요 근래 가장 호황을 누린 솔루션이 무엇일까요? 정답은 바로 개인정보에 대한 암호화 솔루션이었습니다. 현재 정부의 대응은 옥션판결에서도 알 수 있지만 크래킹에 의한 개인정보유출을 인정하는 분위기 입니다. 즉 '주민번호를 포함한 개인정보가 털리는 것은 어쩔 수 없으니 유출되도 사용 못하도록 암호화 해라' 이런 식입니다.
옥션의 개인정보 유출사건 이후에도 모 포탈에서 사용자의 개인정보를 크래커들에게 유출되었고, 이 사실을 은폐하기 위해서 2억원인가를 모 보안사이트에게 준 일이 있습니다. 재밋는 사실은 모 보안사이트가 이 사실을 알게된 원인이 옥션의 개인정보 유출사건을 추적하다 우연하게 모 포탈의 유출을 알게 되었다는 점입니다. (모 포탈이 어딘지 물어보지 마세요. 대답 안해 드립니다)
개인정보유출을 막는 것은 솔루션으로 불가능합니다. 암호화도 결국은 암호를 해제하는 솔루션이 나올것입니다. 제일 좋은 방법은 외국처럼 사이트에서 주민번호를 받지 않는 방법 일 것입니다. 언제까지 중국 해커들에게 한국 사용자들의 개인정보가 10원에 팔려야 하는지, 그리고 그로인해 얼마나 많은 사람들이 메신저피싱 피해를 당해야 하는지 궁금할 따름입니다.
아래글은 니오가 2001년에 아이비즈넷(www.i-biznet.com )에 썻던 컬럼입니다. 근 10년이 지난 지금이나 그때나 바뀐게 없네요.
개인정보유출을 막을 방법은 정녕없는가? (2001년 작성한 아이비즈넷 컬럼)
작년 말 650 만 명의 개인정보유출사건이 있은 지 불과 5개월도 안되어 또다시 기록을 경신하는 사건이 발생했다. 이번 사건도 작년에 있었던 개인정보 유출사건으로 불구속 입건됐던 동일 10대 크래커 의해 일어난 사건으로 성명, 주민번호, 주소, 연락처, e-메일주소 등이 포함된 개인정보 뿐만 아니라 신용카드번호, 은행계좌번호 또는 현금카드번호가 포함된 금융정보 및 연봉 등 소득 관련정보를 포함한 매우 심각한 수준이다.
19세 김군과 16세인 이군은 신용카드결재 승인처리업체 1개를 비롯, 9개 일반 인터넷사이트에 침입해 780만여명의 개인정보, 개인금융정보, 개인소득정보를 빼내어 리서치업자에게 판매하려 하였다. 구체적 판매가격으로는 성명, 주민번호, 주소, 연락처, e-메일주소 등이 포함된 개인정보는 1인당 50원, 성명 등 기본정보에 신용카드번호, 은행계좌번호 또는 현금카드번호가 포함된 개인정보는 1인당 300원, 성명 등 기본정보에 연봉 등 소득 관련정보가 포함된 개인정보는 1인당 600원으로 가격을 매겨 이에 대한 ‘광고메일’을 2천 여명에게 발송했다.
이들의 광고메일에 대해 5~6명은 ‘정보내용을 확인 싶다’고 답신을 보내왔으며, 김군은 이들에게 다시 ‘샘플 정보’를 보내준 것으로 밝혀졌다. 경찰은 거래가 성사되기 직전 첩보를 입수하고 김씨 등을 검거, 이들이 가지고 있던 개인정보자료를 회수했다고 밝혔다.
이사건의 중대한 문제점은 우선 작년사건에 이어 동일한 10대에 의해 저질러 졌다는 점이다. 다시 생각해 보면 작년에 처음 김군이 불구속 입건되었을 때 사건이 제대로 처리되어 종결되었다면 동일인에 의한 사건이 재발되지 않았을 수도 있다. 반년도 채 안되어 그때보다 훨씬 더 많은 수의 개인정보와 또한 그때는 없었던 신용카드정보, 계좌정보 같은 금융정보 같은 몇 단계 업그레이드 된 개인정보 유출사건의 발생은 이보다 더한 개인정보 유출사고가 또다시 재발 할 수 있다는 개연성을 높여주고 있다.
