[방구석5분혁신=안병민] 개인정보 보호는 매우 중요한 이슈다. '제로트러스트' 같은 혁신적인 보안 모델이 속속 제안되고 있지만 개인의 책임과 노력 역시 필요하다. 강력한 비밀번호 사용, 2단계 인증, 의심스러운 이메일과 첨부파일 조심 등 간단한 생활 속 실천들로 나의 소중한 개인정보를 지킬 수 있다.
0. 스마트폰을 떨어뜨렸을 뿐인데
평범한 20대 여성 나미. 친구들과의 술자리를 마치고 집으로 돌아가던 중 버스에 폰을 떨어뜨린다. 그 폰을 주운 준영은 스파이웨어를 몰래 설치한 뒤 돌려준다. 복제된 나미의 폰을 통해 그녀의 일상을 지켜보던 준영은 나미의 집 주소, 직장, 친구관계 등 모든 것을 파악한다. 심지어 나미의 소셜미디어 계정을 통해 그녀의 인간관계를 망가뜨려 그녀를 고립시킨다. 영화 ‘스마트폰을 떨어뜨렸을 뿐인데’의 소름 끼치는 줄거리다. 사이버 범죄의 위험과 피해자의 고통을 극명하게 보여주는 영화다.
[이미지=넷플릭스]
1. ‘내가 나’임을 인증하는 개인정보의 중요성
‘디지털’로 촉발된 세상 변화가 ‘인공지능’으로 이어지는 요즘이다. 세상 모든 것이 디지털로 바뀌니 ‘얼굴 하나로 통하던 아날로그의 현실’과 달리 ‘디지털 시공간에서의 나’의 증명은 또 다른 문제로 부상했다. 개인정보가 중요해진 배경이다.
개인정보는 신용카드 번호, 주민등록번호, 전화번호, 주소, 이메일 주소 등 개인의 신원을 특정할 수 있는 정보를 말한다. 개인정보는 신용카드 사기, 보이스피싱, 스팸 등 다양한 범죄에 사용될 수 있다. 불법적으로 판매되기도 한다. 해커들이 개인정보를 훔치기 위해 눈에 불을 켜는 이유다. 그들은 의심스러운 이메일이나 링크를 클릭하게 하여 개인정보를 탈취한다. 기업이나 정부기관의 취약한 보안 시스템을 뚫고 들어가 개인정보를 빼돌리기도 한다.
‘내가 나’임을 증명할 수 있는 정보들이 누군가의 손에 넘어간다면? 나를 가장한 누군가가 인터넷 공간과 디지털 세상을 누비며 온갖 범죄를 다 저지른다면? 그들이 내 생명과 가족, 내 재산을 노린다면? 상상만으로도 끔찍한 일이다. 개인정보 보호, 결코 사소하거나 간단한 일이 아닌 거다.
2. 제로트러스트 : 절대 믿지 말라, 항상 검증하라
신뢰할 수 있는 네트워크는 없다는 생각. 그래서 나온 게 ‘제로트러스트(Zero Trust)’ 보안 모델이다. 제로트러스트는 ‘아무도, 아무것도 신뢰하지 않는다’는 가정에서 출발한다. 모든 사용자와 모든 디바이스를 잠재적인 위협으로 간주한다. 접근을 허용하기 전에 철저한 인증과 승인을 거친다.
기존의 보안 모델은 ‘내부 사용자는 신뢰할 수 있다’라는 가정하에 설계되었다. 내부 사용자는 별도의 인증 없이 네트워크에 접근할 수 있었다. 하지만 내부 사용자를 통한 보안 사고가 늘어났다. 내부 사용자의 아이디와 비밀번호만 알아내도 가능한 일이어서다.
제로트러스트의 기본 원칙은 다음과 같다. 1) 모든 사용자와 장치는 신뢰하지 않는다. 2) 모든 트래픽은 검증한다. 3) 최소 권한만 부여한다.
‘멀티팩터 인증’은 제로트러스트의 핵심 중 하나다. 멀티팩터 인증은 사용자 신원 확인을 위해 두 개 이상의 요소를 사용하는 인증 방법이다. 사용자 이름과 비밀번호, 휴대폰으로 전송되는 일회성 암호(OTP), 생체 인식 데이터(지문, 홍채, 얼굴 등), 하드웨어 토큰 등을 활용한다. 예컨대, 해커가 사용자의 비밀번호를 훔쳐도 휴대폰으로 전송되는 OTP를 모르면 사용자의 계정에 액세스할 수 없다.
제로트러스트 모델의 장점? 개인정보를 보다 안전하게 보호할 수 있다. 보안 사고가 발생하더라도 피해를 최소화할 수 있다. 보다 효율적인 보안 운영이 가능하다. 물론 단점도 있다. 고객경험이란 측면에서는 사용이 번거롭다는 거다. 그럼에도 제로트러스트의 지향만큼은 명확하다. 개인정보 보호 강화와 보안 사고 예방이다.
