2014년 첫 대형 보안 사고인 KB국민카드, 롯데카드, 농협카드들을 통해 1억 4,000만 건의 개인정보가 유출 관련해 지난 주 내내 시끄러웠습니다. 주요 커뮤니티 사이트에는 이번 사건으로 자신의 정보도 유출되었고, 이런 저런 스팸들이 벌써 오기 시작했다는 글들이 올라왔습니다. 관련해 카드사 홈페이지와 고객센터는 연결 조차 되지 않는 상태가 지속되고 있습니다.

보안 업계 조차 숨죽이는 이슈

이번 사건은 그 규모와 파장이 너무 크다 보니 보안 업계에서도 말을 아끼는 분위기입니다. 보통 대형 사건이 터지면 이런 솔루션으로 이렇게 막아야 한다는 식의 논리로 무장한 홍보성 자료들이 넘쳐 나는데 이번에는 조용히 추이를 관망하는 모습입니다. 반대로 정치권에서는 이 때다 싶은지 처벌과 대책 촉구에 대한 목소리 내기에 여념이 없습니다. 정치권과 반대로 업계가 숨죽이는 이유는 괜히 피해 금융사의 아픈 곳을 자극할 필요 없는 데다 이번 사건은 기술적 이슈라기 보다 명명백백한 인재의 성격이 짙기 때문이 아닐까 추측해 봅니다.

이번 사고의 원인은 카드사들을 대상으로 코리아크레딧뷰로(Korea Credit Bureau)가 위·변조 탐지 시스템 개발 프로젝트를 하면서 카드사들의 개인정보가 유출된 것입니다. 외주 개발 프로젝트 관련 데이터 유출/침해 사건이 난 것이죠. 이번 사건은 근본적으로 ‘인재’란 점이 분명합니다. 신규 시스템 개발 시 대부분 개발자들은 실제 데이터에 접근합니다. 이번 사건처럼 분석 성격의 시스템 개발의 경우 실제 데이터를 필요로 함은 더욱 분명합니다. 이번 사고를 인사라 보는 이유는 사전에 충분히 막을 수 있는 일이었기 때문입니다.

보안 관리 체제가 잘 돌아가는 곳은 데이터 몇몇 부분을 다른 숫자나 문자로 치환하여 외주 개발자에게 전달합니다. 개인정보가 담긴 컬럼 내 특정 숫자를 특수 문자로 치환해 개발자에게 주면 되는데 이게 사실 손이 많이 가죠. 이번 사고에서 개인정보가 유출된 카드사도 있지만 그렇지 않은 곳도 있다는 점은 바로 이 차이가 아닐까 추측해 봅니다. 데이터 암호화의 경우 개발 프로젝트에서는 어차피 암호를 풀어 실 데이터를 개발자에게 줘야 하기 때문에 문제의 해결책이 될 수 없습니다.

너무나 큰 파장이 일수 밖에 없는 근본적인 원인은?

이번 사고의 피해 관련해 금융 거래는 하는 경제 인구 전체라고 말들을 합니다. 실제 숫자만 놓고 봐도 피부에 딱 와 닿습니다. ITRC(Identity Theft Resource Center)의 집계에 따르면 미국 시장의 경우 2013년 619개의 사건이 있었다고 합니다. 민간 기업, 의료, 교육, 정부 등에서 데이터 유출이 있었는데 관련해 세어나간 개인정보는 5,790만 건에 달한 다고 합니다. 이런 저런 사건사고 다 합쳐야 이번 유출 건에 비할 수 없을 정도입니다.

이번 사건 사고의 파장이 큰 이유는 기업들의 무분별한 개인정보 수집이 주요 배경입니다. 이번 피해 금융사와 거래한 적이 없는데 왜 내 정보가 유출되었는지? 궁금해 하는 이들도 많은데 이들은 자신의 개인정보가 통신사나 다른 금융사 서비스에 가입하면서 서로 공유되기 시작했다는 것을 인지하지 못한 경우가 대부분 입니다.

최근에서야 개인정보 관련 경각심이 높아져 개인정보 활용 관련 문구를 제시할 때 꼼꼼히 보는 편이지, 불과 몇 년 전만 해도 다들 동의 체크 박스를 아무런 생각 없이 누르는 거나 사인을 하는 것이 일반적이었습니다. 이런 점을 노려 기업들은 필요한 조항을 넣었고, 관계사나 파트너 간 정보를 공유해 왔습니다. 별 생각없이 해오던 관행이 잠재적 피해를 키워 놓은 셈이죠. 늦은 감이 있지만 이번 사건 대책으로 고객 동의 없이 개인정보를 제휴사에 못 넘기는 장치가 마련된다고 합니다.

한 때 넘기는 식의 도의적 책임보다 개개인 고객을 위한 실질적 대안이 필요

이번 사건에 대한 대책으로 피해 금융사들이 내놓은 것은 개인정보 유출로 인한 카드 고객 피해를 전액 보상하겠다는 것입니다. 현 시점에서 보면 대의적 책임보다 피해자 하나하나를 위하는 차원의 구체적인 대책이 나와야 하지 않을까 생각해 봅니다. 피해 당사자들은 불안한 마음에 카드, 통장 재발급을 받아야 하지 않나 고심하고 있는데, 연락도 안되고 안내도 없는 상태에서 그저 피해가 생기면 보상하겠다는 말이 어떻게 들릴까요? 신뢰감을 가지고 금융사들이 알아서 다 해주겠지 기다릴까요? 여기에 또 다른 문제가 있습니다. 디지털 세상은 분명 정보 비대칭이 존재합니다. 정보에 민감한 이와 그렇지 못한 경우가 분명 존재합니다.

최근 말 많은 휴대폰 보조금만 해도 정보를 잘 찾아 내는 이들과 근처 가맹점을 방문하는 이들의 차이를 상징하는 말이 ‘호갱’입니다. 금융 서비스 역시 정보력이 있는 이들은 스스로 알아서 챙기는 분위기이지만 그렇지 않은 일반 대다수 금융 서비스 이용자는 이번 사태의 심각성 조차 모르고 있습니다. 그저 스팸 문자나 전화 몇 통 더 걸려 오겠지 정도로 여길 것입니다.

이번에 유출된 데이터의 종류를 보면 스미싱이나 피싱과 같은 디지털 사기뿐 아니라 최악의 경우 유출된 개인 정보를 가지고 신용카드나 직불카드를 만들 수 있는 정도입니다. 하지만 실제 카드 복제 관련 블랙마켓에서 자신의 정보가 활용될 수 있을 것이라 우려하는 이들은 많지 않을 것입니다. 이번 사건에서 호갱이 안 되려면? 이런 관점에서 다양한 관점의 이야기들이 좀 많이 나왔으면 하는 바램입니다.