고객정보 1억여건 유출의 교훈?

국내 주요 카드사 고객정보(집주소, 직장주소, 전화 번호, 신용카드 번호, 카드유효기간, 카드결제계좌 번호 등 많게는 20여 항목에 달하는 정보)가 1억여건 넘게 유출된 사태는 한국 전자금융거래 보안의 현주소를 말해준다. 워낙 사고 규모가 커서 감이 잘 와닿지 않을 지경이지만, 1억여건의 고객정보가 유출되려면 하루도 빠짐 없이 2만8천여건의 고객정보를 매일 유출할 경우, 꼬박 10년이 걸리는 분량이다.

이 사태를 계기로 여러 논평과 조언이 쏟아져 나오고 있지만, 고상하고 추상적인 원론 수준이거나 “우리가 다 정보제공에 동의해줬지 않느냐”는 해괴망칙한 억지(현오석 부총리 겸 기획재정부 장관)인지라 짜증만 더해준다. 차라리 이번 기회에 다음 부탁 사항 몇가지라도 반영되면 좋겠다.

첫째, 금융회사들에게 부탁한다. 고객에게 “명세서”랍시고 이메일 첨부파일 보내는 일부터 당장 중단해주기 바란다. 이런 짓은 유저의 컴퓨터를 감염시키려는 범죄자가 사용하는 ‘범행 수법’과 동일하다. “은행/카드사라면서 첨부파일이 포함된 이메일이 오면 열지말고 즉시 삭제하라”고 고객에게 안내하는 것이 보안의 기본 상식이다. 하지만, 한국에서는 오히려 은행/카드사가 고객에게 이메일 첨부파일을 몸소 보내는 행위를 반복함으로써 고객이 범죄자에게 쉽게 당할 수 있도록 위험한 습관을 들이고 있다. 은행/카드사가 범죄자와 서로 짜고 이러는 것이 아닐까하는 생각마저 들 지경이다.

월별 사용내역을 이메일 본문에 담아보내거나, 첨부파일에 담아 보내는 행위는 “고객을 위한 서비스”가 아니라, 고객이 피해를 쉽게 당하도록 유도하는 가해행위이다. 명세서가 아니라 어떤 안내 사항을 전달하기 위하여 고객에게 이메일을 보내야 할 경우가 물론 있을 것이다. 그럴 경우 다음과 같은 원칙을 지켜주면 좋겠다. 첫째, 이메일에는 링크를 포함시키지 말고, 어떠한 첨부파일도 보내서는 안된다. 둘째, 이메일에는 이미지 파일 사용을 가급적 피하거나, 아예 사용하지 않아야 한다. 셋째, 이메일 수신자의 이름을 반드시 메일 본문에 표시해야 한다. 그냥 “소중한 고객님” 따위의 문구로 시작하는 이메일을 고객들에게 뿌려서는 안된다.

둘째, 금융위원회/금융감독원에 부탁한다. 공인인증서 판촉은 이제 좀 그만하시라. 정부가 한가지 기술을 13년이나 밀어줬으면 할만큼 해준 것이다. 조금이라도 가망이 있는 기술, 국제 시장에서 살아남을 수 있는 기술이라면 진작에 자립해서 세계로 뻗어나갔을 것이다. 인증서 기술의 국제적 현황이 어떤지, 그 구현 및 이용 과정에서 실제로 초래되는 보안상의 문제가 무엇인지, 대안이 뭔지도 모르면서 그저 규제권한만 움켜쥐고서 “공인인증서를 대체할 기술은 없는 것으로 안다”는 따위의 궤변을 거듭한지도 여러해 되었다. 자신이 잘 모르는 보안 기술 분야에 개입해서 규제권한을 이런식으로 행사하는 것은 죄악이다.

