CBS '시사자키 정관용입니다'
■ 방 송 : FM 98.1MHz (18:25~20:00)
■ 방송일 : 2020년 6월 15일
■ 진 행 : 정관용 (국민대 특임교수)
■ 출연자 : 김승주 (고려대 정보보호대학원 교수)
◇ 정관용> ‘전 국민의 금융 또 개인정보 다 털렸다. 무려 1.5테라바이트 역대급 유출이다. 신용카드, 은행계좌, 주민번호, 전화번호,개인정보까지 다 담겨 있다’ 이런 충격적 보도가 나왔죠? 이게 진상이 어떤 건지 고려대학교 정보보호대학원의 김승주 교수 스튜디오에 모셨습니다. 교수님, 어서 오십시오.
◆ 김승주> 안녕하십니까?
◇ 정관용> 먼저 보도를 못 보신 분들을 위해서 우선 보도 내용을 좀 정리해 보면 이미 다른 걸로 체포된 사람의 여죄를 추궁하는 과정에서 압수수색을 해 보니까 1.5테라바이트 외장하드를 발견했다는 거죠? 그 안에 뭐가 있다는 거죠, 그러니까?
◆ 김승주> 외장하드 2개를 발견한 겁니다. 하나는 1테라바이트고 하나가 500기가바이트고요. 그런데 조사를 해 보니까 그 안에 개인정보가 있더라. 그런데 그 개인정보에는 신용카드 관련한 정보들도 포함돼 있더라라는 게 내용이고요. 그런데 이제 사실은 이런 세부적인 내용 없이 기사에는 1.5테라바이트 상당의 개인정보가 유출됐다라는 식으로 사실은 나왔죠. 그런데 정부 당국에서 발표한 걸로는 1. 5테라바이트 ‘용량’의 하드디스크가 발견된 것이고 그 안에 담긴 개인정보의 양은 한 61기가바이트 정도 된다라고 지금 얘기가 나오고 있습니다.
◇ 정관용> 그러니까 1.5테라가 전부 다 개인정보는 아니고 61기가라고 해도 상당한 거 아니에요?
◆ 김승주> 상당한 거죠. 그런데 사실은 저는 언론에서 이제 어떤 걸 내다보니까 이런 타이틀을 걸 수밖에 없었다는 생각이 들지만 보통 이런 데이터베이스가 발견이 되면 이 정보들은 과거에서부터 계속 누적돼온 겁니다. 해커들이 정보를 쌓아놓거든요. 그래서 실제 조사를 보면 이 정보들 중의 상당수는 이미 유효기간이 지난 그런 어떤 카드 정보나 이런 개인정보일 확률이 굉장히 높습니다.
◇ 정관용> 어쨌든 1.5테라로 충격을 주었는데 정작 61기가라는 거고 교수님 말씀은 61기가에 들어 있는 개인정보 가운데서도 이미 지나간 정보들도 많을 것이다라는 것이고 그런데 그러면 그 61기가의 분량의 정보가 무엇이고 어떤 것들이고 그래서 어떤 피해가 예상되는지 이런 것을 경찰이 됐건 금융감독원이 됐건 빨리 밝혀야 되잖아요. 그런데 또 보도를 보면 지난 몇 개월 동안 경찰과 금감원이 싸운다면서요? 이건 무슨 말이에요?
◆ 김승주> 그런 기사가 실렸습니다. 그랬더니 오늘은 또 두 기관이 모여서 회의를 했더라고요. 제가 보기에는 지금 이 하드디스크 안에는 순수하게 신용카드 정보만 있는 것 같지는 않습니다. 보통 해커들은 여러 곳에서 입수한 개인정보를 하나로 이렇게 모아놓거든요. 그러다 보니까 신용카드 정보 외 다른 개인정보도 담겨져 있게 되고 그런데 금융당국 입장에서는 자기들은 금융정보 외에 다른 개인정보를 볼 권한은 없거든요. 그러니까 이제 금융당국은 경찰 보고 금융정보만 추려서 달라는 것이고 경찰은 이제 빨리 같이 수사하자라고 얘기하는 것이고 그러다 보니까 그게 마치 핑퐁게임처럼 보였던 것 같습니다.
◇ 정관용> 그런데 3개월이나 그러고 있으면 안 되잖아요.
