디지털 시대에 나의 데이터를 지키기 위한 똑똑한 기술, 제로 트러스트
OOO님, 통관물품 확인
점심시간이 끝날 무렵, 통관물품을 확인하라는 문자가 왔습니다. 종종 해외 직구를 해서인지 "어? 내가 무슨 상품을 시켰었나?" 기억을 더듬어 보지만, 최근에는 구매한 상품이 없었습니다. 그리고 다음날은 하나카드 접수신청 문자가 왔습니다. "국제발신?" 해외에서 하나카드를 쓰지도 접수하지도 않았는데 말이죠.
두 경우 모두 인터넷에 검색을 해보니, 스미싱 문자로 확인이 되었습니다. 이러한 스미싱 문자는 왜 오는 것이고 무엇을 노리는 것일까요?
타겟은 당신의 개인정보
스미싱(Smishing) 1) 은 문자로 개인정보를 빼앗는 사이버 사기의 한 형태입니다. 주로 문자나 사이트를 통해 개인정보를 도용하려고 시도합니다. 이때 사기꾼들은 엄마, 아들과 같은 가족부터 경찰, 은행, 관세청까지 신뢰할 만한 사람을 모방하여 피해자를 꾀어냅니다.
1) 스미싱(Smishing) : SMS(문자메시지) + Phishing(피싱 Private Data + Fishing)의 합성어로 문자메시지를 이용한 개인정보 탈취 범죄
통계청에서 발표한 [범죄·안전] 보이스피싱 현황, 유형, 추이와 대응 관련 시사점('22.12.13)에 따르면 메신저피싱(스미싱)은 2019년 2,963건, 2020년 1만 3,224건, 2021년 1만 7,841건이 발생하였습니다. 그 피해금액은 2020년 587억 원, 2021년 1,265억 원으로 빠르게 증가하고 있습니다.
이렇게 우리 일상생활에 침투한 개인정보 유출과 탈취 사고는 심각한 문제입니다. 흔히 유해한 링크를 클릭하게 만들어 민감한 개인정보를 취하여 소액 결제부터 대규모 범죄까지 악용되죠. 그렇다면 우리 개인은 어떻게 이를 방어할 수 있을까요?
다음의 스미싱 피해를 막는 방법은 5가지를 꼭 기억해 주세요.
1. 문자나 메시지의 링크는 클릭하지 않기
2. 출처를 알 수 없는 앱은 다운로드 금지
4. 공공기관 알림은 사이트 주소를 확인
3. 휴대폰 소액결제는 차단
5. 피해의심 시에 바로 112에 바로 신고
대표적으로 알아본 스미싱은 개인정보 보안사고에서 빙산의 일각입니다. 개인정보 보안사고는 크게 "유출"과 "탈취"가 있습니다. 개인정보 유출과 탈취는 두 가지 다른 개념이며, 다음은 각각의 차이점과 사례를 설명합니다.
개인정보 유출 : 개인정보 유출은 개인정보가 무단으로 외부로 노출되는 상황을 가리킵니다. 주로 개인정보를 보호해야 하는 조직이나 개인의 부주의나 보안 결함으로 발생합니다. 예를 들어, 회사의 데이터베이스에서 해커가 개인정보를 얻는 경우, 내부 직원이 무단으로 고객의 개인정보를 유출하는 경우, 소셜미디어에서 개인이 자신의 개인정보를 공개하는 경우 등이 있습니다.
개인정보 탈취 : 개인정보 탈취는 무단으로 개인정보를 획득하거나 도난하는 행위를 의미합니다. 주로 해커, 사이버 범죄자 또는 악의적인 개인이 목표로 하는 정보를 얻기 위해 공격적인 방법을 사용합니다. 예를 들어, 앞선 스미싱 사례와 같이 해커가 컴퓨터 바이러스를 사용하여 개인의 로그인 정보나 신용카드 번호를 도난하는 경우, 사회공학 기술을 사용하여 사람을 속여 개인정보를 얻는 경우, 온라인 사기에서 피해자의 개인정보를 획득하는 경우 등이 있습니다.
