![[생생경제] "개인정보 유출로 IoT 뚫리면 생명도 위협"](https://image.ytn.co.kr/general/jpg/2016/0726/201607261604080128_d.jpg)
AD
[생생인터뷰]
■ 방송 : YTN 라디오 FM 94.5 (15:10~16:00)
■ 진행 : 김우성 PD
■ 대담 : 김승주 고려대학교 정보보호대학원 교수
◇ 김우성 PD(이하 김우성)> 내 개인정보가 유출된다고 해도 이제 무덤덤하다, 이런 분들 많습니다. 오늘 보도된 기사 댓글 중 하나인데요. 사실상 전 국민의 개인정보고 범죄집단, 금융권, 마케팅에서 돌고 있다는 말이 나올 정도로 개인 정보 보호, 우리나라는 매우 취약합니다. 또 해킹에 의한 개인 보 유출 피해가 발생해 지금 논란이 되고 있습니다. 온라인 쇼핑몰 인터파크의 데이터베이스가 뚫린 건데요. ID, 이름, 전화번호, 생년월일, 이메일 주소 등의 정보가 유출되었습니다. 이 회사가 유출되고 두 달간 정보 유출 자체를 몰랐고, 대응도 미흡하다는 점이 나타나고 있습니다. 전문가와 이 문제 짚어보고 대안도 얘기해보겠습니다. 김승주 고려대학교 정보보호대학원 교수님, 안녕하세요?
◆ 김승주 고려대학교 정보보호대학원 교수(이하 김승주)> 네, 안녕하세요.
◇ 김우성> 다시 이러한 대규모 개인정보 유출 사고가 발생했습니다. 이번 인터파크의 개인정보 유출, 어떤 내용이며 어떤 특징이 있습니까?
◆ 김승주> 자세한 수사 결과가 나와 봐야겠지만, 현재까지 밝혀진 바로는 이 범인들이 인터파크 내부 직원들에게 악성코드가 첨부된 이메일을 보낸 것 같습니다. 내부 직원이 이메일에 첨부된 파일을 클릭하는 순간 피시가 바이러스에 감염되고요, 이런 감염된 피시들을 통해 고객 정보가 들어간 데이터베이스에 접근해 개인 정보를 탈취한 것으로 밝혀지고 있습니다. 유출된 개인정보는 이름, 생년월일, 이메일, 주소, 휴대폰 번호까지 있고요. 문제는 이렇게 개인정보 유출이 발생했는데 인터파크는 모르고 있었다는 겁니다. 그러다가 7월 초 범인들이 30억 원어치 비트코인을 요구합니다. 이때 인지를 하고 수사기관에 신고한 것으로 알려져 있습니다.
◇ 김우성> 비트코인을 요구했다는 것도 새로운 양상이기는 한데요. 두 달 동안 몰랐다는 것이 가능한가요? 그런 사고가 났을 때 관리담당자들이 인지할 가능성은 없었을까요?
◆ 김승주> 그런 것들을 빨리 알아채고 미연에 방지할 수 있으면 좋죠. 그런데 이런 해킹 사실을 인지하는 것들이 시설, 장치도 잘 구비되어 있어야 하고요. 장치를 다루는 사람들의 전문성도 높아야 합니다. 그것을 다루는 인터파크 직원들의 보안 수준이 어느 정도 되었느냐는 또 따져봐야 할 내용인 것 같습니다.
◇ 김우성> 일어난 것만 보면 국민들의 분노가 당연한 것 같습니다. 인터넷 쇼핑몰과 같이 개인 정보를 보유하고, 그 정보를 통해 상업 거래가 가능한 곳이라면 굉장히 보안수준이 높을 것이라는 생각이 상식적인데, 이런 경로를 통해 해킹을 당하고, 이메일을 통한 악성 코드 유포, 또 엄격한 방어체계 같은 것은 없었나, 의문이 생깁니다.
