사진 = 이미지비트 제공
- 대문만 지킨채 발견못한 쪽문들 많아
- 미국은 정보유출에 3조 8천억 배상금
- 우리 정부, 일률적 가이드라인만 제시
- 관치보안, 징벌적 과징금으로 바꿔야
[CBS 라디오 '시사자키 정관용입니다']
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2014년 3월 6일 (목) 오후 7시
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 김승주 (고려대 정보보호대학원 교수)
◇ 정관용> 또 뚫렸습니다. 이번에는 KT의 홈페이지가 해킹을 당해서 가입고객 1200만 명 고객정보가 유출됐어요. 이름, 주민번호, 휴대전화번호, 집 주소, 직업, 은행 계좌까지 유출됐고. 이렇게 빼낸 정보가 휴대폰개통 판매영업에 활용됐답니다. 참, 근본적인 대책이 없을까요? 고려대학교 정보보호대학원 김승주 교수 연결하죠. 김 교수님, 안녕하세요.
◆ 김승주> 네, 안녕하십니까?
◇ 정관용> 이번에는 해킹이네요. 너무 쉽게 뚫린 것 아니에요?
◆ 김승주> 이게 사실은 조금 언론에서는 기술적으로 뛰어난 신종 해킹수법이라고 얘기를 합니다마는, 사실은 신종 해킹수법이라고 보기에는 좀 무리가 있을 것 같고요. 사실 기술적으로 봐서는 꽤 단순한 기술로 보이는데, 그런 걸로 뚫린 것으로 봐서는 관리상에 좀 소홀한 면이 있지 않았나 생각이 듭니다.
◇ 정관용> KT의 보안 체계에 문제가 있는 거죠, 쉽게 말하면?
◆ 김승주> 그렇죠. 그렇다고 봐야 되겠죠.
◇ 정관용> 그럼 카드사 고객정보 유출은 해킹은 아니고 관련업체 사람이 의도적으로 빼낸 것이기는 합니다마는, 그 문제로 온 나라가 떠들썩한 상황이었는데 별 다른 조치를 취하지 않았었나요?
◆ 김승주> 이건 그렇게 봐야 될 것 같습니다. 뭐냐 하면 사실은 홈페이지를 만들 때 처음부터 또는 IT 시스템을 구축하는 초기 단계부터 개인정보 유출의 가능성을 염두해 두고 보안대책을 세우면 좋은데요. 문제는 이미 회사들마다, 특히 이동통신사는 이 통신회사들은 굉장히 많은 수의 홈페이지를 운영을 하고 있거든요. 굉장히 많은 수의 홈페이지를 일단 만들어 놓은 다음에 그다음에 어떤 보안 취약점이 없는지를 점검하려다 보니까 인력이나 예산 같은 게 너무 모자란 겁니다. 그래서 예를 들면, 요새 대부분은 개인정보 보호가 이슈가 되다 보니까 대문들은 다 잘 지키고 있거든요. 그런데 내가 미처 발견하지 못한 쪽문들이 수도 없이 존재하는데, 그걸 미처 지금 발견을 못하고 있는 겁니다.
◇ 정관용> 그럼 다른 데도 얼마든지 뚫릴 수 있다는 얘기 아닙니까?
◆ 김승주> 충분히 그런 개연성은 있어 보입니다.
◇ 정관용> 이게 뭐 홈페이지뿐만 아니라 카드사, 통신사 이번엔 또 얼마 전에는 카드결재단말기 포스 시스템이라는데. 거기도 또 데이터베이스를 그냥 방치했다가 뚫리고. 이거 안심할 수 있는 데가 없어요.
◆ 김승주> 지금 사실은 개인정보가 핫이슈가 되니까 언론에서 그런 것들을 집중적으로 다뤄서 그런 면도 있고요. 또 가장 큰 원인은 해커들이 개인정보가 돈이 된다는 사실을 알고 있습니다. 그러다 보니까 점점 더 개인정보 유출 사고가 많이 나는 거고요. 좀 전에 말씀하신 포스 단말기 해킹은 사실은 우리나라만의 문제가 아니고, 외국에서도 이런 포스 단말기 해킹이라든가 아니면 홈페이지를 통한 개인정보 유출은 외국에서도 많이 요새 발생되고 있는 그런 추세입니다.
◇ 정관용> 우리나라가 유독 심해요, 아니면 다른 나라하고 비슷해요?
◆ 김승주> 사실은 우리나라가 조금 더 심하다고 볼 수가 있습니다.
◇ 정관용> 그 이유는요?
◆ 김승주> 왜냐 하면 우리나라가 아무래도 IT선진국 이렇게 얘기하지 않습니까? 그러다 보니까 굉장히 다양한 종류의 IT기기를 국민들이 쓰고 있고, 그것에 맞추기 위해서 굉장히 많은 수의 홈페이지, 인터넷 사이트를 개설해 놓고 있단 말이죠. 그러다 보니까 아무래도 해커가 접속할 수 있는 유출통로가 다른 나라보다 많다고 봐야 될 것 같습니다.
