세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
매일 똑같은 잔소리보다는 더 깊은 고민 나눌 때
  |  입력 : 2017-01-12 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보 유출 중 주민등록번호 및 건강보험 번호 유출은 심각한 피해
신용 동결 및 해지 등 신용 관리에 대한 자유로움 보장되어야


[보안뉴스 문가용 기자] 매일처럼 발생하는 보안 사고와 정보 유출. 매일처럼 실리는 전문가들의 똑같은 권장 사항, 팁, 충고들. 어제 사건이 터졌다면, 오늘은 여러 전문가들이 암호를 바꿔라, 경보 시스템을 점검하라, 가시성을 확보하라, 신용 동결을 신청하라 등의 목소리가 쏟아질 차례다. 쳇바퀴처럼 도는 보안 사고와 그 대응 방식은 고착화되어 가고 있다. 이 고착화에 대한 고찰이 필요해 보인다.

‘정보 유출’이라는 말의 디테일
만약 ‘정보 유출’이라는 게 로그인과 관련된 정보를 말하는 것이라면, 누군가 해당 ID와 암호를 사용해 여기 저기 접속을 시도해볼 것이라는 걸 예상할 수 있다. 그렇기 때문에 암호를 제때 바꾸면 상당 수 공격을 막을 수 있다. 2중인증 옵션을 사용하기만 해도 일반적인 해킹 공격은 방어가 가능하다.

만약 ‘정보 유출’이라는 게 신용카드 및 지불카드와 관련된 정보를 말하는 것이라면 은행에 연락해 해당 카드를 말소시키고 새로운 카드를 발급받으면 된다. 물론 여기엔 비용이 발생하고, 은행에 직접 본인이 방문해야 하거나 여러 문서를 꾸리는 등 불편이 수반되지만, 새로운 카드가 손에 쥐어지는 순간 이전 카드와 관련된 문제들은 대부분 말끔하게 해결된다.

만역 ‘정보 유출’이라는 게 주민등록번호나 건강보험과 관련된 정보를 말하는 것이라면 일 처리가 조금 더 복잡해진다. 주민등록번호나 건강보험 모두 폐지시켰다가 새로 발급받는 게 가능하긴 하지만 신용카드 발급받는 것과는 비교도 안 될 정도로 복잡하고 까다롭다. 기간도 상당히 걸리기 때문에 언제 2차 공격이나 사기 범죄가 발생할까 전전긍긍하며 시간을 보내야 하기도 한다. 둘 다 애초부터 영구적인 인증수단으로서 발행된 것이기 때문이다.

주민등록번호나 건강보험 ID를 보유한 자는 언제고 은행 계좌 등을 새로 만들 수 있게 된다. 또는 본인은 구할 수 없었던 약품 및 서비스에도 접근할 수 있게 되고, 세금이 환급되는 걸 중간에서 가로챌 수도 있게 된다. 주민등록번호나 건강보험 ID와 함께 묶인 인증 수단 및 제도가 마련되지 않았기 때문이다. 현재 우리가 가지고 있는 기술이란, 사기가 일단 발생했을 때 그것을 탐지하고 추적하거나, 사기 조심하라고 경고문을 띄우는 것 뿐이다. 아니면 피해자 자신이 신용 동결을 신청하면 된다.

왜 변하지 않나?
일반 사용자에게 유출 사고가 발생한 후 신용 동결을 신청하라고 말하기는 조금 어렵다. 이게 말처럼 쉬운 일이 아니기 때문이다. 미국의 경우 사건이 있을 때마다 개인 신용 관리 기관에 전화를 걸어 동결을 신청하고 다시 풀고, 보호 조치를 요청하는 게 ‘진상짓’과 같이 여겨진다. 혹은 이런 데 들어가는 비용을 아깝다고 생각한다. 다만 너무 잦은 보안 사고로 인해 발생하는 굵직한 피해자들이 늘어가면서 일단 ‘돈 아깝다’는 생각 자체는 줄어들고 있다.

올해부터 미국의 모든 주들은 신용 동결에 대한 법을 개정하거나 새롭게 마련했다. 특히 신용 동결을 신청할 수 있는 자격요건과 신용 동결 신청 시 발생하는 비용에 대한 문제를 많이 다뤘다. 몇몇 주들에서는 신용 동결 및 해지에 아무런 비용이 들지 않도록 정하기도 했다. ID가 도난당했다는 증거를 제출하지 않아도 일단 비용 걱정 없이 동결 신청을 할 수 있도록 한 곳도 있다. 이는 정보 유출 후 피해 최소화를 위해 굉장히 긍정적인 한 걸음이라고 볼 수 있다.

신용 동결 및 해지 시스템은 ID를 도난당한 사람 등 반드시 필요한 사람을 위해서만 늘 창구를 열어두어야 한다는 데에는 동의한다. 이를 악용하는 사람도 있기 때문에 조건을 까다롭게 설정하는 것도 이해할만 하다. 하지만 꼭 사이버 공격이나 사기를 경험하지 않은 사람이라도 스스로를 보호하기 위한 방책으로서 조금 더 자유롭게 신용 동결 및 해지를 자유롭게 할 수 있어야 한다고 생각한다. 아니, 이는 오히려 권장되어야 할 행동지침이다.

이메일 계정을 보호하거나 핸드폰을 새로 개통하는 것에 대해서는 매우 까다롭고 기술적인 논의가 진행되고 방법들이 고안되고 있는데, 왜 보험을 신청하거나 새로운 은행 계좌를 만드는 데에는 그렇지 않을까? 이게 말이 되나?

이제 곧 미국인 거의 대부분은 자신들의 영구적인 신분(주민등록번호나 건강보험 번호 등)을 암시장에서 찾을 수 있게 될 것이다. 이런 ID들이 통용되는 우리 사회 시스템의 기본 구조에 대한 고민이 필요하다. 신용 동결 신청이 ‘진상짓’이거나 쓸데없는 짓이라는 생각도 바뀌어야 할 때다.

글 : 리사 마이어스(Lysa Myers)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#신용   #제도   #변화   #깊숙   #해저   #심해   


정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)