두번째 문제점은 국내의 모든 신용카드회사와 연결돼 있는 신용카드결제 승인처리 업체가 크래킹을 당했다는 점이다. 이들은 지난 3월 경기 평택시에 위치한 이군 집에서 모신용카드결제 홈페이지에 접속, 국세청 의뢰로 이 회사에서 관리중인 ‘신용카드 영수증 복권당첨자’ 47만명의 개인정보를 훔쳐냈다. 일반기업들의 사이트 보안 역시 철저해야 겠지만 신용카드결제 승인 처리업체는 일반적인 사이트와 입장이 분명 다르다. 보안이 곧 그 회사의 전부라고 할 수 있다. 그런 곳에서 그렇게 쉽게 크래킹 당한다는 것은 근본적으로 그 회사가 신용카드 승인 업무를 담당할 만한 자질이 있을까 하는 의구심을 갖게 한다. 또한 그런 회사에 신용카드 영수증 복권 관련 업무를 의뢰한 국세청 역시 책임을 면하기 힘들다.
신용정보 유출로 인해 발생한 사건의 예를 보면
A신용카드회사 원주영업소에서 근무하는 진모(30)씨는 작년 말 사무실에 설치된 컴퓨터 단말기를 중앙전산망과 연결, 카드회사 회원들의 명단을 모조리 훑어봤다. 카드회사 회원 중 연체가 없고 신용상태가 좋은 회원 38명의 인적사항을 뽑아냈다. 진씨는 이들의 이름으로 신용카드 38개를 발급받아 5145만원을 빼내 사용하다 경찰에 붙잡혔다. 진씨는 경찰 조사에서 “컴퓨터 전산망을 통해 다른 사람의 인적사항을 알아내기가 너무 쉬웠다”고 털어놓았다.
이 사건에서 보듯이 개인정보와 인적사항만 가지고 있으면 얼마든지 타인의 이름으로 카드를 발급 받아 사용 할 수 있으며 김군이 크래킹한 정보를 이용한다면 카드뿐만 아니라 개인이 가지고 있는 예금이나 증권 같은 동산에서부터 토지나 아파트 같은 부동산에 이르기까지 피해의 규모는 예측 할 수 없을 만큼 클 수 있다.
세번째 문제점은 크래킹은 언제나 있을 수 있지만 이런 스타일의 개인정보와 금융,자산정보의 대량유출 사건은 유독 한국에서만 일어났다는 점이다. 외국에서의 크래킹사건은 대개 웹사이트를 공격하여 서버를 다운시키거나 또는 정부기관의 정보를 유출하는 사건이 많이 일어나며 중국이나 미국에서 신경전을 벌이는 국가 대 국가의 크래킹사건이 주류를 이룬다.
이번 사건처럼 800 만 명에 가까운 대규모의 개인신상정보, 특히 개인금융정보에 대한 유출사건이 일어난 예가 없다. 외국 사이트에서 어떤 결제를 할 때 요구되는 개인정보는 기본적으로 카드번호밖에 없다. 물론 배송을 위한 주소나 연락처를 받기는 하지만 한국처럼 실명정보와 주민등록번호를 기재하라고 하지는 않는다. 그렇기 때문에 만약에 카드번호가 유출된다면 그 카드에 관한 피해로 한정되는 구조를 가지고 있다. 그리고 카드번호가 유출된다고 해서 개인의 신상관련 정보가 빠져나가지는 안는다.
한국의 경우 주민증록번호와 금융실명제라는 두가지 제도로 인해 모든 국민이 크래킹의 위험에 그대로 노출되어있다. 정부는 국민들에게 자신들의 행정편의주의를 위해 주민번호를 부여하고 관리를 하지만 이로 인한 부작용과 위험에 대해서는 국민 각자의 위험부담을 안을 것을 요구하고 있다. 특히 인터넷 사이트들은 이런 정부의 행정편의주의에 편승하고 상업주의와 결탁하여 제대로 관리도 못하는 개인정보를 받아 사용자들을 위험 속에 빠트리고 있는 것이다.
정부는 이런 대규모 개인정보 유출에 대해 고작 비밀번호를 수시로 바꾸고 생년월일이나 전화번호를 비밀번호로 사용하지 말라는 정도의 유치한 수준의 크래킹 방지 방법을 홍보하고 있다. 구조적인문제로 발생하고 있는 정보유출 구조에서 비밀번호를 아무리 바꾸고 어렵게 써봐야 별다른 도움이 될 것 같지 않다.
정부가 온라인 시대에 걸맞도록 일반적인 다른 선진국가처럼 주민등록번호 같은 제도를 철폐하고 금융실명제에 대한 디지털적인 재정비를 하는 것이 이런 사건을 방지하는 기본적인 바탕을 만드는 시초라고 생각되며 각 사이트들도 이전의 컬럼(인터넷 사이트의 실명요구는 정당한가?)에서다룬 내용처럼 실제로 사이트 운영을 위해 주민번호와 같은 개인정보를 반드시 받아야 하는지에 대한 고민이 필요한 시점이다.
