잇단 개인정보유출, 금융권 해킹 어떻게 막을까

징검다리 휴일이 끼어 있는 5월이다. 우리에게는 간만에 찾아온 단비와 같은 연휴이다. 하지만 , ‘사이버 테러리스트’들에게는 ‘하나의 기회’가 될 수 있다. 감시가 소홀해지는 틈을 타서 ‘사이버 테러’를 일으킬 수 있기 때문이다. 두 달 전 각종 언론 매체와 실시간 검색어에서 ‘사이버 테러’와 관련된 말을 볼 수 있었다.

출처 : http://sweetinside.tistory.com/457

바로 '3.4 DDoS 공격'이다. 공격자는 평일 업무를 마감하고 주말이 시작되기 전인 금요일 저녁에 공격을 계획했다. 하지만, 사전에 그 정황이 포착되자 계획을 바꾸어 오전부터 공격을 감행했다. 이처럼 공격자는 보안 관리가 소홀해질 수 있는 시기를 공격 시점으로 계획한 것이다.
 
‘3.4 DDoS’ 외에도 최근에 고객 개인정보 유출, 금융기관의 보안 사고 등이 잇달아 발생했다. 3월 16일 대한상공회의소에서는 기업 정보보호 이슈를 논하는 ‘Security Forecast 2011’ 세미나가 열렸다. 다양한 주제 가운데 최근 핫이슈인 개인정보보호법에 근거해 기업이 갖춰야 할 개인정보보호 문제와, 금융 IT의 현재와 미래 전략 내용을 요약 소개한다.

기업이 갖춰야 할 개인정보보호 수준 -  YOUME 법률사무소 전응준 변호사

3월 11일 국회 본회의에서 ‘개인정보보호법’이 통과됐다. 이 법은 어떠한 인식에서 발의되었는가?

첫째, 2009년 통계 결과 개인정보 침해 사고는 3만 건에 달했다. 하지만, 침해 사고 중 68%는 정보통신망법(이하 망법)에 의한 보호를 받지 못했다. 이처럼 개인정보 침해 사고는 그 동안 법의 사각지대에 놓여 있었다. 둘째, 기존 망법은 컴퓨터에 의해 처리되는 개인정보에 대해서만 효력이 있었다.

9월부터 시행되는 ‘개인정보보호법’은 컴퓨터에 의하여 처리되는 개인정보 외 손으로 기록된 문서(오프라인 영역)를 모두 포함한다. (참고: 정보통신 분야는 개인정보보호법 제정 이후에도 망법을 따른다.)

한편, 개인정보 수집 시에 ‘최소한의 개인정보 수집에 대한 입증 책임은 사업자가 부담한다'는 항목이 있다. 이 항목에 때문에 웹사이트에서 회원 가입 시 동의 절차에서 문제가 생길 수 있다. 보통 동의를 하지 않으면 가입이 안 되는데, 만약 이 문제를 개인이 법적 문제 제기를 할 경우 사업자는 ‘최소한의 정보’라는 것을 증명해야 한다.

또한 ‘개인정보 영향평가’라는 항목이 새로 생겼다. 영향평가를 안 하는 기업은 소니, 현대캐피탈 사태와 같은 개인정보 유출 사고 시에 손해배상 책임 범위가 더 커질 것으로 예상된다. 그리고 이전에는 개인정보 유출 사고 시 기업 혼자 끙끙 앓았다. 그리고 기업 자체적으로 문제를 해결한 다음 없었던 일로 해왔던 것이 관례이다. 하지만, 앞으로는 지체 없이 해당 정보 주체에게 사실을 알려야 한다. 그리고 KISA와 같은 전문 기관에 지체 없이 신고해야 한다. 신고를 안 하고 있다가 피해가 확대되면 담당자가 그 부담을 안게 된다.
  
개인정보보호법의 의의
1. 법 적용 사업자 영역 확대 : 개인정보 보호를 업무 프로세스에 적용해야 한다.
2. 개인정보의 보호 범위 확대 : 종이 문서에도 보안, 보호를 해야 한다.
3. 개인 고유 식별 번호 보호 강화 : 주민등록번호와 같은 고유 식별 번호를 사용하지 못 하는 경우도 생길 수 있으므로 기업의 비즈니스 모델도 변화할 것 같다.

개인정보보호법이 시행되면 기업의 사회적 비용이 추가될 것이다. 그러나 개인정보 보안은 전세계적인 트렌드이므로 기업이 꾸준히 잘 대응해서 자사에 맞는 사업 모델, 프로세스를 정립하는 것이 좋다.

