언론 보도를 보면 하루가 멀다 하고 빈번히 '개인정보 유출사고'가 터진다. 규모도 엄청나다. 최근 발생한 건만 보더라도 아시아나항공 4만7천 건, 인터파크 무려 1,030만 건. 말 꺼낸 김에 지난 사건들까지 되짚어 보면 허허, 웃음만 나온다. SK컴즈 3,500만 건, 메이플스토리 1,300만 건, KT 870만 건, 대형 신용카드 회사 1억400만(!) 건, 대형 통신사 1,230만 건, 정말 어마어마하다. 어째 인구수보다도 많은,, 마치 당연하다는 듯 툭하면 일어나는 일이다. 무슨 나쁜 버릇 같다 싶은데, 그래봐야 벌금 1,000만원만 내면 끝이라고 가볍게 여기니 버릇 고칠 생각은 아주 없는 듯하다.

예전에는, 그러니까 인터넷 대중화 이전에 이런 사고가 발생하면 사회 전체가 분노로 끓어오르곤 했는데, 요즘은 하도 자주 일어나니까 아주 익숙해져버려 다들 그저 "뭐? 또?" 잠깐 짜증만 내고 금방 잊는다. 개인정보는 나만의 것이 아니라 아무나 막 가져다 쓰는 공공재가 되었다는 비웃음마저 흔히 들을 수 있다. 하지만 개인정보 유출사고는 그렇게 가볍게 여기며 대충대충 웃고 넘어갈 그런 일이 결코 아니다. 정말정말 위험천만한 일이기 때문이다.

'화차', 타인의 인생

일본 사회파 미스터리의 거장 미야베 미유키의 소설 '화차 火車'에는 타인의 신분으로 위장해 살아가는 여성이 등장한다. 저자 특유의 빠르고 시원시원한 문체 덕분에 처음부터 끝까지 경쾌하게 잘 읽히지만, 읽는 내내 마음이 점점 무거워지는 아주 컴컴하고 탁한 범죄소설이다.

- 사와키 스시(佐脇嵩之)의 '백괴도권(百怪図巻)'에서, '火車' -

부동산 개발 붐에 빠져든 아버지의 무리한 대출 때문에 온 가족이 빚쟁이들에게 쫓겨 집을 떠나 곳곳을 떠돌던 중에 부모를 잃고 본인도 사면초가 궁지에 몰린 신조 교코는 여성 속옷을 판매하는 통신판매회사의 직원으로 일하면서 고객 중에서 연락하는 가족이 없고 직업이 불안정한 젊은 여성을 골라 그중 세키네 쇼코의 개인정보를 훔쳐서 신분을 위장하고 그 사람 행세를 하며 살아간다.

사회 각 구성원은 단절되어 서로 소통이 없는데 형식적 시스템만 점점 고도로 복잡해지는 현대사회에서는 어떤 사람의 정체성이 그 사람의 성격이나 인품 등 자연인으로서의 성질보다는 신원을 증명하는 각종 번호와 짧은 문장에 의해 결정된다. 그러니 신조 교코도 소설 속의 어떤 특별한 사건이 벌어지기 전까지는 훔친 개인정보만 가지고도 별 탈 없이 다른 사람으로서 살아갈 수 있었다.

하지만 소설 제목인 '화차'는 사람의 혼령을 지옥으로 데려가는 불타는 수레를 뜻하는 말이니, 신조 교코의 가짜 인생의 끝은 해피 엔딩은 아니다.

개인정보란?

개인정보란, 그야말로 개인 그 자체다. 어떤 사람을 특정하고 식별할 수 있는 정보로서 주민등록번호, 주소, 성명, 연령, 성별, 생년월일, 전화번호 등 기본정보 외 학력, 경력, 근무처, 결혼경력, 신용카드 번호, 병력, 전과 유무 등을 모두 포함한다. 우린 모두 다 개인정보를 통해 내가 나 자신임을 증명하며 하루하루 일상생활을 유지한다.

ICT 기술의 발전으로 인해 예전에는 수집 및 취급이 어려웠던 종류의 정보까지 쉽게 취득하고 이용할 수 있게 됨에 따라서 개인정보 유출에 따른 위험성도 높아졌다. 그에 따라 점점 고조되는 위험성을 해소하기 위해 기존 문제 해결뿐 아니라 보다 효율적으로 개인정보를 관리하기 위해 추가 법규도 신설되는 등, '개인정보 보호법'을 위시한 각종 관련 법규도 계속 추가 그리고 개정되고 있다.

