Q. 해킹이 뭐냐?
A. 관리자 권한이 없는 컴퓨터를 파헤치는 모든 행위가 해킹이다.
예로 박근혜 계정을 뚫고 박근혜 계좌에 돈을 입금시키는 건 좋은 행위이지만 이 역시 해킹이다.
그래서 일부 해커들은 나쁜 짓을 하는 것을 따로 분리해 크래킹이라고 구분하기도 한다.
Q. 그럼 이번 KT 해킹 사건은 무엇인가?
A. 좀 어이 없는 사건이다. 사실 해킹은 언제 어디서든 터질 수 있다.
심지어 내부 보안 관리자가 빼돌리는 등 막기 힘든 해킹도 있다.
하지만 보통 해킹이 터지면 이내 발각은 하고, 담당자를 감방으로 보낸다.
그런데 이번 건은 무려 1년 가까이 털렸다. 모니터링 시스템이 제대로 가동되지 않은 것이다.
Q. 어떻게 턴 건가?
A. 자세한 건 KT에 물어보고… 간략히 이야기하면 합법적으로 KT 사이트 들어가서 로그인을 한다.
로그인이 된 상태에서 시스템의 허점을 파고 들어 다른 사용자들의 정보를 빼낸 것이다.
비유하자면 내가 아파트에 들어간다고 해서, 각 집에 들어갈 수 있으면 곤란하지 않나?
그런데 각 집에 자물쇠가 잠겨 있지 않았던 것이다.
Q. 대기업에 어찌 이런 어이 없는 해킹 사태가 터질까?
A. 많은 보안 담당자들은 예산 문제를 든다.
Q. 대기업이 보안 예산을 핑계 대나?
A. 언제 어디서든 문제는 예산으로 시작해서 예산으로 끝난다.
결론부터 이야기하면 각 기업 높은 분들이 개인정보를 보호하는 걸 그렇게까지 중요하게 여기지 않고, 따라서 충분한 예산을 할당하지 않는다.
그러다 보니 보안 시스템을 촘촘하게 짜는 데 한계가 있다.
Q. 예산이 부족하면 구체적으로 어떤 문제가 생기나?
A. 돈이 없으니까 하청에 하청에 하청… 이렇게 넘어간다. 그러니 고급 인력을 쓰기도 어렵고 손발도 잘 안 맞는다.
애초에 보안은 손익을 따져야 할 것이 아니다. 자기 돈도 아니고 남의 돈, 남의 정보를 지키는데, 손익 따지면 어쩌나?
이렇게 돈을 안 쓰니까 고급 개발자도 찾기 힘들어 졌다. 그 돈 받고 보안 일 할 바에야 다른 일을 한다.
나름 꿈 품고 보안 일을 하던 사람은 치킨집 차리고, 안 되니까 주식 사고 한강 가고…
Q. 예산 외에 어떤 문제가 있을까?
A. 사회적 보안 의식도 중요한 문제다. 사실 보안은 귀찮다. 당장 우리가 집 보안을 철저히 하려면 여러 개의 자물쇠를 설치하는데,
그것도 귀찮은 일이지 않나? 보안담당자가 일을 빡세게 하면 직원들은 인터넷 접속 안 될 때도 있고,
고객에게 파일을 보내기 힘들 수도 있다. 그런 귀찮음을 사람들이 당연하다 생각해야 보안 쪽도 더 발전하는데,
되려 일하기 불편하다고 따지고, 힘 없는 보안 담당자는 보안을 늦추거나 하는 일도 있다.
Q. 그러면 어떻게 대기업에게 경각심을 줄 수 있겠나?
대표이사급이 사임했지만, 결국 뭐가 바뀌었나? 눈 가리고 아웅하기다. 해외는 해킹 일어났다고 대표이사가 물러나지는 않는다.
하지만 그만큼 확실하게 책임을 진다.
Q. 한국이 해킹에 특히 취약한가?
A. 그건 좀 아니다. 해외에도 해킹은 많다. 또 해킹과는 좀 거리가 있지만 한국의 금융사고는 세계적으로도 적은 편이다.
한국이 특정하게 보안이 약하다기보다 한국이 털었을 때 가져갈 게 많다.