전자금융거래를 규제하지 말라는 뜻이 아니다. 감독기관이 “이 기술 쓰라”는 식으로 기술에 개입하면 (1) 사고가 터져도 정부가 쓰라는 기술 썼으니 잘못한게 없다는 변명이 가능해지고, (2)그 기술 외의 기술은 아예 시장에 들어올 수가 없게 되므로 보안 기술의 경쟁적 발달이 이루어질 수가 없다. 그렇게 하지말고, 기술 선택은 시장에 맡기고 감독기관은 사고발생 현황이나 정확하게 파악하고 사고거래로 인한 손해 배상이 제대로 되는지를 규제하라는 뜻이다. 엄청난 규모의 금융보안 사고가 터졌는데, “2차 피해는 없을 것으로 확신한다”는 따위의 근거없는 헛소리를 무책임하게 내뱉으며 금융회사를 감싸고 도는데 급급한 신제윤 금융위원장은 금융회사가 심어 놓은 액스맨 아닌가하는 착각이 들 지경이다. 금융위 직원 월급은 국민이 내는 것이고, 금융회사가 내는 것이 아닌데도 금융위원장이 이렇게 금융회사 방패막이를 자처하고 나서는 이유는 무엇일까?

셋째, 고명하신 법관들에게 부탁한다. 특정 사건에 관한 부탁이 아니라, 거듭되는 여러 사건들에서 반복되는 법원 판결의 경향에 관한 것이다. 대규모 정보유출 사고에 관한 한 대한민국은 타의 추종을 불허한다. 1000만건 이상의 개인정보가 유출된 사고만을 나열해 보더라도, 2008년에 옥션(1863만건), GS칼텍스(1125만건), 2010년에 네이트/싸이월드(3500만건), 넥슨(1320만건)이 있었고, 이제는 1억건 대를 넘는 수준으로 회원정보가 유출되고 있다. 이 모든 사건들에서 법원은 사업자에게 배상책임이 없다고 반복해서 판결했다. 그럼 고객 잘못인가? 사업자가 서버보안을 제대로 하고 있는지를 고객이 불철주야 체크하라는 말인가? 왜 이렇게 엄청난 사고들이 자꾸 반복되는지 법관께서 잘 생각해 보시기 바란다. 정보유출 건수가 1천만건이 안되면 변변히 언급조차 안되는 이런 나라가 당신들 보기에는 과연 정상인가?
massive-leaks-314746_20120911174811_701_T0001_550
출처: http://goo.gl/fqQXp (대한민국의 정보 보안 사고 목록, 위키백과)

기업에 대한 맹목적 반감은 정부나 법원이 기업을 맹목적으로 감싸고 도는 행위를 거듭할 때 생겨난다. 회원정보가 아무리 유출되어도 해당 기업은 “내 책임 아니올시다”라고 오리발 내밀 수 있게 법원이 보장해 주고 있다면… 이게 과연 누구를 위한 법인지? 법원이 계속 이런식으로 판결하면, 어떤 기업도 보안에 투자할 이유가 없다. 보안에 투자 안해도 배상책임 안져도 되는 환경을 법원이 조성해 주면 과연 어떤 결과를 낳게 되는지 똑똑한 법관들께서 잘 생각해 보시기 바란다. 예산의 몇% 이상를 보안에 “투자하여야 한다”는 억지춘향 규제 조항을 둔다고 보안에 대한 투자가 진정으로 이루어지는가? 그런식으로 생각하는 법관이 있다면 세상물정 모르는 헛똑똑 범생이라는 소리를 들어도 싸다.

넷째, 정치인들과 정당 관계자들에게 부탁한다. 민생이 뭔가? 자기 정당에 불리한 대형 스캔들이 터졌을 때, 관심과 초점을 딴 곳으로 슬쩍 돌리기 위해서 한번씩 써먹고 버리는 단어가 “민생”인가? 우리 삶의 대부분이 온라인 기반으로 이루어지고 있는 이 시대의 진정한 민생은 소프트웨어 및 네트워크와 반드시 관련을 맺게된다. 전자금융거래 기술의 활발한 발전, 개인정보의 합리적 이용 및 보호, 온라인 상에서의 사생활 비밀 보장을 위한 실효성 있는 제도적, 기술적 기반 마련, 표현과 창작 활동의 기술적 토대로서의 인터넷을 어떻게 가꾸어 나갈지 등을 핵심 과제로 삼고 대처할 역량을 우리 정당들이 조속히 기르면 좋겠다. 이른바 “전문위원” 몇 명 채용한 다음 그분들이 알아서 처리할 문제라면서, 전문위원들은 아예 권력라인에서 배제하는 식의 구태의연한 사고방식을 바꾸지 않는 정당은 국민에게서 버림받고 도태되어 마땅하다.

오픈넷

Print Friendly, PDF & Email