pentasikyuriti

정보보안 제품들 광고를 보면 제품 도입 결정의 기준이라며 여러가지 '표준'들을 쪼르르 나열하곤 한다. 그중에서도 'PCI DSS'는 유독 자주 등장하는 주인공이다. "자사의 웹방화벽 OOO은 PCI DSS 요구사항을 충족하며 PCI DSS 기준 적합 인증을 보유하고 있습니다!" "오픈소스 데이터베이스 암호화 플랫폼 OOO는 신용카드번호 마스킹 기능 등 PCI DSS 요구사항을 모두 준수합니다!" 말이 어째 좀, 무슨 소리를 하는 건지, 어렵다. 그렇게나 강조하는 걸 보면 뭔가 아주 중요하긴 중요한 것인가 본데, "아니 그래서 도대체 PCI DSS가 뭔데?"
2016년 9월부터 모든 '민감정보'의 안전성 확보조치가 의무화된다. 전엔 지문∙얼굴∙홍채∙정맥∙음성∙서명 등 소위 '바이오 정보' 암호화만 의무였는데 이제 암호화 대상이 대폭 늘어난 것. '민감정보'란? 참 많다. 바이오 정보, 유전자검사 등의 결과로서 얻는 유전정보, 범죄경력 등 뻔한 내용 외에도 사상과 신념, 노조 및 정당 가입 탈퇴, 정치적 견해, 건강 및 성생활 등에 대한 정보, 그리고 그 밖에 사생활을 침해할 우려가 있는 온갖 개인정보 등등등 정말 많다.
이거 하나만큼은 무조건 옳다. 어떤 직업들은 사라질 것이다. 왜 무조건 옳아? 애초 인공지능 연구개발에 그 어마어마한 돈을 쏟아붓는 까닭이 어떤 직업들을 없애기 위해서니까. 일도 하지만 퇴근도 하고 놀기도 하고 밥도 먹고 잠도 자고 불평불만도 많은 인간 노동자는 막 다루기 영 피곤하다. 24시간 일만 하는 기계로 대체한다면, 아 그 얼마나 편하겠나? 그래서 그 방향 연구개발에 그렇게 많은 돈이 투입되는 것이다. 반면 기술적으로 더 유의미한 명실상부한 인공지능, 그러니까 '강-AI'는 돈이 없어서 연구를 아예 못하고 있다. 피곤한 인간이 싫어서 기계 쓰려고 돈 투자하는 건데 인간 비슷한 걸 만들 까닭이 없기 때문.
"파일과 디스크를 통째로 암호화해버리니까 정말 간편합니다!" 정말 매력적인 호소 아닌가? 간편하다는 건 무조건 좋은 일이니까. 하지만 그냥 대충 넘어가지 말고 이렇게 다시 되물어야 한다. "간편하기 위해 암호화하는 건 아니잖아요?" 그렇다. 암호화는 보안성을 높이기 위해서 하는 것이다.
"넷플릭스, 마지막 데이터센터 문 닫다." 딱 한 줄, 하지만 그 함의는 광대하다. 초거대 공룡 IT기업이 자체 데이터센터를 완전히 폐쇄하고 모든 시스템을 'AWS(Amazon Web Services, 아마존 웹 서비스)' 클라우드 환경으로 옮겼다. 그 이유는 무엇이고, 대이동에 왜 7년씩이나 걸렸으며, 클라우드는 넷플릭스마저 감당할 정도로 진짜 대세가 된 게 확실한 건지, 차례차례 알아보자.
어쩌면 혼동의 까닭은 'IoT'란 말을 곧이곧대로 "Internet of Things" 즉 '사물인터넷'으로 이해하기 때문 아닐까 하는 생각도 든다. 원래 그 뜻이긴 하지만,, 해당 용어를 상징하는 대표적 장면이 "스마트폰으로 집에 있는 TV를 켜고 끌 수 있다" 식의 단순화는 확실히 문제다. 지나친 친절함이 본질을 감춘다. 그러니 요즘 일각에서는 개념 정립을 위해 'IoT'란 말을 "Information of Things"으로 해석하기도 한다.
초월적 인기 캐릭터 '헬로 키티'의 팬 커뮤니티 사이트 '산리오타운닷컴'의 이용자 330만 명의 정보가 유출되었다. 범죄 발견 경위도 예사롭지 않다. 인터넷상에 그냥 아무렇게나 덜렁 노출되어 있었던 것이다. 키티의 주인 '산리오닷컴'의 안전에 대한 의혹도 있지만, 이에 대해 회사는 아무 대답도 하지 않았다. 키티는 대충 막 흔한 그런 고양이가 아니다.
마그네틱 카드에는 정보를 저장하는3개의 트랙이 있는데, 그 중 가장 중요한 것은 약40kb 크기의 공간에 신용카드 번호, 발급일자, 유효기간 등 결제 과정에 필수적인 정보를 저장하는 '트랙2'다. '트랙1'의 은행계좌 정보, '트랙3'의 제휴사 정보 등 다른 트랙에는 결제와 직접 관련 없는 정보들이 저장되기 때문에, '트랙2' 정보만 가지고 있으면 결제가 가능하다. 그래서 해커들은 '트랙2' 정보를 노린다. 트랙2 정보를 탈취하고 비밀번호까지 알아낸다면? 신용카드 주인이 아니더라도 누구든 언제 어디서나 마음대로 결제를 할 수 있다. 그러니 비밀번호를 포함한 트랙2 데이터는 상당히 비싼 고급정보로서 국제 암거래 시장에서 개당 약 $4,000 정도에 거래된다.
"그딴 회사 애널리스트들보다 내가 훨씬 더 많이 알아!" 사내의 해당 부문 전문가가 애널리스트들보다 뛰어난 기술자일 수는 있지만, 그들처럼 업계 전반을 두루 살피지는 못하고 직접적으로 연결된 업계 내 인적 네트워크 때문에라도 종종 객관성을 잃게 마련이다. 간단히 말해, 대개의 경우 애널리스트들이 훨씬 더 똑똑하다. 불쾌하더라도 어쩔 수 없다. 그건 그들의 '일'이고 그들은 공히 인정 받는 전문가들이니, 만약 제대로 못한다면 오히려 더 이상한 일 아닌가.
미래창조과학부는 지난 9월 11일 발생한 '뽐뿌' 웹사이트 침해사고 관련 민관합동조사단의 조사결과를 발표했다. 결과는, 정말 안타깝게도 SQL 인젝션을 통한 개인정보 탈취 사건이었다. 이건 무슨, 범죄 수법의 박물관도 아니고 어째서 이런 고색창연한 수법에 번번이 당하는가.