하지만 관리를 위해 제도를 추가한다고 해서 정보 유출에 따른 위험성 문제가 해결되는 건 아니고 관리 부담에 따라 오히려 더 증가하는 것 아니냐는 지적은 여전히 논란의 대상이다. 관련 법규 내용도 아직 충분히 구체적이지 않아서, 각각의 제도 실제 시행 이후 한참이 지나서도 가장 기본적인 보안조치, 그러니까 데이터베이스 암호화조차 시행하지 않은 기업이 즐비하다. 오히려 큰 기업일수록 차라리 벌금을 내겠다며 버티기도 한다. 자발적으로는 행동하기를 기대해서는 안 될 일 같으니 관련 법 규제 내용을 보다 구체적으로 보강해야만 해결될 문제인 듯하다. 앞서 언급한 "그래봐야 벌금 천만 원이면 끝!" 인식부터 고쳐야겠고.

개인정보 유출사고 경위 그리고,

그런데, 개인정보는 어떻게 유출되는가? 고의든 아니든 내부인의 소행은 논외로 하고, 외부인의 공격에 의해 개인정보가 유출되는 경우는 대부분 해커의 내부망 침입 시도 그리고 내부인의 실수에 의해 일어난다.

어느날 이메일을 받는다. 평소 자주 연락하는 거래처에서 온 메일이다. 열어 보니 메일 속에 업무와 관련된 파일이 첨부되어 있다. 무심코 열었는데 특별한 내용이 없어서 그냥 닫는다. 하지만 이때 이미 시스템은 파일 속에 숨어 있던 침입용 멀웨어에 감염되었고, 이를 통해 내부망에 침입해 데이터베이스에 접근한 해커는 정보를 바깥으로 빼돌린다. "아니, 그런 메일은 애초에 열지 말았어야지!" 글쎄, 거래처에서 온 업무 메일을 안 열어 본다는 게 오히려 더 이상하지 않나.

유출사고는 막기도 어렵지만 사고 발생 후 대처도 어렵다. 정보를 유출당했다는 사실 자체를 인지 못하는 경우가 대부분이기 때문이다. "우리 회사는 보안에 특별히 신경을 쓰지 않는데도 운이 좋은지 아직까지 해킹당하지 않았어." 아니다. 이미 해킹당했다는 사실을 모르고 있는 것이다. 보안에 특별히 신경을 써야지만 겨우 침입자의 존재를 알아차릴 정도니까. 해킹과 보안은 창과 방패의 끝없는 싸움인데, 지금까지 성적을 보면 창이 방패를 완전히 이기고 있다. 방패 입장에서는 아무리 최선을 다해 막아도 결국 다 뚫고 들이닥치니 도대체 방법이 없다 싶은 지경이다.

그 대책

이쯤 되면 인정할 수밖에 없다. 내부망 침입은 불가피하다. 최선을 다해 사고 발생 확률을 줄이기 위해 노력하지만, 안타깝게도 유출사고는 필연적이라 결국 일어나고야 만다. 지난 사고들의 경위를 살펴보더라도 사고 터진 뒤 이러쿵저러쿵 말만 요란했지 실제로 미연에 방지할 수 있었던 일은 거의 없었다. 아무리 조심하더라도 해커들의 프로페셔널리즘은 그까짓 아마추어들의 조심쯤은 가볍게 초월해버린다.

아니 그럼 뭘 어떻게 해야 하는가? 방어력을 실제 사고 다발 지점에 최우선 집중한다. 최근 대부분의 유출사고는 웹 컨텐츠를 통한 감염과 침입에 의해 발생한다. 그러므로 최우선적 조치로서 웹 어플리케이션 영역을 사수하며 웹 컨텐츠를 악용한 공격을 차단하는 도구인 '웹 어플리케이션 방화벽, WAF(Web Application Firewall)' 사용을 강력히 권한다. WAF를 사용하면 기존의 대표적인 보안 도구였던 안티바이러스 프로그램 그리고 네트워크 방화벽으로는 막을 수 없는 웹 컨텐츠 공격을 막아낼 수 있다. 그러니 가장 먼저 WAF를 사용해 사고 발생 확률을 최소로 줄이는 일부터 시작하자.

그렇지만 다시 강조하는 바, 어떤 경로를 통해서든 침입은 결국 일어나고야 만다는 점을 잊지 말자. 그런 경우 정보를 지킬 수 있는 유일한 방법은 데이터 암호화다. 데이터 암호화한 데이터를 훔쳐 가도 써먹을 수 없는 상태로 만드는 일이다. 하지만 단순히 데이터베이스를 암호화한다고 해서 모든 위험이 다 완벽하게 사라지는 건 아니다. 데이터가 흐르는 경로 처음부터 끝까지 모두 다 암호화하는, 즉 'DEP(Data Encryption Platform)' 개념에 충실한 암호화 체계를 구축해야 하고, 나아가 기업 전체의 업무 문화가 DEP 내부에서 발생하고 진행되어야 한다. 그렇게 해야만 유출사고를 사전에 방지할 수 있고 혹시 사고가 발생하더라도 유출에 따른 피해를 최소화할 수 있다.