◆ 김승주> 사실은 그런 문제 때문에 어떤 개인정보 보호와 관련한 컨트롤타워가 있어서 여기가 이런 시급한 사안에 대해서는 교통정리를 했으면 좋았을 텐데 그게 좀 잘 안 됐던 것 같습니다.
◇ 정관용> 그런데 정작 범인은 어쨌든 어떻게 이런 걸 뽑아낸 거예요? 보니까 ATM기하고 카드가맹점의 포스단말기를 해킹했다는데 그게 가능해요?
◆ 김승주> 사실은 ATM 해킹이나 포스단말기 해킹은 학술대회에서도 굉장히 많이 발표가 됩니다. 그래서 비단 우리나라뿐만이 아니고 외국에서도 많이 해킹이 일어나고 있고요. 사실은 지금 우리가 말하는 포스단말기라고 하는 것이 원래는 개별 상점이 카드사랑 접촉해서 카드단말기를 전부 다 설치해야 되는데 이게 굉장히 귀찮죠. 그러다 보니까 중간에 밴(VAN)사업자라는 중간사업자를 하나 낍니다. 그래서 상점이 거기랑만 컨택하면 여러 카드를 읽을 수 있는 그 단말기를 밴사업자가 무료로 설치를 해 주죠. 이런 구조에서 우리가 상점에서 신용카드를 긁으면 그것은 중간에 밴사업자를 거쳐서 카드사로 넘어가게 됩니다. 그러다 보니까 이제 이 포스단말기가 취약하거나 아니면 밴사업자가 보안관리를 잘못하면 중간에 있는 어떤 밴사업자를 통해서 개인정보가 다 유출될 수 있죠. 수사당국에서는 포스단말기가 직접 해킹됐다기보다는 아마 중간의 밴사업자의 컴퓨터가 털린 것 같다. 그러다 보니까 유출된 정보량이 더 많아진 거죠. 그런데 다행히도 여러 카드 정보가 유출됐는데 비밀번호는 암호화돼서 보관돼 있어서 그나마 다행이라는 보도가 나오고 있는 것 같습니다.
◇ 정관용> 그런데 신용카드 카드 넘버 있잖아요. 그다음에 유효기간 있잖아요. 그것만 있으면 비밀번호 없어도 할 수 있는 게 많지 않아요?
◆ 김승주> 그런데 사실은 그러니까 외국 같은 경우는 카드번호와 유효기간 그리고 CVC값이라고 뒤에 세 자리 번호...
◇ 정관용> 세 단위 숫자.
◆ 김승주> 그것만 있으면 사실은 어느 정도 결제를 할 수 있죠. 그런데 이제 우리나라 같은 경우는 논란이 됐던 공인인증서부터 시작해서 여러 가지 추가적으로 요구하는 보안장치들이 있습니다. 그러다 보니까 그런 것들이 어느 정도 사고를 막아주는 역할을 하기도 하고요. 실제로 우리가 조금만 생각해 봐도 핑퐁게임을 세 달을 했다고 그러는데 그러면 3개월 동안 노출된 카드가 무방비로 방치돼 있던 거잖아요. 만약에 그랬으면 우리 지금 금융시스템은 완전히 붕괴가 돼서 여러 카드 사용자들이 돈이 내가 안 쓰던 게 막 결제돼 있어요.
◇ 정관용> 피해 신고가 들어와야 되는데...
◆ 김승주> 그렇죠. 그런데 그런 것들이 없는 걸로 봐서는 이게 유출됐다 하더라도 기존에 어떤 보안시스템들이 잘 막아주고 있었던 것 같습니다.
(사진=스마트이미지 제공)
◇ 정관용> 그리고 ATM기는 현금인출하고 막 이러는 거잖아요. 그러면 거기 은행계좌 그다음 개인정보, 주민등록번호 이런 것들도 다 있을 거 아니에요?
◆ 김승주> 보통 이제 우리가 ATM기에도 카드를 집어넣으면 거기서 정보를 읽어서 은행으로 전송하는 거거든요. 그 정보를 읽는 단계에서 해킹 프로그램이 그걸 가로채는 겁니다. 그래서 우리가 보통.
◇ 정관용> 거기도 비밀번호는 암호화됐어요?
◆ 김승주> 원래 이제 암호화시켜서 저장을 해야 되는 거죠. 그래서 보통 이렇게 우리가 은행 ATM기를 가보면 입구, 그러니까 카드를 넣는 입구에 이상한 것 부착돼 있으면 조심하세요, 그렇게 사진이 있을 겁니다.
