전체메뉴

닫기

<일요초대석> 오희국 한국정보보호학회장 '보안을 말하다'

“정보유출 대란, 이상하죠? 심각한데 국민들은 침착하니…”

[일요시사=경제2팀] "보안의 시작은 어떤 것도 신뢰하지 않는 것이다.”
오희국 한국정보보호학회 신임 회장(한양대 교수)이 보안의 출발점에 대해 말했다. 오 회장은 "아무것도 믿을 수 없는 환경에서 검증을 통해 신뢰할 수 있는 상태로 만들어가는 것"이라며 "결국 보안은 신뢰를 향해 가는 것"이라고 강조했다.

최근 KB국민, 롯데, NH농협 카드3사, KT, 티몬, CJ대한통운 등 고객정보 유출 사건이 줄줄이 터졌다. 이번에는 카드3사에서 유출된 개인정보가 대출 중개업자에게 추가로 팔린 사실이 드러났다. 2차로 판매된 개인정보는 1억 건에 육박한다.

"이번 개인정보유출 사태는 20년 만의 대형 붕괴 사건입니다. 과거 1994년 성수대교, 1995년 삼풍백화점이 무너졌던 만큼 심각한 상황이라는 이야기죠. 그런데 국민들의 반응이 의외로 침착합니다. 다들 체념했기 때문이죠."

오희국 한국정보보호학회 회장이 연이어 터지는 기업들의 정보유출에 대한 국민들의 반응에 씁쓸해했다. 오 회장도 개인정보 유출 사태를 피해갈 수 없었다. 그는 "국민카드, 롯데카드 확인해보니 나도 털렸다"며 "안 쓴 지 10년이 넘은 카드사 정보도 털렸다"고 웃었다. 안산의 한양대 캠퍼스 연구실에서 오희국 한국정보보호학회 신임 회장을 만나 정보유출 사태에 대한 이야기를 들어봤다. 다음은 오 회장과의 일문일답.

- 최근 카드3사 정보가 또다시 유출됐다.

▲ 우선 카드3사 1차 고객정보유출 당시 금융당국의 안이한 대책에 있다. 1차 고객정보 유출 사태 후 금융당국은 유출된 정보를 '회수'했다며 국민들에게 안심하라고 했다. 유출정보를 '회수'했다니, 정말 말도 안 되는 표현이다. 어떻게 디지털 정보를 '회수했다'고 말할 수 있는가.


우리 학회에서 정말 경악했다. 디지털 정보는 결코 회수할 수 없는 정보이기 때문이다. 어떤 것이 원본인지 복사본인지 구분할 수 없다. 디지털 정보의 속성조차 모르는 금융당국의 태도에 2차 정보유출사태는 예상할 수밖에 없는 결과였다.

- 금융사들은 오히려 억울하다는 입장인데.

▲ 이번 사태는 어떤 고급기술을 가진 뛰어난 해커들에 의해 유출된 것이 아니다. 보안은 사슬과 같다. 모든 것이 단단해도 하나만 터져도 보안은 붕괴된다. 그런데 금융사들은 사용자의 개인정보를 소중하게 생각하지 않았다. 철저한 감시는커녕 USB 통제도 허술했고, 고객정보에 대한 원본데이터도 덥석 외주업체에 넘겨줬다. 그만큼 내부통제가 허술하다보니 보안망이 쉽게 뚫린 것이다. 명백한 인재다.

- 인증수단은 적절한가. 해커들의 개인정보 수집 가치를 떨어뜨릴 수 있는 방안이 있다면.

▲ 주민등록번호를 대체할 수 있는 식별 번호가 필요하다. 애초부터 주민등록번호가 인증수단이 되는 것이 적절하지 않다고 본다. 주민등록번호 자체는 한 사람에게 부여하는 고유의 ID로서의 기능만 해야 한다. 쉽게 바꿀 수 있는 카드 번호나 비밀번호와 달리 주민번호는 바꾸기 어렵다. 불변의 정보다. 그런데 외국과 달리 우리나라는 주민번호를 요구하는 곳이 너무 많다.

비밀스러워야 하고 다른 사람이 알아서는 안 되는 정보가 너무 쉽게 이용되는 셈이다. 이미 주민등록번호는 많은 곳에 퍼져있다. 또한 불행하게도 주민등록번호 안에는 개인의 많은 정보가 담겨있다. 주민번호만 알아도 그 사람에 대한 정보가 나온다. 생년월일, 지역, 성별까지 알 수 있다. 그래서 찝찝한 거다. 식별 가능한 정보들을 암호화해서, 나중에 누군가 빼가더라도 알아볼 수 없게 만들어야 한다.

- 비용이 너무 많이 들 것 같다. 다른 방법은 없나.