옥션의 개인정보 유출사건 이후에도 모 포탈에서 사용자의 개인정보를 크래커들에게 유출되었고, 이 사실을 은폐하기 위해서 2억원인가를 모 보안사이트에게 준 일이 있습니다. 재밋는 사실은 모 보안사이트가 이 사실을 알게된 원인이 옥션의 개인정보 유출사건을 추적하다 우연하게 모 포탈의 유출을 알게 되었다는 점입니다. (모 포탈이 어딘지 물어보지 마세요. 대답 안해 드립니다)
개인정보유출을 막는 것은 솔루션으로 불가능합니다. 암호화도 결국은 암호를 해제하는 솔루션이 나올것입니다. 제일 좋은 방법은 외국처럼 사이트에서 주민번호를 받지 않는 방법 일 것입니다. 언제까지 중국 해커들에게 한국 사용자들의 개인정보가 10원에 팔려야 하는지, 그리고 그로인해 얼마나 많은 사람들이 메신저피싱 피해를 당해야 하는지 궁금할 따름입니다.
아래글은 니오가 2001년에 아이비즈넷(www.i-biznet.com )에 썻던 컬럼입니다. 근 10년이 지난 지금이나 그때나 바뀐게 없네요.
개인정보유출을 막을 방법은 정녕없는가? (2001년 작성한 아이비즈넷 컬럼)
작년 말 650 만 명의 개인정보유출사건이 있은 지 불과 5개월도 안되어 또다시 기록을 경신하는 사건이 발생했다. 이번 사건도 작년에 있었던 개인정보 유출사건으로 불구속 입건됐던 동일 10대 크래커 의해 일어난 사건으로 성명, 주민번호, 주소, 연락처, e-메일주소 등이 포함된 개인정보 뿐만 아니라 신용카드번호, 은행계좌번호 또는 현금카드번호가 포함된 금융정보 및 연봉 등 소득 관련정보를 포함한 매우 심각한 수준이다.
19세 김군과 16세인 이군은 신용카드결재 승인처리업체 1개를 비롯, 9개 일반 인터넷사이트에 침입해 780만여명의 개인정보, 개인금융정보, 개인소득정보를 빼내어 리서치업자에게 판매하려 하였다. 구체적 판매가격으로는 성명, 주민번호, 주소, 연락처, e-메일주소 등이 포함된 개인정보는 1인당 50원, 성명 등 기본정보에 신용카드번호, 은행계좌번호 또는 현금카드번호가 포함된 개인정보는 1인당 300원, 성명 등 기본정보에 연봉 등 소득 관련정보가 포함된 개인정보는 1인당 600원으로 가격을 매겨 이에 대한 ‘광고메일’을 2천 여명에게 발송했다.
이들의 광고메일에 대해 5~6명은 ‘정보내용을 확인 싶다’고 답신을 보내왔으며, 김군은 이들에게 다시 ‘샘플 정보’를 보내준 것으로 밝혀졌다. 경찰은 거래가 성사되기 직전 첩보를 입수하고 김씨 등을 검거, 이들이 가지고 있던 개인정보자료를 회수했다고 밝혔다.
이사건의 중대한 문제점은 우선 작년사건에 이어 동일한 10대에 의해 저질러 졌다는 점이다. 다시 생각해 보면 작년에 처음 김군이 불구속 입건되었을 때 사건이 제대로 처리되어 종결되었다면 동일인에 의한 사건이 재발되지 않았을 수도 있다. 반년도 채 안되어 그때보다 훨씬 더 많은 수의 개인정보와 또한 그때는 없었던 신용카드정보, 계좌정보 같은 금융정보 같은 몇 단계 업그레이드 된 개인정보 유출사건의 발생은 이보다 더한 개인정보 유출사고가 또다시 재발 할 수 있다는 개연성을 높여주고 있다.
두번째 문제점은 국내의 모든 신용카드회사와 연결돼 있는 신용카드결제 승인처리 업체가 크래킹을 당했다는 점이다. 이들은 지난 3월 경기 평택시에 위치한 이군 집에서 모신용카드결제 홈페이지에 접속, 국세청 의뢰로 이 회사에서 관리중인 ‘신용카드 영수증 복권당첨자’ 47만명의 개인정보를 훔쳐냈다. 일반기업들의 사이트 보안 역시 철저해야 겠지만 신용카드결제 승인 처리업체는 일반적인 사이트와 입장이 분명 다르다. 보안이 곧 그 회사의 전부라고 할 수 있다. 그런 곳에서 그렇게 쉽게 크래킹 당한다는 것은 근본적으로 그 회사가 신용카드 승인 업무를 담당할 만한 자질이 있을까 하는 의구심을 갖게 한다. 또한 그런 회사에 신용카드 영수증 복권 관련 업무를 의뢰한 국세청 역시 책임을 면하기 힘들다.