◇ 정관용> 맞아요, 그게 카드 복제하는 거예요?
◆ 김승주> 그게 중간에 복제하는 장치입니다. 가급적 이렇게 건물 내부에 있는 것 말고 외부에 있는 ATM 기계들 있지 않습니까? 그런 것들은 가급적 사용하지 말라고들 보통 주의를 줍니다.
◇ 정관용> 그렇게 해서 카드가 복제된다면 어떤 피해가 예상되고 우려되는 거예요?
◆ 김승주> 사실은 카드가 일단 복제가 되면 우리가 사실 카드를 결제할 때는 지금 신용단말기가 설치됐기 때문에 카드를 넣고 그 안에서 비밀번호도 입력을 하고 여러 가지 절차를 거쳐야 되지 않습니까? 그런데 우리가 오프라인에서 결제를 하다 보면 그런 것들을 잘 체크 안 하는 곳도 많습니다. 비밀번호 입력하라든가 서명 같은 것도 대조 안 하는 경우가 많죠. 그럴 경우에는 부정거래가 발생하는 겁니다.
◇ 정관용> 그런데 이것 역시 지난 3개월 동안 그런 심각한 피해 신고가 아직 없다.
◆ 김승주> 현재로서는 그런 것 같습니다. 그렇지만 분명히 이 중에는 살아 있는 카드번호도 있기 때문에 지금 이제 빨리 파악을 해서 살아 있는 카드번호 중에서 유출된 거는 빨리 이제 카드 교체를 하라고 통보를 해 줘야 될 것 같습니다.
◇ 정관용> 그런데 아무튼 충격적 보도는 있었으나 3개월 동안 또 제대로 조사도 안 됐다라고 하는 고발도 있었으나 피해가 별로 없다면 별거 아닌 사건이에요, 뭐예요?
◆ 김승주> 그렇지만 사실은 이 밴사업자의 보안 문제는 어제 오늘의 문제가 아닙니다. 밴사업자가 중간에 이제 포스단말기를 무료로 설치해 주고 그 수수료를 받아서 영업을 하는 거거든요. 그런데 이제 밴사업자들이 많아지다 보니까 이게 좀 출혈 경쟁이 되고 그러다 보니까 이제 제대로 된 보안시설을 갖추기가 쉽지 않습니다. 그래서 이런 사고가 났을 때 과연 카드사가 책임을 져야 되는 건지 밴사업자가 책임을 져야 되는 건지 아니면 보안대책은 누가 중심이 돼서 마련해야 되는 건지 이런 것들에 대한 논의가 매번 이런 사건이 있을 때 나오다 쑥 들어가고 나오다가 쑥 들어가고 그랬거든요. 그래서 이번 기회에 좀 그런 책임이 어디가 져야 되는가 하는 이런 역할 분담을 명확하게 할 필요는 있을 것 같습니다.
◇ 정관용> 모신 김에 얼마 전에 1700만 명이 가입했다는 토스 부정결제 나왔잖아요. 이건 뭐예요? 어떤 일이 벌어진 거예요?
◆ 김승주> 그러니까 토스에서 지금은 이제 아이디, 비번 도용이라고 그러죠. 우리가 보통 사이트들, 여러 사이트들 비밀번호를 동일한 걸 쓰지 않습니까? 그래서 다른 사이트에서 유출된 비밀번호를 가지고 토스에 그대로 로그인해서 부정결제를 했다라고 지금 보고 있습니다. 그게 한 8명 정도 사용자가 그랬고요. 금액은 938만 원입니다, 총액이. 사실은 1700만 가입자 중에서 그렇게 많은 수는 아니죠.
◇ 정관용> 그러네요. 극히 일부기는 하네요.