◆ 김승주> 이번 건에 대해 제가 안타깝게 여기는 것은 두 가지입니다. 하나는 내부 직원들에게 악성코드가 첨부된 이메일을 발송해 해킹을 시도하는 큰 사고가 있었습니다. 한수원 사고였습니다. 이때도 내부직원에게 악성코드가 첨부된 이메일을 발송해 해킹을 시도한 것입니다. 그 사건이 있었던 이후로는 이메일 보안 솔루션을 많이 갖췄습니다. 그런데 그 부분이 어땠는지 살펴봐야 하겠고요. 두 번째는 우리나라에 개인정보보호법이 있고, 개인정보를 보호하기 위한 기술적, 관리적 보호조치 기준이라는 가이드라인이 마련되어 있습니다. 일정 규모 이상 쇼핑몰은 이것을 따르도록 되어있습니다. 그런데 지금 언론에 보도된 것으로만 보면 이 보호조치 기준을 소홀히 하지 않았나 싶습니다.
◇ 김우성> 범죄 행위 자체가 첫 번째 이유로 나쁘지만, 여러 가지 사람이 관리를 못한 인재에 대한 부분도 유추해볼 수 있는데요. 이렇게 대형 개인정보 유출 범죄가 계속 발생하면 이전에도 1억 건 가까운 국민들의 개인정보가 유출되어 있다고 하는데, 또다시 새로운 유출이 일어나고 누적되면 위험해지는 것 아닌가요?
◆ 김승주> 위험할 수 있죠. 일차적으로 범인들은 비트코인으로 돈을 요구했죠. 안 된다면 범인들은 밖에 정보를 팔 겁니다. 팔면 보이스피싱이나 2차, 3차 범죄로 악용될 수 있거든요. 어떤 보안 전문가들은 이것이 개인 정보만 털린 것인지, 아니면 인터파크라는 쇼핑몰이 여행사이트를 운영하는데, 여행 예약 정보와 연동되면 언제 집이 비는지 알 수 있지 않나, 그래서 더 위험해지는 것 아닌지 우려하는 사람들이 있습니다.
◇ 김우성> 개인정보 유출 양상에 따라 종합적 개인정보 해석이 가능해진다는 점이 섬뜩합니다. 돈이 되기에 범죄자들이, 우리는 우리에게 범죄자들에게 노출되어있는 상태거든요. 직
접적 피해까지 우려되는데, 정부가 조사를 착수하겠다, 비밀번호 바꾸라는 정도로만 보도되었습니다. 이렇게 막을 수 있을까요? 확실한 대책이 필요한 것 아닌가요?
◆ 김승주> 또 2차, 3차 범죄가 있을지도 모르니 비밀번호를 바꾸라는 겁니다. 이미 유출된 휴대폰 번호, 이메일 주소, 이런 것들은 제가 당장 쉽게 바꿀 수 있는 것들이 아닙니다. 지금 당장 이사를 갈 수도 없고, 이미 유출된 정보는 방법이 없다고 보아야 합니다.
◇ 김우성> 방법이 없을 정도로 위험할 경우 경찰력과 같은 것들로 추가 범죄를 막아야 하는데요. 경찰력도 필요하지만 개인이 대비할 수 있는 방법은 없을까요?
◆ 김승주> 대규모 개인정보 유출 사고가 발생하면 보이스피싱이나 스팸 문자가 급증하는 경향이 있습니다. 그래서 어떤 소포를 찾아가라, 이런 문자가 날아오거나, 아니면 내가 잘 모르는 전화가 걸려오면 반드시 재확인하는 과정을 거쳐야 합니다.
◇ 김우성> 확인을 통해 조심할 수밖에 없다는 얘기인데요. 근본적 원인으로 넘어가겠습니다. 관리도 잘 못하면서 굉장히 많은 개인정보를 요구하거든요. 주민등록번호뿐만 아니라 다양한 정보를 요구하고 있고, 인터넷의 마케팅 분야는 여러 정보를 수집하려고 혈안이 되어 있습니다. 이게 결국 문제가 되는 원인이 아닌가, 이런 생각이 드는데요. 어떻게 보십니까?