신용정보 유출로 인해 발생한 사건의 예를 보면
A신용카드회사 원주영업소에서 근무하는 진모(30)씨는 작년 말 사무실에 설치된 컴퓨터 단말기를 중앙전산망과 연결, 카드회사 회원들의 명단을 모조리 훑어봤다. 카드회사 회원 중 연체가 없고 신용상태가 좋은 회원 38명의 인적사항을 뽑아냈다. 진씨는 이들의 이름으로 신용카드 38개를 발급받아 5145만원을 빼내 사용하다 경찰에 붙잡혔다. 진씨는 경찰 조사에서 “컴퓨터 전산망을 통해 다른 사람의 인적사항을 알아내기가 너무 쉬웠다”고 털어놓았다.
이 사건에서 보듯이 개인정보와 인적사항만 가지고 있으면 얼마든지 타인의 이름으로 카드를 발급 받아 사용 할 수 있으며 김군이 크래킹한 정보를 이용한다면 카드뿐만 아니라 개인이 가지고 있는 예금이나 증권 같은 동산에서부터 토지나 아파트 같은 부동산에 이르기까지 피해의 규모는 예측 할 수 없을 만큼 클 수 있다.
세번째 문제점은 크래킹은 언제나 있을 수 있지만 이런 스타일의 개인정보와 금융,자산정보의 대량유출 사건은 유독 한국에서만 일어났다는 점이다. 외국에서의 크래킹사건은 대개 웹사이트를 공격하여 서버를 다운시키거나 또는 정부기관의 정보를 유출하는 사건이 많이 일어나며 중국이나 미국에서 신경전을 벌이는 국가 대 국가의 크래킹사건이 주류를 이룬다.
이번 사건처럼 800 만 명에 가까운 대규모의 개인신상정보, 특히 개인금융정보에 대한 유출사건이 일어난 예가 없다. 외국 사이트에서 어떤 결제를 할 때 요구되는 개인정보는 기본적으로 카드번호밖에 없다. 물론 배송을 위한 주소나 연락처를 받기는 하지만 한국처럼 실명정보와 주민등록번호를 기재하라고 하지는 않는다. 그렇기 때문에 만약에 카드번호가 유출된다면 그 카드에 관한 피해로 한정되는 구조를 가지고 있다. 그리고 카드번호가 유출된다고 해서 개인의 신상관련 정보가 빠져나가지는 안는다.
한국의 경우 주민증록번호와 금융실명제라는 두가지 제도로 인해 모든 국민이 크래킹의 위험에 그대로 노출되어있다. 정부는 국민들에게 자신들의 행정편의주의를 위해 주민번호를 부여하고 관리를 하지만 이로 인한 부작용과 위험에 대해서는 국민 각자의 위험부담을 안을 것을 요구하고 있다. 특히 인터넷 사이트들은 이런 정부의 행정편의주의에 편승하고 상업주의와 결탁하여 제대로 관리도 못하는 개인정보를 받아 사용자들을 위험 속에 빠트리고 있는 것이다.
정부는 이런 대규모 개인정보 유출에 대해 고작 비밀번호를 수시로 바꾸고 생년월일이나 전화번호를 비밀번호로 사용하지 말라는 정도의 유치한 수준의 크래킹 방지 방법을 홍보하고 있다. 구조적인문제로 발생하고 있는 정보유출 구조에서 비밀번호를 아무리 바꾸고 어렵게 써봐야 별다른 도움이 될 것 같지 않다.
정부가 온라인 시대에 걸맞도록 일반적인 다른 선진국가처럼 주민등록번호 같은 제도를 철폐하고 금융실명제에 대한 디지털적인 재정비를 하는 것이 이런 사건을 방지하는 기본적인 바탕을 만드는 시초라고 생각되며 각 사이트들도 이전의 컬럼(인터넷 사이트의 실명요구는 정당한가?)에서다룬 내용처럼 실제로 사이트 운영을 위해 주민번호와 같은 개인정보를 반드시 받아야 하는지에 대한 고민이 필요한 시점이다.
2010/06/22 01:07
2010/06/22 01:07
댓글을 달아 주세요