염되어 대규모의 정전 사태가 발생한다는 내용에 사람들은 “저게 실제로 되겠어?” 라며 코웃음을 쳤다.
2013년 3월. 드라마가 끝난 지 1년도 채 되지 않았는데 ‘유령’이 현실에 나타났다. 방송사와 은행을 대상으로 한 전산망 해킹사고가 발생했다. 사회적으로 큰 파장이 일었고, 그때도 보안을 더욱 강화하자며 보안 점검을 하는 등 다양한 사업을 벌였던 기억이 난다.
전산망 해킹사건에 대한 생각들 [2013.03.22/Happari:Studio]
그로부터 1년 뒤인 2014년. 보안을 강화했다던 말이 무색하게도 다시 한번 문제가 발생하였다. 이번에는 대량의 고객 개인정보가 유출되어버린 것이다. NH농협, 롯데카드, 국민카드를 비롯한 많은 카드사들의 1억 건에 달하는 고객 정보가 유출되어 버렸다. 이 고객정보에는 카드번호, 결제 계좌번호, 카드 유효기간, 결제 정보, 신용 한도 등 개인의 금융거래와 관련한 상당히 많은 내용들이 포함되어 있었다. 이후 ‘타사 카드사용 내역’까지 유출된 것이 확인되었으며, 국민카드를 소유하지 않은 국민은행 이용자들도 개인정보가 유출된 것이 알려지자 사태는 일파만파 커져나갔다. 검찰 측에서는 유출된 개인정보가 1차 유포 과정에서 모두 압수되었기 때문에 사용자들은 피해를 받지 않았고, 2차 피해도 없을 것이라고 밝혔지만, 개인정보 유출을 확인하는 과정에서 또 정보가 유출되는 일이 일어났고, 이 정보들을 이용한 사기, 스미싱, 보이스 피싱 등 2차 피해가 우려되는 지경에 이르렀다. 또한 유출 확인을 하려는 피해자들을 대상으로 한 범죄가 일어날 가능성도 배제할 수 없다.
더욱 어이가 없는 것은, 이번 정보유출은 외부의 해킹에 의한 것도, 북한에 의한 소행도 아니고 코리아크레딧뷰로(KCB)라는 신용평가사의 직원에 의해 일어났다. 정보를 유출한 직원은 해당 카드사들의 부정사용방지시스템(FDS)개발에 참여한 직원으로서 시스템의 테스트를 위해 카드사들로부터 고객 정보 이용권한을 받았고, 이 과정에서 받은 데이터를 시범가동을 위해 그대로 사용하는 일을 저질렀다고 한다. 시스템의 시범 가동 테스트를 위해서는 암호화가 된 가짜 더미 데이터를 사용해야 하는 것이 원칙이지만, 그런 원칙은 지켜지지도 않았다. 즉 카드3사가 업무의 편리성을 위하여 자신들의 직원도 아닌, 외주 직원에게 고객 데이터베이스를 쉽게 넘겨준 것이다. 이 뿐만이 아니다. 기본 중에 기본이라 불릴 수 있는 보안 시스템도 갖춰지지 않았다. 업무용 컴퓨터에는 일반 USB를 꽂을 수 없게 하거나, 꽂아도 정보를 다운로드할 수 없게 차단하는 시스템이 설치되어 있기 마련이다. 또한 고객 데이터나 기밀문서 등 위험한 영역에 접근하려는 시도가 있으면 최고 책임자(CISO)에게 통보되는 시스템도 갖추어져 있어야 한다. 그러나 카드 3사에는 이러한 시스템이 존재하지 않았다. 그렇기 때문에 이번 유출이 일어난 것이다.
사용자는 개인정보를 안전하게 지키려 노력 중인데 은행은 과거의 기술인 Active X를 너무 과신한다.
이런 상황일수록 사람들은 자신의 정보가 유출되었나 확인하기 위해 안간힘을 쓰게 된다. 카드3사도 고객정보유출확인 페이지를 따로 개설하고 고객들이 정보를 확인할 수 있게 해 놓았다. 그러나 초반에는 주민번호의 끝 1자리와 생년월일, 이름만 입력하면 확인이 가능하게 만들어두어 추가 개인정보 유출의 우려가 발생했다. 그래서 국민은행이 공인인증서, 휴대폰 등을 사용하는 인증방식으로 문제를 해결하는 듯 했지만 다른 문제가 터졌다. 유출 여부를 확인하기 위해서는 주민등록번호, 카드번호, CVC 넘버와 같은 개인정보를 추가로 입력해야 한다는 것이다. 이미 털린 개인정보를 다시 입력해야한다는 점에서 이용자들은 불안해하고 있다. 이 과정에서 한 유저에 의해 농협의 개인정보 확인 시스템에서 고객이 입력한 정보들을 암호화하지 않고 입력한 그대로 서버로 전달한다는 사실이 드러나 논란이 되고 있다. (KB와 롯데는 암호화를 하거나, 암호화는 하지 않아도 평문으로 서버로 전달하지 않는다.) 이런 상황에선 개인정보유출확인 페이지는 고객의 모든 정보를 요구할 것이 아니라 휴대전화 인증과 같은 최소한의 정보으로만 처리할 수 있도록 해야 한다. 이 역시 고객 개인정보와 직결되는 부분이기 때문에 유출 확인 페이지라 하더라도 보안은 엄격하게 유지되어야 한다. 하지만 카드사들은 ActiveX/NPAPI를 통한 플러그인식 보안에만 익숙해져 있었는지 이런 기본 보안엔 그리 신경쓰지 않았다. 가장 정보를 중요하게 생각해야 할 카드사들은 지금 ‘정보 안전 불감증'에 빠졌다.
금융감독위원회의 늦장 대응도 도마 위에 올랐다. 지난 12월에는 씨티은행과 SC은행에서 고객 정보가 유출되는 사태가 일어났다. 그러나 금감원은 1월 17일에서야 특별 수사에 착수했다. 또한 국민은행 정보유출 이후에 금감원은 ‘유출된 데이터는 극소수’라고 했지만, 정작 뚜껑을 열어보니 NH와 롯데는 비밀번호와 CVC 빼고 다 털린 상황이었다. 검찰이 고객 데이터를 1월 10일에 이미 확보했음에도 불구하고 금감원은 18일에서야 감사에 착수했다.
이번에 유출된 개인정보는 총 8245만 명 정도로 중복 데이터를 제외하면 1500만, 많게는 2000만 정도의 사람들이 정보유출의 피해를 입었다. 이는 한국 전체 인구의 4분의 1에 해당하는 숫자이다. 그 동안 개인정보는 수도 없이 유출되어 왔다. 신세계백화점, 엔씨소프트, 넥슨, 옥션, SK컴즈 등 정말 다양한 회사에서 다양한 이유들로 고객 정보가 유출되었다. 그러나 여전히 법적인 규제는 강력하지 못하고 정보들은 규제를 피해 요리조리 빠져나가고 있다. 정보를 유출한 사람의 엄중한 처벌도 중요하지만, 관련 법규 개선, 카드사들의 보안 관련 각성 촉구 등 해야 할 일이 많다. 제발 이번에는 정보 보안을 철저히 하자는 외침이 허공에 외치는 메아리로서 끝나지 않을 수 있기를 바란다.