◆ 김승주> 그런데 여기서 논란이 됐던 것이 우리나라는 이런 사고만 나면 약간 좀 기술 만능주의, 정책 만능주의가 있습니다. 사고가 났으니까 보안대책을 더 마련해야 되는 거 아니냐, 정책을 정비해야 되는 것 아니냐, 이런 거죠. 그런데 외국 같은 경우는 사고가 났을 때 기업이 취하는 것은 두 가지 중 하나입니다. 하나는 기술적인 대책을 강구해서 추가적으로 설치하거나. 그런데 만약에 이것들을 설치함으로써 간편해지지 않고 더 불편해진다라면 그냥 돈으로 배상합니다. 그런데 우리는 너무 기술적으로만 어떻게 해결하려고 그러는 거죠. 토스 같은 경우에는 사실은 기술적인 대책보다는 보상해 주는 방향을 선택을 해서 일단 일괄적으로 다 보상을 해 줬죠. 나중에 원인규명을 하겠다라고 그러고. 사실은 저는 이런 접근 방법은 굉장히 바람직하다라고 보고요. 왜냐하면 우리는 사고가 났을 때 원인규명한답시고 이 보상을 좀 미루거든요. 우리가 간편결제 대명사라고 얘기하는 페이팔 같은 경우에 작년 기준으로 피해자한테 배상한 금액이 11억 달러입니다.
◇ 정관용> 그래요?
◆ 김승주> 그러니까 페이팔도 여러 보안대책을 강구하지만 이것이 간편성을 해친다라면 그렇게 안 하고 돈으로 보상하는 겁니다. 페이팔은 작년에도 11억불 정도 됐고요. 그 전 해에도 한 11억 달러 정도됐습니다.
◇ 정관용> 그만큼 보상했다는 얘기는 거기도 그만큼 뚫렸다는 얘기예요?
◆ 김승주> 그렇죠. 그런데 뚫린 걸 다 배상하면서 가는 겁니다. 우리는 뚫리면 처벌받아야 한다고 생각하지 않습니까? 그런데 금전적으로 손해를 받았을 때 금전적으로 배상을 하면 사실은 그건 큰 문제가 있는 건 아니잖아요. 그래서 우리는 사실은 어떤 일이 생겼을 때 충분히 배상을 했는가보다는 뚫렸느냐,안 뚫렸느냐에 너무 집착을 하다 보니까 실제로 이런 사건이 나면 제도 좀 고치고 이러고 끝나는 경우가 굉장히 많습니다.
◇ 정관용> 그런데 정작 이번에 문제가 된 사건은 피해자가 아직 안 나오고 있잖아요. 그러면 보상할 것도 없네요.
◆ 김승주> 현재로서는 그렇죠. 그래서 지금이라면 빨리빨리 알려서 좀 이상한 결제가 있었던 사람은 알려주십시오 이런 식으로 해서 피해자부터 파악한 다음에 빨리 보상조치라든가 아니면 추가 피해자가 나오지 않도록 대책을 강구해야 되겠죠.
◇ 정관용> 그런데 말씀 듣다 보니까 페이팔, 11억 달러 이런 얘기들이 매년 그랬다는 것은 못 막는 거예요? 완전히 차단할 수 없어요?
◆ 김승주> 기술을 가지고 완벽히 막을 수 없고요. 물론 페이팔이 조금 더 공인인증서 비슷하게나 일회용 비밀번호 같은 걸 쓰게 하면 이런 걸 막을 수도 있겠죠. 그런데 페이팔은 그렇게 해서 불편한 결제 시스템이 돼서 사용자가 떨어져나가는 것보다는 그냥 배상할 걸 배상하면서 간편결제 가겠다는 겁니다.
◇ 정관용> 뚫리면 보상하고 그냥 간다?
◆ 김승주> 그렇죠. 그것도 업체의 어떤 기업 운영 방안 중 하나라는 겁니다.
◇ 정관용> 그러면 거긴 보안관리에 투자를 별로 안 합니까?
◆ 김승주> 굉장히 많이 하죠.
◇ 정관용> 하는데도 완벽히 막을 수 없다.
◆ 김승주> 그렇죠. 그래서 페이팔 같은 경우는 2018년도에는 전체 거래 규모의 0.18% 정도 되는 금액을 배상했고요. 거기에 이제 떨진 겁니다. 0.15% 정도. 그러니까 그 배상금액을 자꾸 낮추는 게 목표죠.
◇ 정관용> 그렇군요. 11억 달러가 어마어마한 돈이지만 전체로 따지면 얼마 안 되는 거군요.
◆ 김승주> 그렇죠.
◇ 정관용> 알겠습니다. 아무튼 지금 언론이 너무 과잉되게 1.5테라바이트 개인정보 털렸다, 이건 잘못된 보도군요?
◆ 김승주> 너무 저는 그런 불안심리는 조장은 좀 안 했으면 좋겠습니다.
◇ 정관용> 그래야 되겠죠. 고려대학교 정보보호대학원의 김승주 교수 고맙습니다.
◆ 김승주> 감사합니다.