3. 진화하는 보안 기술과 안전 인증 : 단방향 다이내믹 인증기술 OTAC
불안하기 짝이 없는 보안 상황. 이를 해결해 줄 새로운 기술이 있다. ‘OTAC(One-Time Authentication Code)’다. OTAC는 실시간으로 변경되는 일회성 코드 인증 방식 기술이다. 사용자 및 기기에 대한 식별과 인증을 동시에 지원하는 기술로 비통신 환경에서도 작동가능하다. 사용 방법은 단순하다. 앱을 실행하고 사원증, 출입카드, 결제카드 등의 카드를 휴대폰에 터치하면 일회성 QR코드가 생성된다. 이를 시스템에 입력하거나 스캔하면 사용자 식별과 인증이 완료된다.
현재 우리가 사용하는 비밀번호와 비슷한 역할을 하는 것처럼 보인다. 하지만, 고정값을 사용하는 비밀번호와 달리 인증 코드가 매번 바뀐다. 해당 코드는 한 번만 사용할 수 있다. 기존 비밀번호가 정적인 고정코드라면, OTAC는 동적인 변환코드인 셈. 그래서 더욱 안전하다. 통신망 연결 없이도 사용할 수 있어 편리도 하다.
OTAC는 ID와 비밀번호, 인증 코드 생성, 토큰화(Tokenisation) 등 가장 보편적으로 사용되는 인증 시스템의 장점들을 두루 모았다. 강력한 보안, 원활한 통합, 확장성 및 유연성, 비용 절감 등이 강점이다. OTAC 역시 단점은 있다. OTAC를 사용하려면 OTAC 기술이 적용된 앱을 실행하고, 등록된 카드를 휴대폰에 터치하는 등 추가적인 과정이 필요하다. 또한, OTAC가 적용된 카드를 분실하거나 도난 당할 경우, 재발급이 필요할 수 있다. 하지만 구더기 무서워 장 못 담글 일은 없다. 보다 강력한 보안을 위해서라면 충분히 감내할 수준이다.
4. 디지털 정글에서 살아남기 : 생활 속 작은 실천들
스마트폰으로 음식을 주문하고, 택시를 잡는 요즘이다. 송금과 결제, 계약 날인과 주식 거래 등 디지털로 안 되는 게 없다. ID와 패스워드로 모든 게 가능한 디지털 시대라서다. 그만큼 개인정보 보안에 이중, 삼중의 주의를 기울여야 한다. 제로트러스트, OTAC와 같은 혁신적인 보안 기술과 모델들이 속속 도입되는 배경이다. 하지만 기술만으로는 충분하지 않다. 개인정보 보안은 결국 개인의 책임과 노력에 달려있다. 영화 '스마트폰을 떨어뜨렸을 뿐인데'의 상황은 악몽을 넘어선다. 견딜 수 없는 최대치의 공포다. 예방을 위해서는 각자의 인식 전환과 확고한 행동지침이 필요하다. 개인정보 보호에 대한 진지한 관심과 끊임없는 실천 얘기다.
여기, 생활 속 작은 실천 사항들을 갖고 왔다. 먼저, 강력한 비밀번호 사용이다. 비밀번호는 최소 12자 이상으로 구성하고, 영문 대문자, 소문자, 숫자, 특수문자를 조합하여 사용한다. 가능하다면 각 서비스마다 비밀번호를 다르게 설정한다. 다음은 2단계 인증이다. 2단계 인증은 비밀번호와 함께 추가적인 인증 정보를 요구하는 보안 기능이다. 2단계 인증을 사용하면 비밀번호만으로는 계정에 로그인할 수 없다. 구글과 다음, 페이스북 등 어지간한 서비스들은 2단계 인증 시스템을 제공한다. 귀찮다고 그냥 넘어가지 말고, 반드시 설정하도록 한다. 비밀번호들을 수첩이나 노트에 적어 두는 경우도 많다. 꼭 적어 놓아야 한다면, 가급적 암호화하여, 물리적으로 안전한 장소에 보관해야 한다. 또 있다. 의심스러운 이메일 속 링크는 클릭해선 안 된다. 첨부파일도 열면 안 된다. 나도 모르는 새 해커들이 숨겨둔 스파이웨어가 깔려 내 정보가 탈탈 털린다. 공용 컴퓨터를 사용할 때 역시 개인정보를 입력해선 안 된다. 공용 컴퓨터는 해커의 공격에 취약해서다. 개인정보 보호 정책을 숙지하는 것, 또 개인정보 보호 소프트웨어를 사용하는 것도 중요하다.
나를 지키는 건 결국 나다. 내 개인정보도 내 손으로 지켜야 한다. 관심을 가지면 생각이 바뀌고, 생각이 바뀌면 행동으로 이어진다. 오늘도 디지털에 접속하는 모든 이들의 평화를 기도한다. 절대 믿지 말라, 항상 검증하라! ⓒ혁신가이드안병민
* 본 칼럼은 인증보안 기술기업 센스톤으로부터 '디지털 주권 보호와 개인정보 보안'을 주제로 한 원고를 의뢰 받아 작성하였으며, 소정의 원고료를 수령하였습니다.
● '방구석5분혁신' 브런치 글이 내 일과 삶의 행복한 경영혁신에 도움이 되었다면 잊지 마세요, 구독!^^