<div><span style="color: #800000" class="last-child first-child">Q. 해킹이 뭐냐?</span></div> <div>A. 관리자 권한이 없는 컴퓨터를 파헤치는 모든 행위가 해킹이다. </div> <div>예로 박근혜 계정을 뚫고 박근혜 계좌에 돈을 입금시키는 건 좋은 행위이지만 이 역시 해킹이다. </div> <div>그래서 일부 해커들은 나쁜 짓을 하는 것을 따로 분리해 크래킹이라고 구분하기도 한다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 그럼 이번 KT 해킹 사건은 무엇인가?</span></div> <div>A. 좀 어이 없는 사건이다. 사실 해킹은 언제 어디서든 터질 수 있다. </div> <div>심지어 내부 보안 관리자가 빼돌리는 등 막기 힘든 해킹도 있다. </div> <div>하지만 보통 해킹이 터지면 이내 발각은 하고, 담당자를 감방으로 보낸다. </div> <div>그런데 이번 건은 무려 1년 가까이 털렸다. 모니터링 시스템이 제대로 가동되지 않은 것이다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 어떻게 턴 건가?</span></div> <div>A. 자세한 건 KT에 물어보고… 간략히 이야기하면 합법적으로 KT 사이트 들어가서 로그인을 한다. </div> <div>로그인이 된 상태에서 시스템의 허점을 파고 들어 다른 사용자들의 정보를 빼낸 것이다. </div> <div>비유하자면 내가 아파트에 들어간다고 해서, 각 집에 들어갈 수 있으면 곤란하지 않나?</div> <div> 그런데 각 집에 자물쇠가 잠겨 있지 않았던 것이다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 대기업에 어찌 이런 어이 없는 해킹 사태가 터질까?</span></div> <div>A. 많은 보안 담당자들은 예산 문제를 든다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 대기업이 보안 예산을 핑계 대나?</span></div> <div>A. 언제 어디서든 문제는 예산으로 시작해서 예산으로 끝난다. </div> <div>결론부터 이야기하면 각 기업 높은 분들이 개인정보를 보호하는 걸 그렇게까지 중요하게 여기지 않고, 따라서 충분한 예산을 할당하지 않는다. </div> <div>그러다 보니 보안 시스템을 촘촘하게 짜는 데 한계가 있다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 예산이 부족하면 구체적으로 어떤 문제가 생기나?</span></div> <div>A. 돈이 없으니까 하청에 하청에 하청… 이렇게 넘어간다. 그러니 고급 인력을 쓰기도 어렵고 손발도 잘 안 맞는다. </div> <div>애초에 보안은 손익을 따져야 할 것이 아니다. 자기 돈도 아니고 남의 돈, 남의 정보를 지키는데, 손익 따지면 어쩌나? </div> <div>이렇게 돈을 안 쓰니까 고급 개발자도 찾기 힘들어 졌다. 그 돈 받고 보안 일 할 바에야 다른 일을 한다. </div> <div>나름 꿈 품고 보안 일을 하던 사람은 치킨집 차리고, 안 되니까 주식 사고 한강 가고…</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 예산 외에 어떤 문제가 있을까?</span></div> <div>A. 사회적 보안 의식도 중요한 문제다. 사실 보안은 귀찮다. 당장 우리가 집 보안을 철저히 하려면 여러 개의 자물쇠를 설치하는데, </div> <div>그것도 귀찮은 일이지 않나? 보안담당자가 일을 빡세게 하면 직원들은 인터넷 접속 안 될 때도 있고, </div> <div>고객에게 파일을 보내기 힘들 수도 있다. 그런 귀찮음을 사람들이 당연하다 생각해야 보안 쪽도 더 발전하는데, </div> <div>되려 일하기 불편하다고 따지고, 힘 없는 보안 담당자는 보안을 늦추거나 하는 일도 있다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 그러면 어떻게 대기업에게 경각심을 줄 수 있겠나?</span></div> <div>A. 그런 면에서 징벌도 중요하다. 최근 <a class="first-child" href="http://www.bloter.net/archives/174909" target="_blank">타겟이라는 외국 회사가 털렸는데 유출 정보 1건에 무려 최대 90달러 벌금, 우리 돈 10만 원</a>을 내야 한다. </div> <div>총 4조에 가까운 배상금을 내야 할 판이다. 반면 한국은 이번 <a class="last-child" href="http://news.chosun.com/site/data/html_dir/2014/02/17/2014021701748.html" target="_blank">카드사 개인정보 유출과태료가 겨우 600만 원</a>이다. </div> <div>대표이사급이 사임했지만, 결국 뭐가 바뀌었나? 눈 가리고 아웅하기다. 