ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 이번 농협, 롯데, 국민카드의 개인정보유출 사고를 보면서 다시 생각하는 보안의 중요성
    Security 2014. 1. 21. 22:44
    반응형

    최근 카드사와 관련된 보안사고(정확히는 개인정보 유출사건이겠지만)를 보고 또 그 처리과정을 보면서 답답한 마음을 금할 수 없었다. 나 역시 보안업계에 종사한지 어언 10년이 훨씬 넘은 상황이고 나름 이 업계에서 이름을 날리지는 못해도 굴러먹을만큼 굴러먹었기에 이런 생각이 드는지도 모르겠다. 뭐 내가 주로 담당했던 분야가 컨텐츠 보안(이라고 하고 DRM이라고 읽는다 -.-)쪽과 그와 관계된 모바일, 임베디드 기기, PC쪽 보안이고 최근에는 사용자 인증 및 통신구간 암호화 부분도 나름 담당하고 있기는 하지만 그 전에 이것저것 많이 접해봐서 그런지 다양한 보안 분야를 접해본 것은 사실이다. 그런 연장선상에서 보면 개인정보 관련 업무도 어느정도 해보기도 하고 말이다. 어찌되었던 내가 주로 담당한 분야는 IDS, IPS, 방화벽 등과 같은 외부 보안이 아닌 내부 보안 분야다. 이렇다보니 내부에서 돌아다니는 정보에 대한 보안에 대해서는 나름 생각하는 기준이나 판단 기준은 있다.


    일단 이 사고의 핵심은 어떤 한 사람의 도덕적 문제로 인하여 소중히, 그리고 정확하고 안전하게 다뤄야 할 개인정보가 팔려나갔다는 것이다. 이는 시스템적인 문제가 아니다. 사람의 문제다. 내부에서 돌아다니는 정보를 다루는 사람에 대한 문제가 크지 그 정보를 사용하게 되는 시스템 문제는 분명히 아니다. 그런데 어떤 사람들은 이 이슈를 두고 갑자기 공인인증서를 들먹이기 시작한다. 아마도 이 문제를 야기한 당사자가 만들려고 하는 시스템이 차후에는 공인인증서와 관계가 될 수 있기 때문이 아닐까 싶다. 하지만 이 문제는 공인인증서 시스템의 문제가 아니라는 것이 핵심이다. 개인정보를 다루는, 그것을 개발단에서 다루던, 아니면 관리나 운영단에서 다루던간에 그것을 다루는 사람들의 도덕적, 윤리적 문제가 크다는 생각이 든다.


    어찌되었던 이 사고로 인하여 국민카드와 롯데카드, 농협카드의 임원진들은 사퇴를 했다. 해당 카드사 콜센터는 항의전화를 받느라 정신을 못차릴 정도였다고 한다. 그만큼 이번 사태가 국민들에게 와닫는 충격은 엄청난 것이다. 아직 체크는 안해봤지만 내 정보도 아마도 유출되지 않았나 싶다. 참고로 난 언급한 3개의 카드를 사용하지는 않는다. 다만 국민은행 계좌가 있고 롯데마트 멤버쉽 카드가 있기 때문에 해당 정보가 있을 수 있다. 위에서 언급했듯 임원진들은 사퇴를 했다. 하지만 사퇴했다고 다 끝나는 것인가? 후속 대책이라는 것이 존재하지 않는다. 금융당국은 이들 임원들이 사퇴하면 바로 사법처리할 계획이라는 뉴스도 봤다. 사법처리만이 모든 사건의 해결책일까?


    위에서도 언급했듯 진짜 문제는 내부 정보, 개인 정보를 다루는 개발자나 관리자의 도덕적, 윤리적 자세가 아닐까 싶다. 이전에도 잠깐 언급했는데 제대로 된 보안의 핵심은 시스템이 아니라 그 시스템을 다루는 사람에게 있다고 말한 적이 있다. 아무리 훌륭한 보안 시스템을 갖추고 있어도 그것을 다루는 사람의 보안 의식이 제대로 안되었더라면 그 보안 시스템은 허수아비에 불과하다는 얘기다. 사람이 겉으로는 아무리 근육질이 많은 몸을 지니고 있더라도 몸 안의 암세포 하나로 인해 죽을 수도 있다. 겉만 아무리 철통같이 방어하도라도 안에서 새버리면 끝이라는 얘기다. 내부 정보 보안이 어느때보다 중요한 시기가 왔다는 얘기다. 내부 보안 시스템도 갖추고 또 사람들의 보안인식도 다시 세워야 할 것이다. 이번 사태에서 우리는 내부 보안이 허술하면 말짱 다 끝이라는 것을 봤다. 이번 사태를 야기한 코리아크레딧뷰로(KCB)의 담당자는 삼성카드와 신한카드도 함께 건드렸다고 한다. 그런데 거기는 왜 무사할까? 내부 정보들이 암호화되어 관리되고 있었고 외부 출입 장비에 대한 엄격한 제한 등 관리가 있었기 떄문에 정보를 빼낼 수 없었다고 한다. 다시 말하듯 내부 보안이 얼마나 중요한지 알 수 있는 대목이다.


    정말로 이들 임원진과 관련된 사람들의 사법처리로만 이 사건이 마무리된다면 연말에 또 이런 일이 터질 수 있다. 제대로 된 후속조치가 필요하다. 보안 시스템에서 가장 중요한 것이 무엇인지를 다시 한번 깨닫고 마땅한 후속조치가 있었으면 좋겠다. 그래야 사람들이 안전하게 살 수 있을게 아닌가 싶다.

    반응형

    댓글

Designed by Tistory.