개인정보보안을 둘러싼 옥션, 창비 그리고 이베이의 경우
LG텔레콤의 '기분 좋지 않은' 변화에 대한 강요란 글에서도 밝혔듯이, 개인정보보안과 관련한 일은 어떻게든 불편한 법이다. 보안이 잘 되는 게 당연한 것이고, 그것과 관련한 위기의식이나 회사에서 요구하는 절차에 대한 부당함 같은것도 사실 기분 좋은 일은 아니기 때문이다.
이번 옥션 사태와 관련하여 창비(창작과비평)에서 메일을 한 통 받았다.
옥션의 사건을 소개하고, 개인정보 유출의 심각성을 간략하게 알린 후 창비 사이트로 연결을 하도록 하여 암호를 변경하게끔 하고 있다. 창비는 도서판매와 정기구독을 사이트에서 받고 있기 때문에 필수적인 조치를 취한 것이라고 생각이 된다. 정보유출과 관련해 우리도 조심하자, 라는 목적은 정말 좋다.
아쉬운 점이 있다면, 옥션 사태와 창비 사태는 어떤 공통점과 차이가 있는지에 대한 설명이 부족하고, 이번 기회를 통해 개인정보 보안에 대해 사용자도 노력해 달라는 어떤 필수적인 메시지가 빠져 있다는 것이다. 혹시 보안이 취약할지도 모르는 자신들의 서버에 있을 개인정보를 위해 미리 경고성으로만 메시지를 보내자, 라는 행동으로 비칠 수도 있다.
이번에 이베이(eBay)에서 미국에서 쓸 휴대폰을 주문하기 위해 입찰을 받았다. 원래는 PayPal로 연결되어 결제를 해야 하는데, 이번에는 판매자가 따로 메일을 보내서, 자신이 보내준 링크에서 결제를 하라는 메시지를 보냈다. 혹시나 하는 마음에 이베이에 메일을 넣었더니, 메일의 원본(Source)을 보내주면 검토하겠다는 답변이 왔다.
To learn more about sending us headers, go to: http://pages.ebay.com/help/confidence/rfe-unwelcome-email-headers.html For more information on finding headers for your email program, go to: http://www.haltabuse.org/help/headers/index.shtml and http://spamcop.net/fom-serve/cache/19.html
위와 같은 내용의 메일 헤더 확인 방법을 소개하는 이베이 자체 링크와 관련 기관에서 배포하는 내용에 대한 링크도 같이 보내 주었다. 이베이는 이미 페이팔(PayPal)이라는 결제 시스템을 이용하여, 쇼핑과 결제를 이원화 시켰다. 가끔은 어이없이 계정이 막히기도 하지만, 지속적인 모니터링을 통해, 잘못된 사용을 가려 내기 위한 노력을 한다. 그리고 이 두 사이트들에는 어디에서도 사회보장번호(SSN; Social Security Number)를 받지 않는다. 이베이의 경우 이메일 인증을 통하고 있고, 실질적인 결제를 담당하는 PayPal에서는 결제후 청구서와의 내용 대조를 통해 사용자 인증을 하고 있다. 신용카드에 가상의 금액을 결제시키고 인증코드를 청구서에 인자하게 한 다음 페이팔에서 확인 받는 식이다.
사실 이베이의 예가 한국에 적합하지 않지만, 사용자 확인에 아주 단순한 방법을 쓰면서도 강력한 보안을 취하는 셈이다. 미국 계좌를 만들때는 더 답답하다. 직불카드, 직불카드 비밀번호, 인터넷뱅킹 ID, 인터넷 뱅킹 비밀번호 등등이 따로 인쇄된 보안봉투(그래봤자, 겉에다 숫자를 요란히 인쇄해서 밝은데서 안 비치게 하는 거지만)에 담겨서 날짜를 달리 해서 도착한다. 계좌를 제대로 쓰려면 2주정도 시간이 걸리는 것이다.
한국은 휴대폰 인증에 수많가지 보안 플러그인으로 다중 방어를 하게 꾸며놨다. 옥션에서 결제 한 번 하려고 하면, 서너개의 액티브 엑스 컨트롤을 설치해야 한다. 키로깅 방지부터, 128bit급 이상의 암호화까지 다양한 방법이 사용된다. 하지만, 결국 옥션 자체 서버에 저장된 정보에의 해킹에는 무방비였다. 그리고 옥션 정도의 정보면, 아마 거의 대부분의 사이트들에서 로그인이 가능할 것이다.
컴퓨터와 온라인 상에서 이뤄지는 Transaction에서 기계가 얼마 만큼의 잘못이 있을까? 코드로 이루어진 프로그래밍 상에서의 보안은 완벽했을 지 모른다. 하지만, 어딘가에나 조그마한 구멍은 있을 것이고, 그런 구멍을 통해서 정보가 새 나갈 것이다. 또 '혹시 나도 해킹의 피해자!'라는 특권의식에 젖을 것 까지도 없다. 이미 주민등록번호는 인터넷 상에 떠 다니고 있으며, 나의 개인 정보를 아는 주변인물에 의한 범죄도 무시할 수 없다. 책상 포스트잇에 써 둔 비밀번호가 가방에 붙었다가 버스에 붙었다가 하는 식으로 전파되지 말란 법도 없다.
3XY3
30,000
이렇게 생긴 포스트잇이 붙은 현금카드를 길에서 주웠다면, 누구든 ATM기계로 향할 것이다. 누군가가 잔심부름을 시킨 흔적이 역력한 저 현금카드에는 3만원 이상은 있다는 이야기니까.
보안은 서비스의 홍보를 위해 모든 걸 떠 안고, 과도한 친절을 베푸는 척 하는 회사의 책임도 있고, 이런 거 잘 모르고 뭐 물건 하나 사는데 왜 이렇게 복잡하냐고 따지려 드는 사용자의 책임이기도 하다. 인터넷은 텍스트가 오가지만, 이것은 어쨌든 돈을 주고 받는 거 아닌가. 길 건너 슈퍼에서 물건을 사려고 돈을 종이 비행기로 접어서 날리진 않을 것 아닌가.
미국의 이베이는 나에게 그리 많은 것을 묻지 않았다. 단지, 내가 제시한 정보가 실제 나의 정보와 1:1로 대응하는가에 초점을 두는 것이다. 한국의 옥션은 나에 대한 모든 것을 알아 갔다. 결국 제대로 관리하지도 못할 것이면서, 그리고 나는 잠시의 편의를 위해 제대로 알아보지도 않고 착실하게 정보를 알려준 대가를 치르게 된 것이다.
가장 무서운 사실은, 옥션의 피해는 시작에 불과하다는 것이다. 만일, 정부 차원의 보안에 대한 홍보가 이루어지지 않고, 비밀번호 조합이 왜 중요한 지에 대한 인식도 없이, 소프트웨어 몇 개 업데이트 하는 식으로 넘어가게 된다면, 연쇄적인 개인 정보 유출은 불가피 할 것이다.
이 모든 사태를 해결하는 방법은, 개인정보를 바로 알 수 있는 숫자로 된 주민등록번호 제도에 대한 전면적인 재검토가 필요하며(I-PIN같은 임시 방법 말고) 암호화된 전송에만 의존하는 지금의 보안방식도 다시 생각해 봐야한다. 옥션 사태가 이렇게 커졌다는 것은, 옥션에게 억세게 운 나쁜 계절이 왔다는 것 뿐만이 아니라, 엄청난 보안재앙이 올 것이라는 것을 예견하는 것과도 같기 때문이다.
