주간동아 1241

..

언택트 시대에 유출되는 개인정보, ‘블랙 비즈니스’ 먹여 살린다

[인터뷰] 임종인 고려대 정보보호대학원 교수, “데이터 이코노미 시대, 벌금 수위도 대폭 올리고 개인 스스로 1차 방어자 돼야”

  • 김지영 기자 kjy@donga.com

    입력2020-05-29 08:00:01

  • 글자크기 설정 닫기
    임종인 고려대 정보보호대학원 교수는 “스스로 1차 방어선이 돼야 한다”고 강조했다. [지호영 기자]

    임종인 고려대 정보보호대학원 교수는 “스스로 1차 방어선이 돼야 한다”고 강조했다. [지호영 기자]

    #1 요즘 미국 화상강의 플랫폼 ‘줌(Zoom)’에 접속해 e메일 등 개인정보를 입력하고 회원가입을 한 학생들은 좌불안석이다. 최근 이 플랫폼에서 유출된 53만 건의 계정 정보가 다크웹(특정 브라우저로만 접속이 가능한 웹)과 해커포럼에서 거래되는 사건이 발생해서다. 대학생 김한국(가명) 씨는 “회원가입 당시 입력한 e메일 주소로 스팸메일이 무더기로 들어왔다. 개인정보가 유출된 것 같다”며 걱정을 감추지 못했다.
     
    #2 정부의 긴급재난지원금 신청 정보를 공무원이 아닌 단기 공공일자리 보조인력이 들여다보고 유출할 수도 있다는 지적이 나온다. 행정안전부가 보안 문제를 고려하지 않은 탓이다. 이들 보조인력은 공무원과 마찬가지로 긴급재난지원금을 신청한 세대주는 물론, 세대 구성원의 이름, 주소, 주민등록번호, 연락처 등 개인정보를 열람하고 마음만 먹으면 외부로 유출도 가능하다. 한 구청에서 공공일자리 보조인력으로 일하는 이주빈(가명) 씨는 “이혼이나 사건 기록 같은 민감한 정보까지 보였다. 공공시스템의 보안망이 생각보다 허술해 놀랐다. ‘n번방 사건’처럼 정보를 악용하는 일이 재발할 여지가 있다”고 꼬집었다.

    코로나19 사태로 비대면 화상강의가 활발하게 진행되고 있다. [뉴시스]

    코로나19 사태로 비대면 화상강의가 활발하게 진행되고 있다. [뉴시스]

    코로나19 사태를 맞아 최근 정부가 내놓은 ‘긴급재난지원금 조회 및 안내’를 가장해 개인정보를 탈취하려는 악성 문자메시지가 등장했다. 개인정보는 일단 유출되면 피해를 막을 수 없다. 스팸메일 폭탄이나 명의 도용 등 그 후유증이 두고두고 이어진다. 개인정보 유출을 효과적으로 예방하는 방법을 알아보고자 보안 분야 권위자인 임종인 고려대 정보보호대학원 교수를 만났다. 

    -화상강의 플랫폼 줌 이용자가 지난해 12월 1000만 명에서 올해 3월 2억 명으로 늘었다. 그런데 최근 이 플랫폼에서 대규모 계정 정보가 유출돼 많은 이용자가 불안해하고 있다. 왜 이런 사고가 발생한 것인가. 

    “줌은 미국 실리콘벨리에서 창업해 나스닥에 상장했지만 개발하는 엔지니어들이 중국 베이징에 있다. 최고경영자(CEO)가 중국계다. 보안 관리가 쉽지 않다. 그러다 이번에 해킹이 가능한 악성코드를 심어놓는다든지, 줌을 통해 화상회의를 하면 그 내용의 일부가 중국 서버에 자동 저장되도록 한 것이 탄로가 났다. 그들은 실수라고 해명했는데, 중국에 대한 국제적 신뢰가 부족하다 보니 논란이 인 것이다. 만약 줌에서 네이버 개발자들의 신원 정보가 새어나가면 해커에게 이용돼 한꺼번에 수천만 명의 정보가 유출될 수도 있다.” 

    -5월 12일 인기 데이팅 애플리케이션(앱) 모비프렌즈에서 유출된 350만 건의 개인정보가 다크웹에서 음성적으로 거래됐다. 텔레그램 ‘n번방’의 성착취 동영상도 마찬가지다. 불법 유통을 차단할 방법이 없나. 

    “다크웹 사용자는 VPN(가상사설망)을 이용해 자기 IP(Internet Protocol)를 숨겨 추적이 어렵다, n번방 사건의 경우 입출금 내역으로 추적했는데, 가상화폐로 거래해 연루된 사람이 쉽게 잡히지 않았다. 다크웹에서 불법 거래한 사람을 찾아내려면 경찰이 국제공조를 해야 한다. 경찰의 강력한 수사 의지가 있어야 이 문제를 풀 수 있다.” 

    -개인정보가 대량으로 유출되는 사건이 끊이지 않는 이유가 뭔가. 