◇ 정관용> 해커들에 대해서 또 이들을 통해서 정보를 사서 딴 데에 활용한, 이번에 텔레마케팅 업체가 활용했다는데. 그런 사람들에 대해서 중형에 처하겠다, 이런 예고가 있는데도 해커들은 행동을 안 멈추네요?
◆ 김승주> 그런데 사실은 그 중형이라는 게 일단은 잡아야 중형을 부과할 수가 있거든요.
◇ 정관용> 그런데 안 잡힐 거라고 생각하나보죠?
◆ 김승주> 그렇죠. 왜냐 하면 해킹기술이라는 게 빠른 속도로 발전되어 가고 있고. 요새 해킹사고가 일어나는 걸 보면 사실 그 해당 회사가 발견한 적은 거의 없거든요. 경찰이 수사하다 잡았는데 그걸 알려줘서 인지했다거나 이런 경우들이 많기 때문에 아직도 해커들은 몰래 숨어서 정보를 빼낼 수 있다. 또는 우리나라가 아닌 다른 나라에서 원격적으로 정보를 끄집어내면 충분히 내가 안 잡히고 할 수 있다, 이런 생각들을 어느 정도 가지고 있는 것 같습니다.
◇ 정관용> 실제로 해킹하고도 잡히지 않는 경우가 많이 있다고 보시는 거죠, 그러니까?
◆ 김승주> 그렇죠. 사실 지금 언론에 보도된 것들은 발견이 된 게 그런 거고요. 지금 우리나라 상황으로 봤을 때는 발견이 안 된 것이 훨씬 더 많을 것으로 생각이 됩니다.
◇ 정관용> 이제 뭐 이런 얘기까지 나옵니다. 온 국민의 개인정보, 유출될 대로 다 유출돼서 이제 더 막을 필요도 없다, 이런 얘기까지 나오는 그런 자조적인 분위기인데. 어떻게 해야 합니까, 이거?
◆ 김승주> 그렇죠. 사실은 저도 뭐 개인정보가 유출된, 사고 날 때마다 제 개인정보도 유출이 됐기 때문에 좀 허무하긴 한데요. 그래도 사실 그 시스템은 계속해서 운영될 거고, 우리 애기들 이런 것들의 개인정보는 보호해 줘야 되니까. 그런데 사실은 우리나라 인터넷 생태계 자체가 너무도 많은 개인정보를 입력하도록 요구를 하고 있습니다. 그래서 이런 어떤 인터넷 생태계가 개인정보를 덜 요구하는 쪽으로 바뀌지 않는 한, 어떤 보안대책이 나오든 간에 그걸 우회하는 해킹 기술은 또 만들어질 수 있거든요. 그래서 생태계 자체가 좀 바뀌어야 될 것 같습니다.
◇ 정관용> 그래서 금융기관 같은 경우는 최초 1회만 주민등록번호를 요구한다 등등의 조치들이 취해지고 있는데. 현재 취해지고 있는 여러 가지 조치들은 어떻게 평가하십니까?
◆ 김승주> 저는 사실은 우리나라는 자꾸 무슨 문제가 생기면 정부가 나서서 무슨 대책을 만들어서 그걸 일괄적으로 다 적용시키려고 하거든요. 우리나라는 사실은 관치 보안이란 말을 쓸 정도로 정부에서 굉장히 많은 가이드라인을 내놓고 있습니다.
◇ 정관용> 이번에도 그래요.
◆ 김승주> 그렇죠. 그런데 각 회사마다 개인정보를 수입하는 종류도 다 다르고요. 양도 다 다릅니다. 또 그 사용용도도 다 다르거든요. 그런데 그 모든 회사에 일률적인 가이드라인을 적용할 수는 없단 말이죠. 그래서 외국 같은 경우에는 그 회사들이 보유한 개인정보 양에 맞춰서 알아서 최선의 대책을 세우도록 유도를 하고 있습니다. 자율 보안이죠. 그 대신 문제가 생기면 굉장히 큰 액수의 징벌적 과징금을 매깁니다. 예를 들면 미국의 얼마 전에 포스 단말기해킹으로 ‘타깃’이라고 하는 쇼핑몰이 해킹을 당했습니다. 4000만 명의 고객정보와 카드정보가 유출이 됐거든요. 그때 배상금 규모가 우리나라 돈으로 3조 8000억입니다.
◇ 정관용> 3조 8000억?