▲ 비용이 들더라도 암호화해서 저장하는 방식을 추천할 수밖에 없다. 가장 강력한 인증수단은 지문인식이나 홍채인식이다. 그런데 너무 강력해도 문제다. 지문인식, 홍채인식은 한번 노출되면 바꿀 수 없기 때문이다. 추천할 만한 방식은 아니다. 노출이 되더라도 쉽게 바꿀 수 있는 인증체계를 도입해야 한다.

- 외국은 어떻게 관리하나.

▲ 미국의 경우 주민번호를 인증수단으로 요구하지는 않는다. 미국은 소셜시큐리티넘버(SSN)로 인증을 하기도 하지만 인터넷에서 인증을 요구하지는 않았다. 회사자체에 인증 수단을 갖춰놓았다. 따라서 어떤 은행에서 고객정보 유출사태가 터졌다 해도 해당 은행 거래자의 정보만 유출된다. 그런데 우리나라의 경우 대부분 주민번호를 인증수단으로 쓰다 보니 한번 터지면 다 같이 터지는 것이다.

주민번호 자체가 개인정보…단순 ID화 절실
"정보 회수했으니 안심? 이미 엎질러진 물"

- 해커들은 주로 어디를 노리나.

▲ 역시 금융사다. 돈이 관련된 은행, 카드사 등의 금융사 정보가 가장 효용가치가 높다. 금융사 고객의 정보는 마케팅에 쓸 수 있는 정보들이 많이 담겨있기 때문이다. 특히 은행과 카드사의 고객정보는 그 사람의 재정 상태까지 알 수 있어 이용가치가 높다. 금융사의 고객 신용정보를 통해 어떤 사람이 대출받을 만한 상황인지 파악이 된다. 해커들 입장에서도 팔아넘기기 굉장히 좋은 정보다.

- 그렇다면 소규모 사이트의 보안은.

▲ 쇼핑몰 등 작은 업체들의 보안 상태는 너무나 취약하다. 보안에 신경 쓸 여력도 없고 거의 뚫려있다고 보면 된다. 웹하드 업체를 조사한 적 있는데 이곳 보안도 굉장히 취약한 것으로 보였다. 밝혀지지 않았을 뿐 이미 많은 정보들이 유출됐을 것이다. 다만 업체 규모가 워낙 작다보니 고객정보 양이 많지 않고, 금융사처럼 재정 상태에 대한 정보가 없어 해커들에게 매력적인 곳은 아니다. 털어봐야 별 게 없기 때문이다.

- IT투자 현황 등 국내 보안의식은.

▲ 보안은 지속적으로 투자가 이뤄져야 하는 분야다. 보안은 보초와 같다. 따라서 보안투자는 국방비의 개념이다. 하지만 기업들은 보안이 이익창출에 직접적인 영향을 주지 않는다고 보안투자를 말 그대로 나가는 돈이라고만 생각하고 있다. 그런데 이번 사태를 보면 보안을 못해서 잃는 손실이 너무 많지 않은가. 지난 2011년 농협에서 고객정보를 유출했다.

이후 금융사들이 부랴부랴 보안투자를 잠깐 늘린 적이 있다. 그러다 1년쯤 지나면서 조용해지니까 금융사들이 또다시 보안을 방치하기 시작한 것이다. 보안투자를 동결하거나 더 줄였다. 특히 이번에 고객정보를 유출한 카드3사(KB국민, 농협, 롯데카드)는 지난해 모두 보안투자를 줄였다. 전쟁 평화시라고 국방비를 안 쓴 것이나 마찬가지다.

- 기업과 금융당국의 자세는.


▲ 안보는 외주에 맡겨서는 안 된다. 보안 작업은 내부에서 전문 인력을 채용해서 작업을 해야 하는데 대부분의 기업들은 보안작업을 외주에 맡겨버린다. 여기서 사고가 터지는 것이다. 금융사의 경우에도 비대면 업무가 90%를 차지할 정도로 IT화되고 있다.

그만큼 IT분야가 전문화돼야 하는데 대부분의 IT업체들은 소규모 형태다. 금감원, 금융위원회 등 금융당국에도 IT분야 전문가가 거의 없는 것으로 보인다. 보안 전문가가 있더라도 의사 결정하는 데 참여하지 못하는 분위기다. 많은 분야가 IT화 되고 있는데 IT에 투자하는 예산은 터무니없이 적다. 시대는 변하는데 정부의 IT 개념은 아직도 과거에 머물러 있다.

 

박효선 기자 <dklo216@ilyosisa.co.kr>

 

[오희국 회장은?]

▲한국정보보호학회 19대 회장
▲방송통신위원회 민관합동조사단 위원
▲경기도의회 정보화위원회 위원
▲대검찰청 디지털수사자문위원
▲한양대학교 컴퓨터공학과 전임교수
▲한국전자통신연구소 선임연구원

저작권자 ©일요시사 무단전재 및 재배포 금지

독자 여러분들의 제보가 세상을 바꿉니다. jebo@ilyosisa.co.kr

박효선 기자 의 전체기사 보기
배너

설문조사

진행중인 설문 항목이 없습니다.

