이메일 암호화기법 #03
제1부 개인정보 보안이란?
제1장 개인정보 보안의 개요
개인정보 감독기관의 개인정보 보호 실태는?
개인정보보호법을 제정하여 주민등록번호 수집을 금지하고, 특별법에 명시된 기관이나 업무에 대해서만 제한적으로 사용을 허가하고 있긴 하지만 아직은 허술하기 짝이 없다. 개인정보를 관리하는 기관이나 기업들이 법에 의무화된 개인정보 암호화 의무를 잘 지키지 않는 데는 그만한 이유가 있다.
개인정보 대량보유 기관 - 정부부처 및 금융기관, 대기업 등 - 에서 개인정보를 현재 기술로 암호화하면 일일결산업무, 즉 배치업무를 수행할 수 없는 불편한 점이 있다. 그래서 암호화를 플러그인 방식으로 수행한 대부분의 기관들은 현재 스스로 개인정보보호법을 매일매일 위반하고 있는 실정이다. 일일결산업무를 위해서 암호화된 DB를 일시적으로 복호화하여 배치작업을 완료한 후 다시 암호화를 해 두는 것이다. 또 암호화 작업도 메인 DB 전체를 암호화해야 함에도 단위업무별 DB만 암호화를 한다든지 하는 편법으로 운영하고 있는 곳이 많은 실정이다.
이런 문제로 대량의 개인정보를 저장 관리하는 대형 기관들은 암호화를 편법적으로 운영하고 있고, 감독기관도 이런 상황을 암묵적으로 인정하고 있는 것이다. 그러면 협회나 단체, 소상공인들은 어떻게 하고 있을까? 이들 역시 그들이 사용하는 PC에 있는 개인정보를 암호화하여 관리하거나 아예 영구삭제해야 하지만 적극적으로 이런 제품이나 서비스를 도입하고 있지 못한 실정이다. 매번 개인정보 유출사고가 터지고 나면 잠깐 떠들다가 금방 잠잠해지고 마는 것이다.
이런 실상에서 개인정보는 어쩔 수 없이 개인 스스로가 지켜야 한다. 정부가 지켜주는 것도, 기업이 지켜주는 것도 아니란 얘기다. 개인정보보호법을 너무 맹신하지 말고 스스로 암호화란 자구책을 수립하는 것이 그나마 여러분들이 할 수 있는 최선이 아닐까 생각한다.
해커는 항상 보안이 허술한 개인과 중소기업을 노린다.
지방 중소기업에서 건축자재 유통회사에 근무하는 선배가 있다. 젊었을 때에는 대기업 S/W개발 조직에서 일했고, 또 S/W개발 전문 기업을 다년간 직접 경영한 적도 있는 프로그램 개발 전문가였다. 은퇴하고 지방에 내려가 건축자재 유통업에 종사하면서 중국에서 건축자재 수입을 하는 무역담당 업무를 맡고 있었다. 그런 그에게 어느 날 거래선의 담당자가 입금 은행계좌를 변경했다고 이메일이 왔다. 소규모 수입의 경우 대부분 수입업자가 그러듯이 이 회사도 신용장(L/C)을 개설하지 않고 전신환 송금방식(T/T : Telegraphic Transfer)으로 무역대금을 송금하고 있었다. 선배는 약간 의아하게 생각하여 이유가 무엇인지 메일로 물었지만 거래처에서는 회계감사로 거래하던 계좌가 사용정지 되었다는 답변이 왔다.
전화를 걸어 직접 확인하고 싶었으나 마침 중국어를 할 수 있는 직원이 자리를 비워 전화를 걸기도 쉽지 않았다. 그래서 선배는 이전에 거래했던 히스토리를 물어보고, 제품의 매뉴얼과 소개자료 등의 다른 자료를 다시 요구했다. 중국 거래처에서는 메일로 즉각적인 답변이 왔다. 이전 거래내용을 소상히 알고 즉각적인 답변을 보내는 상대방이 해커라고 의심하지 못한 선배는 내심 개운치 않았지만 1,000만원이란 돈을 변경된 계좌로 송금을 했다. 그런데 이것이 바로 무역대금을 중간에 가로채는 스피어 피싱 사기라는 것을 돈을 날리고 난 후에 알게 됐다.
1인 기업으로 무역업을 하거나 소규모 기업을 경영하는 사람들은 보안의식이 매우 낮은 편이다. 또 값비싼 보안시스템을 도입하거나 매월 비용이 나가는 보안관제서비스를 이용하기 대단히 부담스럽다. 개인이나 소기업은 주로 온라인으로 많은 업무를 수행한다. 그런데 랜섬웨어로 컴퓨터의 모든 파일을 암호화 시켜버리고 돈을 요구하는 해커들에게 돈을 안주고는 그 암호화된 파일을 복구할 수 있는 방법이 없는 것이다. 개인이나 1인 기업 그리고 중소기업들은 근본적으로 해킹에 취약할 수밖에 없는 구조다. 또 주요 산업시설 근무자나 국회의원, 그 보좌관등도 주요 국정감사 정보라든지 외교 안보에 위험을 초래할 수 있는 정보들을 검색 포털의 웹 메일로 주고받고 있는 실정이다.
해커들은 항상 근본적으로 취약한 곳, 허술한 곳, 보안의 담장이 낮은 곳을 노린다. 손쉽게 쉽게 해킹할 수 있는 허술한 곳이 너무 많은데 고도의 해킹 기술이 필요한, 그리고 해킹 침입 여부가 발각될 위험도가 높은 곳을 리스크를 감수하면서 해킹할 이유가 없는 것이다.
