최근 SKT 사태를 계기로 개인정보 유출에 대해 더욱 민감해진 펨붕이들이 많아서 글을 작성해봄.

1. 한국은 왜이렇게 보안에 취약한 거냐?

한국이 선진국들 사이에서도 보안이 취약할까? 그렇지는 않음. 사람 사는 곳 다 똑같고, 보안에 투자를 '덜' 하려는 건 만국 공통임. 그래도 국가 차원에서 개인정보보호법이라는 법제 자체가 있고, 국가 차원의 보안 인증 제도가 있으며, 공공기관과 민간을 대상으로 인증과 평가를 의무화하는 노력이 있다는 것만으로 충분히 보안에 관심을 기울이는 국가라고 할 수 있음.

그런데 왜 보안에 유독 취약하게 느껴질까? 여러 이유가 있겠지만, 중국, 북한이라는 국가가 이웃으로 있기 때문임. 진짜 공격 오지게 하는 미친국가 둘이 하필이면 이웃인 게 문제다. 특히 공공기관은 사실상 매일 공격을 받는다고 보면 됨. 지금 이순간도 공격받고 있는 게 공공기관임.

2. 그럼 국가 차원에서 보안 수준을 더 끌어올릴 수는 없냐?

현실적으로 없음. 왜냐하면, 기존에 국가에서 기업에게 가하는 수위도 기업들은 너무 세다고 아우성이기 때문임. 보안은 안보와 똑같이 당장의 성과는 볼 수 없음에도 돈 먹는 하마라고 보면 됨. 비싸고 좋은 솔루션을 사고, 매번 로그 하나하나 다 보면서 보안 문제를 모니터링할 수 있는 인력을 늘리는 단순하지만 효과적인 방법이 존재하지만, 기업을 돈을 쓰는 걸 싫어함.

3. 개인정보보호법 이거 문제 많은거 아니냐?

애당초 개인정보 보호라는 개념 자체가 상대적으로 최근의 개념이고, 저 법도 2011년에 최초로 공포됨. 성숙도가 낮을 수밖에 없는 법임. 그런데 개인정보보호법은 사실 보안담당자들 입장에서 보면 정말 약하지 않은 빡센 법임. 왜냐하면, '안돼도 해. 어쩔 건데? 벌금 맞고 싶음? 관리 다 해.' 라는 내용이 전반적인 분위기를 형성하고 있기 때문임. 현실적으로 불가능한 영역도 '일단 다 해'라고 하고 있기 때문에 보안쟁이들은 언제나 갈리고 있고, 그놈의 선관주의를 기반으로 그냥 가능한 법을 지키기 위해 노력하고 있음.

그런데 왜 개개인 입장에서는 이 법이 약해 보일까? 사실 개인 입장에서는 와닿는 게 결국 처벌 밖에 없을 거임. 일반 형사 사건과 관련해서도 '그래서 징역이 몇인데?'가 핵심이니 말이야. 

일단 개인정보가 유출되고, 그게 법원까지 넘어가면 정말 다양한 요소를 판단해. 유출된 개인정보의 종류와 성격, 정보주체의 식별가능성 발생 여부, 제3자의 열람여부 또는 열람가능성, 유출된 개인정보의 확산 범위, 추가적 법익침해 가능성, 기업이 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위, 기업이 개인정보 유출된 이후 다시 회수한 시도 등 정말 여러가지를 판단하는데, 내가 생각하기에 가장 중요한 것은, 국내에서는 단 한번도 정신적 피해를 인정한 사례가 없다는 거야. 

우리 개인은 '내 정보가 당연히 안전하게 지켜질 것이란 기대'를 갖고 기업이 개인정보를 수집하도록 동의하는 것인데, 그 '기대'를 저버리고 개인정보가 유출된 것만으로는 정신적 피해를 입었다고 판단하지 않는 거야. 그래서 실제로 몇몇 판례에서는 개인정보가 유출되었고, 다시 잘 회수했다는 것만으로 벌금이나 보상금을 내지 않고 넘어간 경우도 있어. 

