|
LG데이콤에서 개인 정보가 유출됐다는 얘기를 듣고 보안 전문가를 취재했을 때의 일이다. 당시 LG데이콤 사고는 이전에 발생했던 옥션,하나로텔레콤,다음 등에 비해 피해 규모가 작아서인지 비중있게 보도돼지는 않았다. 하지만 전문가들은 LG데이콤의 사고야말로 대기업조차 개인 정보 보호에 얼마나 소홀한지 단적으로 보여주는 사례라고 지적하고 있다.
결론부터 말하자면,LG데이콤의 사고는 웹 페이지를 구축할 때 아주 기본적인 보안 가이드 ABC조차 지키지 않았기 때문이다.URL의 숫자만 변경해 다른 사람의 정보를 넘봤다는 게 LG데이콤 사고의 요지인데 전문가들은 처음 웹 사이트를 만들 때 '누가 이렇게 하랴'는 안일한 생각이 이번 사고의 원인이라고 설명한다.
이런 초보적인 보안 실수의 예는 얼마든지 있다.예컨대 우편번호 자동 검색란이 해커(초보자도 간단한 지식만 있으면 할 수 있다는 점에서 해커라고 표현하기 참 어색하다)의 대표적인 공격 대상이다. 원래 16개 숫자까지만 입력해도록 돼 있는데 해커들은 16개를 넘어선 숫자나 문자,기호 등을 입력해 개인 DB로 들어갈 수 있다고 한다. 심한 경우엔 URL에 관리자를 의미하는 admin을 입력해 DB에 접근하는 경우도 있는 것으로 조사됐다. 관리자가 자기만 들어갈 수 있는 권한 설정을 엉성하게 해 놓은 결과다. 이것 역시 '설마 누가 이렇게까지 하랴'는 생각이 화를 불렀다.
정부 사이트는 비교적 기업보다는 잘 돼 있다고 하지만 최근 여러 사고가 터진 뒤에야 그나마 '외양간'을 그럴 듯 하게 고치고 있는중이다.문제는 정부 사이트의 경우 내부 직원의 보안 의식 부재가 큰 사고를 낳을 수 있다.
이 모든 병폐의 근원은 여러가지가 있겠지만 '빨리 빨리'병이 큰 몫을 차지한 것이 아닌가 싶다. 가장 간단한 방법으론 은행처럼 인터넷 포털이나 기업 홈페이지에도 공인인증서를 사용하도록 하면 보안 사고를 최소화할 수 있다. 문제는 이런 식으로 보안을 강화하다보면 사용자들은 속도 저하에 불만을 느끼게 되고,결국 기업들은 보안 문제를 회피할 수 밖에 없다.
보안 산업은 법에 의해 키워지는 산업이라고 한다. 누구도 돈 들고,불편한 보안에 투자하려고 하지 않기 때문이다.일례로 한 보안 컨설팅 사장은 "작년만해도 개인 정보를 취급하는 기업들치고 CEO가 보안에 관심갖는 곳은 거의 없었다.올 들어 연달아 사고 터지고,CEO 책임 높인다고 하니까 조금씩 관심을 갖기 시작했다"고 말했다.
인터넷 보안 사고의 가장 큰 문제는 개인으로선 유출된 정보를 끝까지 추적해 없애기가 불가능하다는 점이다. 혹자는 "구글 검색의 기능이 워낙 강력해 유출된 개인 정보들이 구글 엔진에 저장돼 있다"며 "설사 우연이라고 할지라도 누군가는 구글에서 검색을 하다가 익명의 주민등록번호를 엿볼 수 있는 셈"이라고 말했다. 이제라도 보안에 관련한 법령을 강력히 시행하고,기업 및 개인들의 보안 의식을 높여야 하는 이유다. |