해외는 해킹 일어났다고 대표이사가 물러나지는 않는다. </div> <div>하지만 그만큼 확실하게 책임을 진다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 한국이 해킹에 특히 취약한가?</span></div> <div>A. 그건 좀 아니다. 해외에도 해킹은 많다. 또 해킹과는 좀 거리가 있지만 한국의 금융사고는 세계적으로도 적은 편이다. </div> <div>한국이 특정하게 보안이 약하다기보다 한국이 털었을 때 가져갈 게 많다. </div> <div>특히 주민등록번호 하나만 있으면 여러 정보를 털 수 있지 않나? 국민 1인당 4.8회 털렸다는 보고도 있던데, </div> <div>훨씬 더 털렸을 거다. 큰 회사가 이슈가 되기 때문에 그렇지, 작은 사이트들은 생각보다 손쉽게 털 수 있다. </div> <div>이미 우리 개인정보는 우리 자신들보다 해외여행 몇 배는 더 돌아다니고 있을 거다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 결국 개인정보를 받지 않는 게 최선일까?</span></div> <div>A. 아무리 그래도 일정수준의 개인정보는 가질 수밖에 없다. 마케팅 없이 장사를 할 수 있나? </div> <div>결국 고객이랑 어떻게 매칭을 시키느냐, 즉 프라이머리 키의 문제다. 한국의 문제는 근본적으로 주민등록번호가 있기 때문이다. </div> <div>여러 사이트에서 턴 정보가 주민등록번호 하나로 통합된다. 아이디는 사이트마다 다를 수 있고 휴대폰 번호는 바꿀 수 있다. </div> <div>하지만 주민등록번호는 다시 태어나지 않는 한 바뀌지 않는다. 내가 아니라도 주민등록번호만 있으면 나인 척 할 수 있다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 공인인증서, N프로텍트 등도 문제인가?</span></div> <div>A. 이들이 귀찮긴 한데 해킹과는 무관하다. 그렇다고 이들 때문에 딱히 안전해지는 것도 아니다. </div> <div>정부의 문제가 이건데, 자꾸 문제가 생기면 쓸데 없는 규제만 만들며 더 귀찮게 하는 거다. </div> <div>공인인증서나 n프로텍트의 문제라면 보안 책임을 자꾸 사용자에게 떠넘기며 금융기관의 책임 소재를 줄여준다는 거다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 공인인증서와 N프로텍트가 도움이 되기는 하나?</span></div> <div>A. 공인인증서는 C드라이브 특정 폴더에 저장하기 때문에 누구라도 손쉽게 탈취할 수 있고, </div> <div>비밀번호를 유추하는 것도 그다지 어렵지 않아서 별도의 보안 레이어를 제공한다고 보기 어렵다. </div> <div>N프로텍트와 같은 보안프로그램은 사용자가 그 기능을 이해하고자 하여도 어디서 설명을 찾아보기도 어렵고, </div> <div>실제 어떤 기능을 하는지 또는 그 프로그램 자체가 악성코드로부터 스스로를 완벽하게 보호하는 지도 확신할 수 없다. </div> <div>물론 그렇다고 주장 하겠지만…</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 한국에서 왜 HTTPS는 사랑받지 못하는 것인가?</span></div> <div>A. 사실 HTTPS는 보안서버(SSL 인증서)를 설치하여 통신구간에 암호화를 적용하여 전송되는 데이터를 보호하는 것으로, </div> <div>그냥 기본 중의 기본이다. 다만 약간의 돈(2년에 50~200만 원)이 들어가서 신생기업에서 꺼리는 측면이 있다. </div> <div>그만큼 한국의 보안 의식이 취약하다고 할 수도 있다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 네이버나 다음은 개인정보의 산실인데 왜 안 털릴까?</span></div> <div>A. 당연한 이야기이지만 그만큼 보안에 투자하기 때문이다. 망 분리, 다중 암호화, 높은 보안성 점검 등에 </div> <div>돈도 많이 쓰고 보안의식 강화에도 힘쓴다. 해외 IT 대기업이 잘 안 털리는 것과 같은 이유다.</div> <div> </div> <div><span style="color: #800000" class="last-child first-child">Q. 마지막으로 한 마디 하자면?</span></div> <div>A. 이미 우리 정보 털릴 거 다 털린지 오래니까 너무 화내지 말았으면 좋겠다. </div> <div>오죽하면 한때 100원 하던 개인정보는 이제 6원까지 떨어졌다. </div> <div>아예 1원까지 가면 너무 값싸서 해킹 없는 아름다운 세상이 열릴지도 모르겠다.</div> <div> </div> <div>* 이 글은 3명의 보안업계인과의 인터뷰를 바탕으로 작성됐습니다. 밥그릇 문제로 모두 실명 노출을 거부했습니다.</div> <div> </div> <div><출처 :  <a target="_blank" href="http://ppss.kr" target="_blank">http://ppss.kr</a> ></div>