◆ 김승주> 얼마 전 외신에 보도된 것이 있는데요. 앞으로 단순히 고객에게 동의를 구했다는 명목으로 고객의 개인정보를 함부로 할 수 있는 시대는 지났다. 동의는 기본적으로 받아야 하며 그것을 얼마나 안전하게 보관하고 관리할지에 대해 적극적으로 기업이 노력해야 한다. 그렇지 않은 기업은 도태될 것이다. 이러한 보도가 나온 적이 있습니다. 우리나라 기업을 보면 동의를 받았으니 괜찮다. 불가항력이었다, 이런 얘기가 나오는데요. 이제는 좀 더 능동적으로 고객 정보를 보호하기 위해 노력할 필요가 있습니다.
◇ 김우성> 우스갯소리로 대통령 이하 많은 정부 요직자들의 개인정보도 유출되어 있다는 말이 나오는데요. 특히 우려되는 바는, 주민등록번호에 대한 것입니다. 대체 수단으로 아이핀 얘기도 나오는데, 개인 식별 정보가 유출되는 것은 다른 차원에서 보아야 하는 것 아닌가요?
◆ 김승주> 요즘 사물 인터넷 시대라고 많이 하죠. 모든 기기가 연동되어 있기에 나의 주민번호, 메일주소, 휴대폰 번호 정도만 알게 된다면 그 사람의 일거수일수족을 다 추적할 수 있습니다. 그래서 이런 개인 식별 번호와 같은 것을 잘 관리하도록 노력해야 하고요. 특히 주민등록번호와 관련해서는 자꾸 대체 수단을 마련할 것이 아니라 아예 이런 것이 필요 없는 인터넷 생태계를 구축할 필요가 있습니다.
◇ 김우성> 개인정보가 악용되지 않도록 개인정보 개념을 바꿔야한다는 것으로도 들리는데요. 지금 주민등록번호를 아이핀으로 대체하는 것이 아니라 아예 사용하지 않도록. 가능할까요? 왜냐면 어딜 가든 주민등록번호나 아이핀을 요구하거든요.
◆ 김승주> 사실은 많은 기업들이 주민등록번호를 없애는 방향으로 노력하고 있습니다. 왜냐면 자꾸 유출되니까 이럴 바에 그냥 없애자는 거죠. 시간을 들여서 생각을 해보면 많은 곳에서 주민번호를 없앨 수 있거든요. 그런데 정부가 대체 수단을 언급하다보니 그런 고민 자체를 안 하는 겁니다. 시간을 가지고 충분히 고민해 없앨 데부터 다 없애고, 도저히 없애지 못하는 곳에서만 제한적으로 대체 수단을 사용할 필요가 있습니다.
◇ 김우성> 개인재산의 보호와 안전 문제뿐만 아니라 한수원 사례도 말씀하셨지만 안보의 문제이기도 할 것 같습니다. 국민의 정보는 국가의 안보와 직결되어있을 텐데요. 정부가 직접적 대책을 세우고 정책적 방향으로 개선할 어떤 방향을 제시해주시겠습니까?
◆ 김승주> 일단 사물인터넷 시대가 되면서 단순히 개인정보 유출, 금전적 피해로 끝나지 않습니다. 자동차도 해킹당하기 때문에 사람의 생명과도 직결될 수 있거든요. 그래서 외국에서는 벌써 10년, 20년짜리 사물인터넷 보안대책을 내놓고 있습니다. 정부도 이러한 중장기적 대안을 마련해 치밀하게 대응할 필요가 있을 것 같습니다.
◇ 김우성> 사물인터넷 얘기를 듣는 순간 많은 분들이 섬뜩하셨을 겁니다. 창문도 열 수 있고, 여러 가지 보안 대책이 세워지지 않으면 위험할 것 같습니다. 오늘 말씀 감사합니다.
◆ 김승주> 네, 감사합니다.
