check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

임종인 고려대 정보보호연구원장

“‘고객 정보 수집 기업’ 보안 강화 위해 ‘보안수준공시제’ 마련해야”

안은혜 기자 aeh629@cstimes.com 기사 출고: 2016년 08월 08일 오전 7시 41분
   
 

[컨슈머타임스 안은혜 기자] ‘IT강국’ 대한민국이 또 한 번 개인정보 유출사태로 시끄럽다. 지난달 말 ‘지능형 지속가능 위협’(APT) 형태의 해킹으로 인해 인터파크 1030만명의 고객 정보가 유출된 것.

인터파크는 해당 사항 발견 즉시 경찰청에 신고해 공조를 개시한 상태다. “고객 정보를 지키지 못한 것에 대해 변명의 여지가 없다”고 사과했다.

이번 사건으로 온라인 쇼핑몰 등의 개인정보보호 소홀 의혹이 도마 위에 올랐다.

고려대 정보보호연구원장인 임종인 교수에게서 이번 사건이 발생된 원인과 향후 유사사고 재발방지를 위한 방법론을 직접 들어봤다.   

Q. 이번에 벌어진 인터파크 개인정보 유출 사건은 어떤 내용인가

== APT 공격 방식의 해킹이었습니다. 매우 어려운 공격 방법이라고는 하지만 어떻게 보면 전형적이고 고전적인 방식이라고 할 수 있는데요. 정보에 대한 접근 권한을 가진 직원 명단을 입수해 알아낸 이메일로 악성코드를 심은 ‘낚시’ 메일을 보내는 방식입니다.

악성코드가 제대로 탐지되지 않은 채 해당 메일을 열어본 직원의 시스템이 감염됐고, 그 직원의 접근 권한을 이용해 인터파크가 보유한 고객 정보 가운데 절반 가량을 열람하고 해커가 가져간 거죠. 인터파크 상무급 임원으로 알고 있습니다.

Q. 미리 막을 수 없는 사건이었나

== 문제는 ‘권한 관리’라는 건데요. 자신의 직무와 관련이 있는 정보에만 접근해야 하는데 어떻게 1000만명의 고객 정보에 접근할 수 있는 권한을 개인이 갖고 있느냐는 겁니다. 이는 ‘권한 관리’라는 보안의 기본이 전혀 지켜지지 않았다고 볼 수밖에 없습니다.

최근에는 내부에서 외부로 정보 유출되는 경우가 많아 기업들이 내부정보유출방지(DLP) 솔루션 등의 시스템을 갖추고 있습니다. 이번에 인터파크가 당한 APT 악성 코드를 막는 APT솔루션도 있는데, 이러한 시스템들이 있었다면 제대로 작동하지 않았거나 관리 소홀이었다고 봅니다.

해킹을 당하고 협박 메일이 오기 전까지 해킹 사실을 두 달 간 몰랐다는 것도 문제입니다. 총체적인 관리 부실이라고 볼 수 있습니다.

Q. 우리나라에서 이런 일이 발생한 게 한 두 번이 아닌데

== ‘채찍’과 ‘당근’의 부족이 원인이라고 생각됩니다. 정보가 돈이 되는 세상이 되면서 돈을 노린 유사한 범죄들에 우리는 노출되어 있습니다.

고객의 정보를 수집해 보관하는 기업들은 관리 감독의 책임이 있습니다. 이를 준수하지 못해 유출 사태가 벌어진 것에 대해서는 강력한 민·형사적 책임을 물어야 합니다.

이번 인터파크 사건은 개인정보보호법과 정보통신망법 등이 개정된 뒤 첫 케이스로, 실제적 피해가 없다하더라도 징벌적배상제도라던가 법정배상제도 등에 따른 책임을 물어 ‘채찍’을 줘야 한다고 생각합니다.

아울러 보안강화에 투자를 많이 한 기업들에게는 ‘보안수준공시제’와 같은 형태의 제도를 만들어 ‘당근’을 줘야 합니다. 민간 신용평가기관 등으로부터 보안에 대한 신용등급 평가를 받아 자율공시 하도록 유도하면 선의의 경쟁을 통해 선순환이 이뤄질 수 있습니다.

Q. 개인정보보호를 위한 기술적, 관리적 보호조치 기준이라는 가이드라인이 마련돼 있다. 

== 개인정보보호 관련해서는 여러 가지 기준이 있습니다. 예를 들어 개인정보관리시스템인 ‘핌스’(PIMS, Personal Information Management System) 등과 같이 개인정보를 일정 부분 갖고 있으면 전체적으로 암호화할 수 있어야 합니다. 하지만 기업들에게는 부담스러운 일이죠.

그래서 적어도 제일 중요한 패스워드는 암호화해야 한다고 법적으로 의무화 시켰는데요. 일정 규모 이상의 기업들은 이를 따라야 합니다. 이번에 인터파크 역시 비밀번호만 암호화 했다고 밝혀 보호조치 기준의 허술함을 드러낸 것입니다.

   
 

◆ “보안은 사회적 문화”

Q. 사이버 범죄를 예방하기 위한 근본적인 해결책은 없나

== 매년 일정규모 이상의 기업들은 한국인터넷진흥원을 통해 정보보호관리체계인 ISMS(Information Security Management System) 인증을 받도록 돼 있는데요. 보안 수준의 ‘합격’, ‘불합격’을 평가받게 되는데 합격의 기준을 100으로 너무 높게 잡으면 많은 기업들이 인증을 받지 못합니다.

그래서 75~80으로 가이드라인을 잡는데요. ISMS 인증 받은 기업을 외부에서 보면 ‘보안 수준이 높겠구나’하고 보지만, 실제로 해킹은 1%의 틈만 있어도 이뤄지기 때문에 100% 장담할 수 없습니다. 때문에 ‘ISMS 무용론’이 나오는 겁니다.

기업들의 보안수준공시제를 마련해 95 이상으로 평가 수준을 자율적으로 올리도록 유도해야 할 필요가 있습니다.

Q. 정부와 기업, 개인은 어떤 노력을 해야하나

== 온라인 세상은 어쩔 수 없이 범죄에 노출될 수밖에 없습니다. 개인정보를 줘야 하고, 개인정보를 수집해야 하는 구조이기 때문에 위험성이 있기 마련이죠.

하지만 온라인 기업은 특히 소비자의 신뢰를 먹고 사는 기업입니다. 때문에 다양한 기술적 도구로 사이버 범죄를 예방하기 위해 투자를 아끼지 말아야 합니다. 소비자들 역시 너무 많은 개인정보를 요구하는 사이트는 피하는 등 정보보안에 대한 성숙한 태도를 가져야 합니다.

보안은 ‘문화’입니다. 보안에 실패한 기업, 특히 여러 가지 취약점이 있음에도 불구하고 방치한 기업은 ‘퇴출’도 감행해야 합니다. 앞서 언급했듯 채찍과 당근이 필요합니다.

◆ 임종인 고려대 정보보호대학원 교수는?

고려대학교에서 대수학 석·박사 학위를 취득했다. 1999년부터 고려대 정보보호연구원 원장을 맡고 있다. 국가정보원 국가보안협의회 위원, 청와대 국가안전보장회의 자문위원, 대검찰청 디지털수사자문위원회 위원장, 한국인터넷진흥원 설립위원회, 한국정보보호학회 회장, 국방부 정보화책임관 자문위원, 대통령 안보 특별보좌관 등으로 활동했다. 

ⓒ 컨슈머타임스(http://www.cstimes.com) 무단전재 및 재배포금지 [저작권문의]