많이 본 뉴스

댓글 많은 뉴스

일요시사 주요뉴스

<단독 입수> 노상원 수사 기록 ②부정선거에 꽂힌 내막

[단독 입수] 노상원 수사 기록 ②부정선거에 꽂힌 내막

[일요시사 취재1·정치팀] 오혁진·박희영·김철준 기자 = 12·3 내란 사태가 발생한 지 6개월이 지났다. 특검이 출범하면서 관련 수사도 발 빠르게 진행되고 있다. 현재까지 여러 언론을 통해 핵심 인물들의 수사 기록이 일부 보도됐다. 그러나 노상원 전 정보사령관에 대한 내용은 구체적으로 언급된 바 없다. <일요시사>는 경찰 비상계엄 특별수사단의 ‘노상원 수사 기록’을 단독으로 입수해 공개하기로 했다. “부정선거 증거가 차고 넘치고 나중에는 드러날 것이다.” 노상원 전 국군정보사령관이 수사기관에 진술한 내용이다. 그가 윤석열 전 대통령과 김용현 전 국방부 장관처럼 부정선거 음모론에 꽂혀 있다는 걸 알 수 있는 대목이다. 노 전 사령관은 윤 전 대통령의 지지자들이 주최하는 집회에도 적극적으로 참여했다. 사실상 수년 전부터 망상에 빠져있었다고 볼 수 있다. 같은 생각 노 전 사령관이 윤 전 대통령 지지자들이 주도하는 부정선거 음모론 집회에 참여하기 시작한 건 2년 전부터로 추정된다. <일요시사>가 입수한 노 전 사령관 수사 기록에 따르면 그는 부정선거 음모론 집회와 전광훈 사랑제일교회 목사의 집회에 여러 차례 참여했다. 노 전 사령관이 전 목사와 개인적으로 알았는지는 확인되지 않았다. 다만 노 전 사령관은 김 전 장관에게 집회에 참여할 때마다 당시 분위기와 참석자들이 윤 전 대통령을 어떻게 생각하는지에 대해 텔레그램으로 자신의 의견을 전달했다. 1년간 ‘극우 집회’를 분석한 노 전 사령관은 부정선거 음모론에 집착하기 시작했다. 그는 “문상호, 정성욱, 김봉규 등과 만날 때 주로 어떤 말을 했느냐”는 경찰 측의 질문에 “선관위를 얘기했는지는 잘 모르겠는데 선관위가 부정선거의 온상이라고 김용현 전 장관이 많이 말씀하셨다. 나에게도 여러 번 선관위의 부정선거에 대해 알아보라고 지시했고 네이버로 찾아도 봤다”고 말했다. “부정선거를 주로 누구에게서 들었냐”는 경찰 측의 질문에는 “관련 집회에 여러 번 참여하면서 들었고 특정 인물이 누구인지 실명을 거명하긴 그렇다. 나도 김 전 장관에게 보고를 해야 해서 스스로 공부도 많이 했다. 여론조사 조작이나 선거 부정은 합리적인 근거가 있다”고 했다. 전 주도 윤 지지자 극우 집회 직접 참석 김과 텔레그램으로 부정선거 자료 공유 노 전 사령관은 부정선거의 근거로 “선관위 산하에 여론조사심의위원회가 있다. 여론조사기관은 여론조사심의위에 등록해야 한다. 여론조사기관의 갑이다. 여론조사심의위원회는 9명으로 위원장 이대영 사무총장과 강성봉 등이고 그 밑에 쭉 있는데 7명이 진보 계열 인물이다. 여론조사기관이 편향되어 있지 않을 수 없는 것이다”고 주장했다. 노 전 사령관은 부정선거 음모론자들이 주장하는 임시선거사무소에 대해서도 언급했다. 그는 “네이버에 검색하면 다 나오는데 2021년 국회의원 선거 때 동작구 선거사무소가 있는데 옆을 임대해서 임시선거사무소를 만들었었다. 언론에 나오니까 발뺌했었고 김 전 장관에게 보고하자 김 전 장관이 더 많은 자료를 보내 줬었다”고 했다. 노 전 사령관은 중앙선거관리위원회(이하 선관위)의 부정선거가 확실하다며 “결국에는 다 까질 것이다. 전산은 한 번 까지면 되돌릴 수가 없다. 폭파하거나 고물상에 갖다 버리지 않는다면 전산은 결국 까진다. 북한이 쳐들어온 것도 아니고 서울 상공에 포를 쏜 것도 아니지만 윤석열 전 대통령께서는 선관위의 부정선거가 확실하다고 생각하시고 정국이 전시에 준하는 사태라고 민감한 상황이라고 보신 것 같다. 