◆ 김승주> 네. 그러니까 외국은 ‘너한테 자율적으로 보안을 하라고 맡겼으니까, 책임도 네가 져라’ 이런 식이거든요. 그런데 우리나라는 정부에서 너무도 많은 가이드라인을 주니까 실제로 사고가 나면 맨날 법정에서 나오는 소리가 ‘우리는 정부에서 시킨 건 다 했다. 불가항력이었다’ 이런 얘기만 나온단 말이죠. 그래서 실제로 우리나라 같은 경우는 손해배상을 받은 경우는 거의 없거든요. 이런 고질적인 문제가 해결되지 않는 한 업체에서 굉장히 수동적인, 즉 정부에서 하라는 만큼만 보안대책을 세우는 그런 일이 반복될 것 같습니다.
◇ 정관용> 징벌적 과징금 제도를 도입하면 그게 무서워서 각 업체들이 훨씬 더 많은 투자를 하게 될 거죠?
◆ 김승주> 그렇죠.
◇ 정관용> 그리고 이건 필연적으로 투자를 해야만 막을 수 있는 거죠?
◆ 김승주> 그렇죠.
◇ 정관용> 인력은 충분히 있습니까?
◆ 김승주> 지금 사실은 인력 부분도, 이건 업체만의 문제도 아닙니다. 정부부처를 보더라도 정보보호 인력이 그렇게 많지가 않습니다. 또 이런 일이 생기면 정보보호 인력을 채용을 하지만 대부분 계약직으로 채용을 하거든요. 사실은 정보보호 인력이 처우가 그닥 그렇게 좋은 편은 아닙니다.
◇ 정관용> 정보보호 인력을 양성하는 기관들은 많이 있습니까?
◆ 김승주> 지금 정부도 나서고 있고 그래서 굉장히 많은 수의 어떤 정보보호 인력들을 양성하려고 하고 있고, 실제로 대학에도 그런 학과들이 많이 만들어져 있는 것은 사실입니다. 그런데 미국이나 다른 나라에 비해서 압도적으로 많다고 할 수는 없고요. 더 큰 문제는 뭐냐 하면 인력을 양성만 해서 되는 건 아니거든요. 이 사람들의 처우가 개선이 되고 이 사람들이 좋은 직장을 가질 수 있도록 해 주어야 되는데. 우리나라는 그 부분이 없습니다. 양성은 했는데 이 사람들을 어떻게 좋은 처우로 좋게 일할 것인가에 대한 대책이 없는 거죠.
◇ 정관용> 이 사람들의 처우를 좋게 해 주면 사실은, 해커들도 그냥 안정적 직업을 위해서 해킹활동을 포기하고 들어오지 않겠어요?
◆ 김승주> 맞습니다. 그러니까 우리가 보통 ‘블랙해커’라고 얘기하는 것들이 처음에는 어떤 기술적 호기심이나 이런 것들을 통해서 해커를 한단 말이죠. 그래서 여러 가지 좋은 일들, 어떤 취약점도 발견하고 이런 일들을 하다가, 회사에 정식으로 취업도 안 되고 수입이 불안정해지니까 나쁜 길로 들어서는 경우가 많거든요.
◇ 정관용> 맞아요. 이것도 시작은 징벌적 과징금이네요. 제가 보기에는.
◆ 김승주> 맞습니다.
◇ 정관용> 징벌적 과징금 제도를 도입하면 각 업체들이 너도 나도 우수인력을 모시려고 할 거고, 그럼 처우가 좋아질 것 아닙니까?
◆ 김승주> 맞습니다.
◇ 정관용> 시작은 바로 거기에 있군요.
◆ 김승주> 네.
◇ 정관용> 왜 못하는 거죠, 우리는?
◆ 김승주> 아까도 말씀드렸듯이 우리나라는 정부에서 징벌적 과징금을 우리가 책임을 지우게 하려면 거기에 대한 권한도 줘야 되지 않습니까? 그런데 우리는 정부에서 굉장히 많은 가이드라인을 낸단 말이죠. 그러니까 권한은 안 주고 책임만 물으라고 하니까.
◇ 정관용> 정부가 규제를 거기서는 좀 줄이고, 대신에 책임을 강화해라?
◆ 김승주> 그렇죠.
◇ 정관용> 그게 정부 입장에서 더 편할 텐데요, 그렇죠?
◆ 김승주> 그런데 그게 되려면 정부가 업체한테 권한을 많이 준 다음에 문제가 생겼을 때 정부가 그걸 업체 잘못인지, 아닌지를 판단할 수 있어야 되거든요. 그러려면 정부의 수준이 굉장히 높아야 됩니다.
◇ 정관용> 전문성이 높아져야 되죠.
◆ 김승주> 그렇죠. 그런데 문제는 정부의 전문성이 그닥 그렇게 높지 않거든요.
◇ 정관용> 자. 갈 방향은 정해졌습니다. 고맙습니다.
◆ 김승주> 네, 감사합니다.
◇ 정관용> 고려대학교 정보보호대학원 김승주 교수였습니다.
▶ CBS 시사자키 홈페이지 바로가기