◇ 김우성> 지금까지 김승주 고려대학교 정보보호대학원 교수이었습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
■ 방송 : YTN 라디오 FM 94.5 (15:10~16:00)
■ 진행 : 김우성 PD
■ 대담 : 김승주 고려대학교 정보보호대학원 교수
◇ 김우성 PD(이하 김우성)> 내 개인정보가 유출된다고 해도 이제 무덤덤하다, 이런 분들 많습니다. 오늘 보도된 기사 댓글 중 하나인데요. 사실상 전 국민의 개인정보고 범죄집단, 금융권, 마케팅에서 돌고 있다는 말이 나올 정도로 개인 정보 보호, 우리나라는 매우 취약합니다. 또 해킹에 의한 개인 보 유출 피해가 발생해 지금 논란이 되고 있습니다. 온라인 쇼핑몰 인터파크의 데이터베이스가 뚫린 건데요. ID, 이름, 전화번호, 생년월일, 이메일 주소 등의 정보가 유출되었습니다. 이 회사가 유출되고 두 달간 정보 유출 자체를 몰랐고, 대응도 미흡하다는 점이 나타나고 있습니다. 전문가와 이 문제 짚어보고 대안도 얘기해보겠습니다. 김승주 고려대학교 정보보호대학원 교수님, 안녕하세요?
◆ 김승주 고려대학교 정보보호대학원 교수(이하 김승주)> 네, 안녕하세요.
◇ 김우성> 다시 이러한 대규모 개인정보 유출 사고가 발생했습니다. 이번 인터파크의 개인정보 유출, 어떤 내용이며 어떤 특징이 있습니까?
◆ 김승주> 자세한 수사 결과가 나와 봐야겠지만, 현재까지 밝혀진 바로는 이 범인들이 인터파크 내부 직원들에게 악성코드가 첨부된 이메일을 보낸 것 같습니다. 내부 직원이 이메일에 첨부된 파일을 클릭하는 순간 피시가 바이러스에 감염되고요, 이런 감염된 피시들을 통해 고객 정보가 들어간 데이터베이스에 접근해 개인 정보를 탈취한 것으로 밝혀지고 있습니다. 유출된 개인정보는 이름, 생년월일, 이메일, 주소, 휴대폰 번호까지 있고요. 문제는 이렇게 개인정보 유출이 발생했는데 인터파크는 모르고 있었다는 겁니다. 그러다가 7월 초 범인들이 30억 원어치 비트코인을 요구합니다. 이때 인지를 하고 수사기관에 신고한 것으로 알려져 있습니다.
◇ 김우성> 비트코인을 요구했다는 것도 새로운 양상이기는 한데요. 두 달 동안 몰랐다는 것이 가능한가요? 그런 사고가 났을 때 관리담당자들이 인지할 가능성은 없었을까요?
◆ 김승주> 그런 것들을 빨리 알아채고 미연에 방지할 수 있으면 좋죠. 그런데 이런 해킹 사실을 인지하는 것들이 시설, 장치도 잘 구비되어 있어야 하고요. 장치를 다루는 사람들의 전문성도 높아야 합니다. 그것을 다루는 인터파크 직원들의 보안 수준이 어느 정도 되었느냐는 또 따져봐야 할 내용인 것 같습니다.
◇ 김우성> 일어난 것만 보면 국민들의 분노가 당연한 것 같습니다. 인터넷 쇼핑몰과 같이 개인 정보를 보유하고, 그 정보를 통해 상업 거래가 가능한 곳이라면 굉장히 보안수준이 높을 것이라는 생각이 상식적인데, 이런 경로를 통해 해킹을 당하고, 이메일을 통한 악성 코드 유포, 또 엄격한 방어체계 같은 것은 없었나, 의문이 생깁니다.