특히 주민등록번호 하나만 있으면 여러 정보를 털 수 있지 않나? 국민 1인당 4.8회 털렸다는 보고도 있던데,
훨씬 더 털렸을 거다. 큰 회사가 이슈가 되기 때문에 그렇지, 작은 사이트들은 생각보다 손쉽게 털 수 있다.
이미 우리 개인정보는 우리 자신들보다 해외여행 몇 배는 더 돌아다니고 있을 거다.
Q. 결국 개인정보를 받지 않는 게 최선일까?
A. 아무리 그래도 일정수준의 개인정보는 가질 수밖에 없다. 마케팅 없이 장사를 할 수 있나?
결국 고객이랑 어떻게 매칭을 시키느냐, 즉 프라이머리 키의 문제다. 한국의 문제는 근본적으로 주민등록번호가 있기 때문이다.
여러 사이트에서 턴 정보가 주민등록번호 하나로 통합된다. 아이디는 사이트마다 다를 수 있고 휴대폰 번호는 바꿀 수 있다.
하지만 주민등록번호는 다시 태어나지 않는 한 바뀌지 않는다. 내가 아니라도 주민등록번호만 있으면 나인 척 할 수 있다.
Q. 공인인증서, N프로텍트 등도 문제인가?
A. 이들이 귀찮긴 한데 해킹과는 무관하다. 그렇다고 이들 때문에 딱히 안전해지는 것도 아니다.
정부의 문제가 이건데, 자꾸 문제가 생기면 쓸데 없는 규제만 만들며 더 귀찮게 하는 거다.
공인인증서나 n프로텍트의 문제라면 보안 책임을 자꾸 사용자에게 떠넘기며 금융기관의 책임 소재를 줄여준다는 거다.
Q. 공인인증서와 N프로텍트가 도움이 되기는 하나?
A. 공인인증서는 C드라이브 특정 폴더에 저장하기 때문에 누구라도 손쉽게 탈취할 수 있고,
비밀번호를 유추하는 것도 그다지 어렵지 않아서 별도의 보안 레이어를 제공한다고 보기 어렵다.
N프로텍트와 같은 보안프로그램은 사용자가 그 기능을 이해하고자 하여도 어디서 설명을 찾아보기도 어렵고,
실제 어떤 기능을 하는지 또는 그 프로그램 자체가 악성코드로부터 스스로를 완벽하게 보호하는 지도 확신할 수 없다.
물론 그렇다고 주장 하겠지만…
Q. 한국에서 왜 HTTPS는 사랑받지 못하는 것인가?
A. 사실 HTTPS는 보안서버(SSL 인증서)를 설치하여 통신구간에 암호화를 적용하여 전송되는 데이터를 보호하는 것으로,
그냥 기본 중의 기본이다. 다만 약간의 돈(2년에 50~200만 원)이 들어가서 신생기업에서 꺼리는 측면이 있다.
그만큼 한국의 보안 의식이 취약하다고 할 수도 있다.
Q. 네이버나 다음은 개인정보의 산실인데 왜 안 털릴까?
A. 당연한 이야기이지만 그만큼 보안에 투자하기 때문이다. 망 분리, 다중 암호화, 높은 보안성 점검 등에
돈도 많이 쓰고 보안의식 강화에도 힘쓴다. 해외 IT 대기업이 잘 안 털리는 것과 같은 이유다.
Q. 마지막으로 한 마디 하자면?
A. 이미 우리 정보 털릴 거 다 털린지 오래니까 너무 화내지 말았으면 좋겠다.
오죽하면 한때 100원 하던 개인정보는 이제 6원까지 떨어졌다.
아예 1원까지 가면 너무 값싸서 해킹 없는 아름다운 세상이 열릴지도 모르겠다.
* 이 글은 3명의 보안업계인과의 인터뷰를 바탕으로 작성됐습니다. 밥그릇 문제로 모두 실명 노출을 거부했습니다.