요약하면, 개인정보 유출은 주로 정보를 보유한 측의 실수나 부주의로 정보가 노출되는 경우를 나타내고, 개인정보 탈취는 악의적인 목적을 가진 개체가 정보를 억지로 획득하는 경우라고 말할 수 있습니다
개인정보 유출의 섬뜩함
2023년 9월 영화 "타겟" 이 개봉했습니다. 중고거래 앱에서 거래 중 개인정보 유출로 타겟이 된 평범한 직장인의 이야기입니다. 영화는 개인정보가 악용될 경우 얼마나 심각한 피해를 줄 수 있는지에 대해 차례로 보여줍니다. 지난해(2022년) 국정감사에서 발표한 통계에 따르면, 2021년 상반기에만 공공기관 개인정보 유출 건수는 14만 4000건입니다. 이 중, 업무과실(유출)이 55.6%인 약 8만여 건, 해킹(탈취)으로 인한 피해가 44.4%로 약 6만 4000건에 달합니다.
특히 최근에는 휴대폰에서 모든 활동이 이뤄지다 보니, 보안이 점차 중요해졌습니다.
단순한 이름, 전화번호, 주민등록번호뿐만 아니라, 비밀번호부터 생체인식 데이터까지 해킹에 의해 탈취될 수 있는 가능성이 높아졌습니다.
실제 최근에는 수만 건의 생체(지문 및 안면) 인식 데이터가 다크웹 2)에서 유통되고 있다는 내용 또한 보도되기도 했습니다. 안면인식 데이터뿐만 아니라 지문, 사용자 이름과 비밀번호가 저장되어 있는 DB가 암흑의 경로에서 공유되고 있는 셈입니다. (출처 : 다크웹 떠도는 지문 정보만 8만 건 이상 "생체 데이터는 매력적인 먹잇감")
2) 다크 웹(dark web) : 우리가 흔히 쓰는 구글 크롬, MS 엣지, 사파리 등이 아닌 특수 브라우저만을 통해 접속이 가능하며, 접속 허가가 필요한 인터넷 네트워크를 말한다. 마약 및 총기 등 범죄, 내부고발 등에 이용됩니다.
미국에서의 개인정보 유출사고
미국에서는 과거 몇 년 동안 여러 대규모 개인정보 유출사고가 발생해 큰 사회적 이슈가 되었습니다. 이 중 대표적인 사례로 바이오스타 침해 사건이 있습니다. 2017년, 의료 정보 관리 업체인 바이오스타는 해커에게 공격당해 환자의 의료 기록과 개인정보가 유출되었죠. 이 사건은 의료 분야에서 개인정보 유출의 심각성을 드러내며 환자들의 개인정보 보호에 대한 우려를 불러일으켰습니다.
또 다른 미국의 대규모 개인정보 유출사건으로는 미국 인사국(OPM) 해킹 사건이 있습니다. 2015년, 미국 정부의 인사국(OPM)은 중국 기반 해커 공격으로부터 공격을 받았고, 이로 인해 근로자 및 소속된 가족들의 개인정보가 노출되었습니다. 이 사건은 국가 안보와 관련된 개인정보 유출로써 더욱 큰 우려를 야기하였습니다.
한편, 미국 이외에서도 개인정보 유출에 대한 문제가 발생하였습니다. 예를 들어, 지문 정보가 이미 시장에서 거래되고 있던 사례가 있었죠. 이는 생체 인식 정보의 유출 문제로, 개인의 생체 데이터가 불법적으로 수집되고 판매되는 문제를 반영하고 있으며, 이러한 현상은 세계적으로 개인정보 보호에 대한 긴장을 높였습니다.
(참고 : 미국 세관 및 국경 보호대 안면 인식 정보 유출)
한국에서의 개인정보 유출사고
한국에서도 개인정보 유출사고가 계속해서 다발적으로 발생하고 있습니다. 예를 들어, 2022년 12월에는 통계청에서 발표한 보이스피싱 현황에 따르면 보이스피싱을 통한 개인정보 유출 사례가 증가하고 있습니다. 불법 통신사업자들이 이러한 정보를 이용하여 피해자들을 대상으로 보이스피싱 공격을 수행하고 있으며, 이로 인해 개인정보 유출 사례가 급증하는 것입니다.