    “무엇보다 돈이 되기 때문이다. 지금은 수요층의 데이터를 잘 분석하는 것이 기업의 생존과 직결되는 데이터 이코노미 시대다. 그러다 보니 의미 있는 분석이 가능한 대량정보에 대한 수요가 늘어나 개인정보를 해킹한 데이터 파일이 계속 음성적으로 거래되는 것이다. 특히 중국 쪽에서 해킹해 거래하는 경우가 많다. 이름, 주소, e메일 주소 같은 개인정보가 인당 100~200원에 팔린다고 한다. 수십만 명의 정보가 수천만 원에 거래되니 중요한 위치에 있는 사람 또는 업무를 맡은 사람의 신상정보를 털어 약점을 캐거나 협박해 기밀 정보를 빼내기도 하고, 그 사람의 개인용 컴퓨터(PC)에 악성코드를 심어 해킹하기도 한다.”



    디스코드에 개설된 ‘음란 채팅방’에 6000명이 접속해 대화를 나누고 있다. [뉴스1]

    디스코드에 개설된 ‘음란 채팅방’에 6000명이 접속해 대화를 나누고 있다. [뉴스1]

    -처벌 규정이 더 강력해져야 근절될까. 

    “우리나라는 지나치게 형사적 처벌을 강조한다. 다른 나라는 대부분 벌금형을 내린다. 그 대신 강도가 세다. 유럽연합(EU)은 개인정보를 오남용한 기업에 전체 매출액의 4%를 벌금으로 물게 한다. 사전 동의 없이 회원정보를 유출한 페이스북에 6조 원에 달하는 벌금을 매긴 것도 같은 맥락이다. 유럽에선 개인정보를 오남용한 기업은 돌연사할 수 있다. 우리나라는 그동안 몇억 원 정도의 벌금에 그쳤는데, 글로벌 트렌드에 맞춘 강력한 벌금형이 보안 강화와 유출 피해 예방에 더 효과적일 수 있다.” 

    -네이버는 지난해 e메일 오발송으로 194만 건의 개인정보가 유출돼 최근 4000만 원대 과징금이, 인터파크는 2016년 개인정보 2500여만 건이 유출돼 국내 최고액인 44억 원대 과징금이 부과됐다. 어떤 차이가 있는 것인가. 

    “벌금 수준은 고의냐, 단순 과실이냐에 따라 달라진다. 법에서 정한 보안 관리 매뉴얼을 얼마나 잘 지켰느냐가 관건이다. 인터파크 해킹 사건도 북한 소행으로 밝혀져 기업 입장에서는 억울할 수 있지만, 국내 정보통신망법(‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’)이 요구하는 수준의 보안 관리 규정을 위배한 점이 드러나 과징금이 부과된 것이다.”

    임종인 교수는 “강도 높은 벌금형이 보안 문제 예방 의지를 높일 것”이라고 말했다. [지호영 기자]

    임종인 교수는 “강도 높은 벌금형이 보안 문제 예방 의지를 높일 것”이라고 말했다. [지호영 기자]

    -개인정보는 고유한 것이기에 일단 유출되면 피해를 막기 어렵다. 

    “주민등록번호는 개인을 식별하는 매우 민감한 정보이기 때문에 법원의 허락을 받아야 주민등록번호 뒷자리를 변경할 수 있다. 10월부터 주민등록번호 뒷자리에 지역번호 대신 임의번호를 부여하는 법이 시행돼 유출 피해가 한결 완화될 것으로 보인다.” 

    -스스로 개인정보를 보호하려면 어떻게 해야 하나. 

    “방법은 크게 두 가지다. 강력한 백신을 탑재해 보안을 강화하거나 신뢰할 수 있는 곳에만 개인정보를 제공하는 것이다. 회원가입 등을 통해 개인정보를 제공하기 전 반드시 내 개인정보를 잘 관리해줄 수 있는 곳인지, 신뢰해도 되는 곳인지 꼼꼼히 확인하는 습관을 길러야 한다. 매력적인 유인책을 내건 프로모션 문자메시지나 e메일, URL(인터넷상 파일 주소)을 함부로 클릭해선 절대 안 된다. 운이 나쁘면 그 사이트에 숨겨진 악성코드에 감염돼 스마트폰에 저장된 전화번호와 사진, 소셜네트워크서비스(SNS) 정보까지 유출된다. 회원탈퇴도 능사가 아니다. 탈퇴하면 개인정보를 삭제하게 돼 있지만 삭제했는지 확인할 길이 없다. 개인정보를 파산한 뒤 팔아먹는 곳도 있다. 1차 방어선은 자기 자신이 돼야 한다.” 

    -데이터 이코노미 시대에 신뢰받는 조직이 되기 위한 필요조건은 무엇인가. 

    “기밀을 다루는 부서나 인재를 지키려는 노력을 게을리해선 안 된다. 조직의 일원이 쉽게 유혹에 빠질 수 있는 환경을 방치해서도 안 된다. 작은 틈이 조직을 통째로 위기에 빠뜨릴 수 있다는 사실을 명심하자.”



    댓글 0
    닫기