◆ 김승주> 이번 건에 대해 제가 안타깝게 여기는 것은 두 가지입니다. 하나는 내부 직원들에게 악성코드가 첨부된 이메일을 발송해 해킹을 시도하는 큰 사고가 있었습니다. 한수원 사고였습니다. 이때도 내부직원에게 악성코드가 첨부된 이메일을 발송해 해킹을 시도한 것입니다. 그 사건이 있었던 이후로는 이메일 보안 솔루션을 많이 갖췄습니다. 그런데 그 부분이 어땠는지 살펴봐야 하겠고요. 두 번째는 우리나라에 개인정보보호법이 있고, 개인정보를 보호하기 위한 기술적, 관리적 보호조치 기준이라는 가이드라인이 마련되어 있습니다. 일정 규모 이상 쇼핑몰은 이것을 따르도록 되어있습니다. 그런데 지금 언론에 보도된 것으로만 보면 이 보호조치 기준을 소홀히 하지 않았나 싶습니다.
◇ 김우성> 범죄 행위 자체가 첫 번째 이유로 나쁘지만, 여러 가지 사람이 관리를 못한 인재에 대한 부분도 유추해볼 수 있는데요. 이렇게 대형 개인정보 유출 범죄가 계속 발생하면 이전에도 1억 건 가까운 국민들의 개인정보가 유출되어 있다고 하는데, 또다시 새로운 유출이 일어나고 누적되면 위험해지는 것 아닌가요?
◆ 김승주> 위험할 수 있죠. 일차적으로 범인들은 비트코인으로 돈을 요구했죠. 안 된다면 범인들은 밖에 정보를 팔 겁니다. 팔면 보이스피싱이나 2차, 3차 범죄로 악용될 수 있거든요. 어떤 보안 전문가들은 이것이 개인 정보만 털린 것인지, 아니면 인터파크라는 쇼핑몰이 여행사이트를 운영하는데, 여행 예약 정보와 연동되면 언제 집이 비는지 알 수 있지 않나, 그래서 더 위험해지는 것 아닌지 우려하는 사람들이 있습니다.
◇ 김우성> 개인정보 유출 양상에 따라 종합적 개인정보 해석이 가능해진다는 점이 섬뜩합니다. 돈이 되기에 범죄자들이, 우리는 우리에게 범죄자들에게 노출되어있는 상태거든요. 직
접적 피해까지 우려되는데, 정부가 조사를 착수하겠다, 비밀번호 바꾸라는 정도로만 보도되었습니다. 이렇게 막을 수 있을까요? 확실한 대책이 필요한 것 아닌가요?
◆ 김승주> 또 2차, 3차 범죄가 있을지도 모르니 비밀번호를 바꾸라는 겁니다. 이미 유출된 휴대폰 번호, 이메일 주소, 이런 것들은 제가 당장 쉽게 바꿀 수 있는 것들이 아닙니다. 지금 당장 이사를 갈 수도 없고, 이미 유출된 정보는 방법이 없다고 보아야 합니다.
◇ 김우성> 방법이 없을 정도로 위험할 경우 경찰력과 같은 것들로 추가 범죄를 막아야 하는데요. 경찰력도 필요하지만 개인이 대비할 수 있는 방법은 없을까요?
◆ 김승주> 대규모 개인정보 유출 사고가 발생하면 보이스피싱이나 스팸 문자가 급증하는 경향이 있습니다. 그래서 어떤 소포를 찾아가라, 이런 문자가 날아오거나, 아니면 내가 잘 모르는 전화가 걸려오면 반드시 재확인하는 과정을 거쳐야 합니다.
◇ 김우성> 확인을 통해 조심할 수밖에 없다는 얘기인데요. 근본적 원인으로 넘어가겠습니다. 관리도 잘 못하면서 굉장히 많은 개인정보를 요구하거든요. 주민등록번호뿐만 아니라 다양한 정보를 요구하고 있고, 인터넷의 마케팅 분야는 여러 정보를 수집하려고 혈안이 되어 있습니다. 이게 결국 문제가 되는 원인이 아닌가, 이런 생각이 드는데요. 어떻게 보십니까?