그런 상황이 아닌데도 그렇게 행동한 건 그만큼 절박했기 때문이라고 본다. 2시간짜리 호소였다. 만약 국회 결정을 윤 전 대통령께서 받아들이지 않았다면 유혈사태가 났을 것”이라고 윤 전 대통령을 옹호했다. 노 전 사령관은 지난해 12월 초, 선관위가 서버 교체를 검토했다가 교체하려 했던 것을 두고 “윤 전 대통령께서 어디에선가 확실하고 핵심적인 정보를 들으셨을 것 같다. 서버 조작이 있었기에 그 서버를 우리가 확보하려 할 때 선관위 측이 폭파했을 수도 있다”고 말하기도 했다. <일요시사>가 입수한 여인형 전 방첩사령관의 군검찰·검찰 피의자 신문조서를 보면 윤 전 대통령은 지난해 8월 초 ‘정보사 군무원 간첩 사건 수사 결과’를 보고받는 자리에서 더불어민주당(이하 민주당) 대표였던 이재명 대통령을 포함한 정치인 등 인물들에 대해 “비상대권을 사용해 이 사람들에 대해 조치를 해야 한다”며 “현재의 사법체계, 형사소송법, 방탄국회 및 재판지연 아래에선 이런 사람들을 어떻게 할 수 없다”고 주장했다. '이재명 조치’ ‘2시간짜리 계엄’ 겹치는 윤·노 발언 "서버 확보하려 했다면 선관위가 폭파했을 것” 주장 윤 전 대통령이 “비상대권을 사용한 조치”를 언급한 건 한두 번이 아니다. 그만큼 이 대통령과 자신의 의견을 거스르는 인물들에 대한 복수심이 극에 달했던 것으로 해석된다. 이는 노 전 사령관도 마찬가지다. 노 전 사령관은 경찰에 “김용군(대령)과 구삼회 등에게 ‘이재명은 죄가 7개인데 봐주고 지연시키고 구속도 안 되고 당 대표까지 하는데 더불어민주당이 감사원장, 중앙지검장, 판사 등을 모두 탄핵하려고 하는 게 과연 올바른 세상이냐’고 한 적이 있다”고 진술했다. 윤 전 대통령과 노 전 사령관이 언급한 말이 일치하는 건 이뿐만이 아니다. 윤 전 대통령은 지난해 12월12일 “국정원 직원이 해커로서 해킹을 시도하자 얼마든지 데이터 조작이 가능했고 비밀번호도 아주 단순해 ‘12345’ 같은 식이었다”고 주장한 바 있다. 노 전 사령관도 “선관위가 헌법기관인데 스스로 깨끗해야 하거나 아무런 문제가 없어야 하는데 황제·세자 채용 등 문제가 나왔다. 각종 할 수 있는 최악의 것은 다 저질렀다. 그리고 전산 해킹이 언급될 때 서버 본체를 보여준 것도 아니고 일부 샘플만 살짝 보여줬는데 얼마든지 전산 조작이 가능하고 해킹에 얼마나 취약하면 비밀번호가 ‘1234’냐. 이미 그런 게 다 나왔다. 그렇게 떳떳하면 왜 본체를 못 열어주나”고 말했다. 그러나 조태용 국정원장은 같은 해 12월 검찰 조사에서 “선관위 시스템에 보안상 취약점이 발견됐지만, 부정선거에 관한 단서는 전혀 포착하지 못했다”는 내용으로 보고했다고 진술했다. 일각에서는 노 전 사령관이 윤 전 대통령과 직접 비화폰으로 연락을 주고받았을 것이라는 보고 있다. 실제 노 전 사령관도 지난해 12월2일 자신의 지인에게 윤 전 대통령과의 친분을 과시했다. 노 전 사령관은 당시 “나 같은 경우는 브이(V, 윤 전 대통령 지칭)하고 이렇게 좀 도와드리고 있다. 원래 한 4~5년, 3~4년 전에 알았다뿐이고 그래서 이제 뭐 이렇게 여러 가지로 좀 도와드리고 있다. 비선으로”라고 했다. 친분 과시 노 전 사령관은 안산 ‘롯데리아 회동’에 참석했던 구삼회 전 육군 2기갑여단장에게도 “며칠 전에는 김용현과 함께 대통령도 만났다. 갈 때마다 대통령이 나한테만 거수경례를 하면서 ‘사령관님 오셨습니까’라고 한다. 내가 이런 사람이다. 대통령과 장관 같이 만난다. 나는 벌써 여러 번 만났다”고 했다. <hounder@ilyosisa.co.kr> <hypak28@ilyosisa.co.kr> <kcj5121@ilyosisa.co.kr>
기사 더보기 :