이번 SKT 사태도 마찬가지야. 개인정보가 유출된 것만으로 이용자(정보주체)가 정신적 피해를 입었다는 것이 인정되지 않으면, SKT 사태도 유야무야 넘어갈 거야. 그럴 만한 힘이 있는 회사니까.

아무튼 알아야 되는 건, 개인정보보호법은 진짜 빡센 법인데, 재판 결과 때문에 마치 약한 법처럼 느껴진다는 거야.

4. 보안이 그나마 나은 회사는 어떻게 구별할 수 있음?

물론, 중소기업일수록 보안이 더 취약한 것도 맞는데, 그렇다고 해서 대기업이라고 반드시 보안이 강한 것도 아냐. 그리고 아래 내용이 다 해당된다고 해서 반드시 보안이 센 것도 아니야. 보안은 꾸준히 잘 해야 하는 영역인데, 그걸 외부에서 개인이 판단할 수는 없거든. 그러니 여기서는 기업이 보안에 최소한의 관심은 있구나를 확인할 수 있는 영역이야.

(1) ISMS-P 인증 취득 여부

국가에서 일정 요건 이상이 되는 기업은 반드시 의무로 취득하게 하는 인증 제도인데, 당연히 법적 의무가 없어도 취득을 할 수도 있어. 여기서 구분을 해야 할 게, 그냥 ISMS는 정보보호 인증이고, ISMS-P가 정보보호+개인정보보호야. 당연히 ISMS 인증 취득보다 ISMS-P 인증 취득이 더 힘들어. 그러니 P 인증을 갖고 있는지 확인해 보자.

그리고 간혹 몇몇 기업들은 비록 국내의 ISMS 인증은 없지만, 국제 인증제도인 ISO 27001, ISO 27701을 취득하였습니다! 하고 광고하는 경우도 있는데, 국내 인증 제도가 훨씬 취득하기 빡세다. ISO 27001이 ISMS고, ISO 27701이 ISMS-P의 P에 해당한다고 생각하면 되는데, 국제 인증은 글로벌하게 사업을 하는 기업, 기관들에게나 필요한 거고, ISMS-P를 취득한 기업이라면 어렵지 않게 취득할 수 있음.

둘의 난이도 차이는 심사원 취득 난이도 차이만 봐도 알 수 있음. 국내에서 ISMS-P 인증을 심사하기 위해 심사원을 매년 뽑는데, 관련 분야 도합 6년 이상의 경력자들만 응시 가능하며, 거기서도 시험을 통해 철저하게 가림. 당연히 일반적인 기사 시험보다 어렵다. 반면, 국내에서도 국제 인증인 ISO 27001이나 ISO 27701의 인증심사원 취득을 할 수 있는데, 이건 돈만 내면 어렵지 않게 취득 가능하다. 신입 1개월 주니어도 취득 가능하다.

(2) 개인정보처리방침 구성

대부분의 홈페이지는 최하단에 개인정보 처리방침이 있는데, 진짜 예쁘게 잘 해놓은 곳이 있고, 읽으면 일목요연하게 내 개인정보가 어떻게 수집되고, 이용되며, 제공되고, 파기되는지 명확하게 알 수 있는 곳이 있는가 하면, 대충대충 적어놓은 곳도 많음. 

진짜 생각보다 개인정보 처리방침 대충대충 적은 곳 많다. 특히 중소기업이면 그런 경우가 더욱 많다. 이용자에게 보여줄 수 있는 보안 요소인 개인정보 처리방침도 대충 적는 곳이 과연 보안에는 큰 관심이 있을까?

참고로 펨코의 개인정보 처리방침은 읽어 보았으나..

(3) 2차 인증 여부

일단, 공공기관의 경우 ID/PW 로만 인증하는 건 이미 취약하다고 보고 있음. 그래서 공공기관의 경우 중요시스템이나 관리자페이지의 경우, ID/PW로 1차 인증을 하고, 지정된 IP에서만 접속 가능하게 지정도 하고, 거기에 추가로 OTP나 인증서 등을 통한 2차 인증을 하도록 하고 있음.