◆ 김승주> 얼마 전 외신에 보도된 것이 있는데요. 앞으로 단순히 고객에게 동의를 구했다는 명목으로 고객의 개인정보를 함부로 할 수 있는 시대는 지났다. 동의는 기본적으로 받아야 하며 그것을 얼마나 안전하게 보관하고 관리할지에 대해 적극적으로 기업이 노력해야 한다. 그렇지 않은 기업은 도태될 것이다. 이러한 보도가 나온 적이 있습니다. 우리나라 기업을 보면 동의를 받았으니 괜찮다. 불가항력이었다, 이런 얘기가 나오는데요. 이제는 좀 더 능동적으로 고객 정보를 보호하기 위해 노력할 필요가 있습니다.
◇ 김우성> 우스갯소리로 대통령 이하 많은 정부 요직자들의 개인정보도 유출되어 있다는 말이 나오는데요. 특히 우려되는 바는, 주민등록번호에 대한 것입니다. 대체 수단으로 아이핀 얘기도 나오는데, 개인 식별 정보가 유출되는 것은 다른 차원에서 보아야 하는 것 아닌가요?
◆ 김승주> 요즘 사물 인터넷 시대라고 많이 하죠. 모든 기기가 연동되어 있기에 나의 주민번호, 메일주소, 휴대폰 번호 정도만 알게 된다면 그 사람의 일거수일수족을 다 추적할 수 있습니다. 그래서 이런 개인 식별 번호와 같은 것을 잘 관리하도록 노력해야 하고요. 특히 주민등록번호와 관련해서는 자꾸 대체 수단을 마련할 것이 아니라 아예 이런 것이 필요 없는 인터넷 생태계를 구축할 필요가 있습니다.
◇ 김우성> 개인정보가 악용되지 않도록 개인정보 개념을 바꿔야한다는 것으로도 들리는데요. 지금 주민등록번호를 아이핀으로 대체하는 것이 아니라 아예 사용하지 않도록. 가능할까요? 왜냐면 어딜 가든 주민등록번호나 아이핀을 요구하거든요.
◆ 김승주> 사실은 많은 기업들이 주민등록번호를 없애는 방향으로 노력하고 있습니다. 왜냐면 자꾸 유출되니까 이럴 바에 그냥 없애자는 거죠. 시간을 들여서 생각을 해보면 많은 곳에서 주민번호를 없앨 수 있거든요. 그런데 정부가 대체 수단을 언급하다보니 그런 고민 자체를 안 하는 겁니다. 시간을 가지고 충분히 고민해 없앨 데부터 다 없애고, 도저히 없애지 못하는 곳에서만 제한적으로 대체 수단을 사용할 필요가 있습니다.
◇ 김우성> 개인재산의 보호와 안전 문제뿐만 아니라 한수원 사례도 말씀하셨지만 안보의 문제이기도 할 것 같습니다. 국민의 정보는 국가의 안보와 직결되어있을 텐데요. 정부가 직접적 대책을 세우고 정책적 방향으로 개선할 어떤 방향을 제시해주시겠습니까?
◆ 김승주> 일단 사물인터넷 시대가 되면서 단순히 개인정보 유출, 금전적 피해로 끝나지 않습니다. 자동차도 해킹당하기 때문에 사람의 생명과도 직결될 수 있거든요. 그래서 외국에서는 벌써 10년, 20년짜리 사물인터넷 보안대책을 내놓고 있습니다. 정부도 이러한 중장기적 대안을 마련해 치밀하게 대응할 필요가 있을 것 같습니다.
◇ 김우성> 사물인터넷 얘기를 듣는 순간 많은 분들이 섬뜩하셨을 겁니다. 창문도 열 수 있고, 여러 가지 보안 대책이 세워지지 않으면 위험할 것 같습니다. 오늘 말씀 감사합니다.
◆ 김승주> 네, 감사합니다.
◇ 김우성> 지금까지 김승주 고려대학교 정보보호대학원 교수이었습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]