금융 IT의 현재와 미래 전략 – 고려대 김인석 교수

- 금융 IT의 현재 -
  
금융 거래 이용 수단을 보면 인터넷 뱅킹은 적정선에서 계속 유지되고 있다. 반면, 모바일 뱅킹은 점점 더 늘어나고 있다. 스마트폰 가입자가 늘어나는 것이 모바일 뱅킹에도 영향을 준 것이다.

사고, 장애 현황을 보면 2009년까지는 ‘노출된 개인정보’를 이용한 사고가 많았다. 그러나 2010년부터는 사고 발생 수는 감소했으나 신용카드 복제 사고, 시스템 마비 등의 새로운 사고가 발생했다. 특히 DDoS 공격 시에는 금융업계에서는 항상 대응을 하고 있어서 큰 문제가 없었다. 이번 3.4 DDoS는 7.7 때와 거의 비슷한 공격이 들어와서 큰 피해가 없었다. 하지만, 큰 피해가 없었던 것이 대응을 잘하는 것이라고 볼 수 있을까? 아니다. 지금과는 다른 형태의 공격이 올 수 있다는 것을 생각해서 방어 대책을 마련해야 된다.

- 금융 IT의 변화-

IT 인프라가 변화하고 있다. 그 중 항상 휴대할 수 있는 개인 디바이스(예: 스마트폰)가 눈에 띄게 발전하고 있다. 이로 인해서 편의성과 효율성이 증대했다. 그리고 NFC(Near Field Communication), IPTV 등 신개념의 거래 수단이 확대되고 있다. NFC를 이용해서 신용카드 결제와, 전자화폐 충전(예: T-Money) 등이 가능하다. 현재 IPTV 뱅킹이 있는데, 이것이 활성화하려면 PC와 Phone이 결합된 스마트폰처럼 PC와 TV가 결합되는 IPTV의 업그레이드가 필요하다.

IT 인프라의 변화에 따라 새로운 위협이 발생할 수 있다. 클라우드 컴퓨팅 환경을 겨냥한 위협, DDoS 등 해킹 공격이 증가할 것이다. 그리고 다양한 거래 채널이 만들어진다는 것은 그만큼 다양한 공격 루트(route)가 생긴다는 것으로 볼 수 있다.

한편, 개인정보보호법이 제정됨에 따라 주민등록번호나 계좌번호와 같은 정보를 암호화해야 한다. 하지만, 무조건 법에서 요구하는 대로 한다면 상당한 비용과 시간이 소요될 것이다. 그러므로 현재 시스템에서 수용 가능한지 봐야 할 것이다. 

출처 : http://thetaekwonvlab.tistory.com/45

- 변화에 대한 대응-
 
금융감독원에서는 기존 인터넷 뱅킹과 유사한 기준을 스마트폰 뱅킹에도 적용하기를 바란다. 하지만, 기존 정책을 그대로 적용하면 새로운 기기의 사용과 발전을 저해할 수 있음을 고려해야 한다.

사용자는 우선 확인되지 않은 무선망을 이용하지 말아야 한다. 불법 무선공유기를 이용하여 비정상적인 서비스 접근을 유도하는 위협이 발생할 수 있기 때문이다. 또한 암호화가 제대로 안 된 무선망도 사용하지 말아야 한다. 스마트폰에서 계좌 정보 같은 중요 정보가 빠져나갈 수 있기 때문이다. 한편, NFC를 이용하면 가져다 대기만 해도 결제가 되는데, 이때 본인 확인을 어떻게 할 것인가가 문제다. 이에 대한 해결책으로는 스마트폰에 지문 인식 기능을 넣는 것이 있다. 지문 인식처럼 생체 정보가 보안에 가장 좋을 것 같다.

계속되는 IT 환경 변화에 신속하지 않으면 경쟁을 할 수 없을 것이다. 그리고 신속한 대응이 없다면 사고 및 장애가 일어나기 마련이다. 이런 사고들은 여러 기관에 치명적인 영향을 줄 수 있다. 이처럼 강화되는 IT 거버넌스(Governance)는 피할 수 없는 현실이다. 그 동안 보안에 대한 계획은 많이 해왔다. 앞으로는 그 계획을 실천해야 하는 중요한 시기라고 생각한다. Ahn

대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 안철수연구소 대학생기자 김재기입니다.