개인정보 유출에 따른 2차 피해

해커들은 훔친 개인정보를 인질 삼아 정보를 유출당한 기업을 상대로 몸값을 요구하며 협박하기도 하지만, 대개의 경우 정보 장물은 해커들의 암시장인 '블랙마켓'에서 건 당 얼마 식으로 거래된다. 그리고 그렇게 거래된 개인정보는 또 다른 범죄에 악용된다.

예를 들어, 통신을 이용한 금융사기 '보이스 피싱' 범죄조직에게 개인정보는 아주 훌륭한 미끼다. 전화가 울려서 받았더니 누군지도 모르는 사람이 "당신 계좌가 위험하니까 어서 안전한 계좌로 옮기시오!"라고 말한다면 아주 바보가 아닌 다음에야 피식 웃으며 무시하고 전화를 끊을 것이다. 하지만 "OOOO검찰청 경제팀 OOO 사무관입니다. OO시 OO동 OO아파트 사시는 OOO씨, 맞으시죠? 해당 주소지 인근 OO공인중개사사무소 대표와 그 일당이 OOO씨 명의를 도용해서 통장을 만들어 OOOO만원의 대출을 받았는데, OOO씨가 그에 가담하지 않았다는 사실을 확인해야 합니다. 우선 계좌 확인하겠습니다. OO은행 OOOOOOO번 맞습니까? 맞다면 이 사건 담당 OOO 검사님 바꿔 드리겠습니다." 이렇게 나온다면? 게다가 목소리는 전형적인 공무원 말투, 그러니까 귀찮다는 듯 건성으로 대충대충 말한다. 검찰청에 가면 딱 이런 사람이 이런 말투를 쓰며 일하고 있을 것만 같다. 그럼 제아무리 야무지고 똑똑하다는 사람도 "이게 도대체 뭐지?" 불안해진다.

아니면, "OOO씨? 보건복지부 공공의료과 OOO 과장입니다. OOO씨의 국민건강보험에 문제가 있어서 전화 드렸습니다. OOOO년 O월 OO일 OO병원에서 치료 받으신 적 있죠? 그런데 그때 OOO씨의 명의가 탈취된 것 같네요. 경찰청 연결해 드릴테니 담당 조사관과 통화해 보시죠." 이건 어떤가. 이런 전화를 받는다면 당연히 상대방을 진짜 공무원으로 오해하지 않을까. 실제로 보이스 피싱 범죄에 당해 재산을 잃은 피해자들의 기록을 살펴보면 상대방이 자신의 개인정보, 특히 주소지 그리고 진료기록 등 상세정보를 알고 있다는 사실에 가장 심리적 불안을 느꼈다고 한다.

낚시와 미끼

보이스 피싱의 '피싱'은 Fishing, 즉 '낚시'라는 뜻이다. 낚시꾼들은 낚시에 개인정보라는 미끼를 걸고 피해자들을 노린다. 일단 불안을 느낀 피해자는 상대방이 시키는 대로 자신의 계좌에 든 돈을 모두 송금해 빈털터리가 되거나 범죄에 악용되는 가짜 계좌를 만드는 일 등에 명의를 도용당함으로써 2차 피해를 입게 된다. 그런데 그 미끼는 어디서 난 걸까.

잊지 말자. 유출된 개인정보는 반드시 범죄에 악용된다. 아니라면 해커들은 왜 자기들의 귀한 시간과 비용을 투자해 정보를 훔치려고 애쓰겠나. 해킹에 드는 비용도 만만치 않다. 그러니 해커는 정보를 팔아야만 하고, 정보를 사는 사람도 그 비용을 회수하기 위해서라도 정보를 이용할 수밖에 없다.

뭐 그리 어려운 일도 아니다. 아니 어린애 손목 비틀기만큼 쉬운 일이다. 신조 교코는 앞으로도 계속해서 그 사람 행세를 하며 살아야 했기 때문에 세키네 쇼코를 제거하는 등 일을 어렵고 복잡하게 할 수밖에 없었지만, 흔히 일어나는 개인정보 악용 범죄는 쓱싹 털고 사라지면 그만이기 때문에 정말 쉽게 그리고 순식간에 일어난다. 누가 나의 개인정보를 훔쳤다는 건 나도 모르는 사이에 내 명의의 통장이 만들어지고 그 통장으로 사금융 대출을 받고 내 명의의 자동차가 도로를 다니고 내 명의의 전화기가 범죄에 악용될 위험에 처했다는 뜻이다.

언론 보도의 '개인정보 유출사고'는 흔하지만, 흔하다고 해서 예사롭게 여길 일은 아니다.