보안 분야에서 언제나 성립하는 진리는 '내가 불편할수록, 날 공격하려는 해커도 불편하다'는 거고, 그렇기에 불편함을 반드시 감수해야 함. 펨붕이들이 어느 사이트에 로그인할 때 왜이렇게 귀찮게 하는지 짜증이 난다면, 그곳은 보안에 관심이 어느정도는 분명히 있다고 할 수 있음.

5. 그럼 개인이 할 수 있는 노력은 뭐가 있음?

(1) 모든 사이트의 비밀번호 다르게 하기

나는 언제나 이건 기본 중의 기본이라고 말하고 다님. 비밀번호 하나가 뚫려서 그걸 다른 곳에서도 써먹는 '크리덴셜 스터핑'이라는 공격은 고전적이지만 최근도 여전히 잘 쓰이고 있는 공격 기법임. 비밀번호가 복호화되지 않도록 일방향 암호화하는 건 보안 뿐만 아니라, IT 영역에서는 그냥 상식과도 같으나, 모든 기업이 그 상식을 지킨다고 생각하면 안 됨. 그러니 여전히 최근까지도 크리덴셜 스터핑 공격이 발생하는 거니까 말야.

모든 곳의 비밀번호를 다 다르게 하셈. 

(2) 비밀번호는 길이가 생명

비밀번호를 어렵게 하는 방법은 크게 2가지가 있지. 첫째는 단순하게 비밀번호를 길게 하는 거고, 두번째는 문자(소문자, 대문자), 숫자, 특수문자 등을 여러 가지 섞는 건데, 물론 둘다 중요하지. 그런데 길이를 늘리는 게 더 1순위로 중요해. 공격자가 AI 툴을 이용해 단순 무식하게 모든 경우의수를 도입해서 비밀번호를 깬다고 가정할 때, 길이가 긴 게 정말 중요하거든. 

몇몇 사이트에선 반드시 대문자도 넣으라고 하는데 솔직히 그건 귀찮지? 나도 그래서 그거까진 강요하진 않아. 문자+숫자+특문의 3가지 조합만 유지하되, 길이를 가능한 늘리는 걸 추천해. 최소 12글자는 되어야 하고, 가능하면 14글자 이상으로 하길 권고해.

(3) 필요없는 정보는 주기적으로 삭제

많은 사람들이 이메일이나 카톡 대화 내역, 통화 녹음 파일 등을 잘 삭제하지 않는 경우가 있는데, 이런 걸 주기적으로 삭제하는 습관을 들여놓는 게 좋아. 

예를 들어, 이메일이 털렸다고 가정하면, 공격자는 네가 그동안 발신/수신한 메일을 보고 그걸 토대로 시나리오를 짜서 너에게 피싱 공격을 할 수도 있어.

그리고 만약 네 핸드폰에 알아차리기 힘든 파일이 깔리고, 공격자가 네 통화녹음 파일을 탈취한다면? AI에게 목소리를 훈련시켜서, 네 부모님의 목소리로 전화를 걸어서 보이스피싱 공격을 할 수도 있겠지.

이메일을 뚫어서 피싱 공격을 하는 사례는 이미 오래 전부터 꾸준했고, 위에서 바로 말한 더욱 고도화된 보이스피싱은 아직까지 국내에서 사례가 보고된 바는 없으나, 충분히 예견 가능한 미래야.

AI가 발달하고, 그외 정보화기술이 계속 발전하면서, 개인정보만 중요한 게 아니라, 개인의 내밀한 영역에 대한 정보를 담고 있는 비정형 정보도 굉장히 중요해지고 있어. 모든 것 하나하나 공격자가 이용할 수 있는 것들이지.

펨붕이들은 언제나 기업을 믿지 말고, 나라에서 지켜줄 거라 생각하지 말고, 개인 차원에서 보안을 지키려는 노력을 하길 바라!