뿐만 아니라, 국정감사 등을 통해 공공기관에서의 개인정보 유출 문제도 큰 이슈로 부상하였습니다. 2022년 국정감사에서는 공공기관에서의 개인정보 유출이 빈번하게 발견되어 개인정보보호의 중요성을 다시 한번 강조하였습니다. 또한, 마이데이터 시스템을 도입하면서 개인정보의 주권을 개인에게 돌려줘야 한다는 주장도 나오고 있으며, 개인정보 유출사고를 예방하고 개인정보 보호를 강화하는 방안에 대한 논의가 계속되고 있습니다.
(참고 : 한국인 여권정보 21만 여건 다크웹 노출 )
이쯤 되면 더 이상 남의 이야기가 아니겠죠? 그런데 잘 생각해 보면 우리 집은 철통 보안을 꿈꿉니다. 아파트에 들어오는 차량은 일일이 게이트를 통과해야 하고, 출입문에는 CCTV가 지켜보고 있습니다. 비밀번호나 카드키를 통해서만 공동현관을 들어올 수 있죠. 그리고 세대 현관에 들어서 비밀번호를 입력합니다. 이렇게 아파트 현관은 잠그고 다니면서 개인정보 데이터는 열어둔다?
아파트 출입구 → 공동현관 → 세대현관
잘 생각해 보면 이 모든 것 또한 데이터로 저장되므로 보안을 유지하고 보호해야 하는 대상입니다.
아파트 출입구(OCR) → 공동현관(디지털 도어/안면인식) → 세대현관(디지털 도어/지문인식)
이러한 데이터는 명백히 주인이 있습니다. 데이터에 대 주인이 나 몰라라 해서는 안 되는 중요한 보안 데이터인 셈입니다.
데이터 주권에 대한 이야기
데이터 주권 : 데이터 주권은 마치 내 집의 문을 잠그는 것과 비슷합니다. 당신이 집에 있는 중요한 비밀을 다른 사람에게 알리지 않으려고 문을 잠그는 것처럼, 국가나 회사, 개인도 중요한 정보와 데이터를 외부로부터 보호하려고 노력해야 하죠. 예를 들어 회사에서 중요한 정보를 암호화하거나, 경쟁사에서 무단으로 접근하지 못하게 조치를 취하는 것이 데이터 주권입니다. 이것은 개인에게 동일하게 적용됩니다.
운영 주권 : 이것은 우리가 집을 관리하는 것과 비슷합니다. 집을 관리할 때, 누가 언제 들어오고 나갔는지를 확인하고, 문제가 생기면 바로 처리해야 합니다. 회사나 조직도 마찬가지로 컴퓨터 시스템을 관리하고 보호해야 합니다. 예를 들어, 악의적인 사람이 컴퓨터에 침입하려 할 때, 이를 감지하고 차단하는 것이 운영 주권의 일부입니다. 개인에게 데이터가 있을 때 그것을 누가 썼는지 기록관리(로그데이터)가 되어야겠죠?
소프트웨어 주권: 소프트웨어 주권은 컴퓨터에 설치되는 프로그램을 선택하는 것과 비슷합니다. 당신이 현관문에 어떤 브랜드의 디지털 도어를 설치할지 고르는 것과 같습니다. 우리는 브랜드뿐만 아니라 안면인식, 지문인식, 비밀번호 등 다양한 방식을 고려하며, 스마트폰에 어떤 앱을 설치할지 스스로 결정합니다. 회사나 조직도 다른 회사의 소프트웨어에 의존하지 않고 자신만의 소프트웨어를 만들고 사용할 수 있어야 합니다. 이렇게 하면 보안 속에서 더 많은 자유와 편리함을 얻을 수 있습니다.
요약하면, 데이터 주권은 데이터와 정보를 안전하게 보호하고 컴퓨터 시스템을 효과적으로 관리하는 형태로서, 집에 비유해서 문을 잘 잠그고, 들어오는 방법을 결정하고, 들어오고 나간 사람을 기록하는 것과 비슷하다고 설명드렸습니다. 이렇게 데이터를 지키는 전략은 구체적으로 무엇이며, 어떤 기술이 필요할까요?
캐나다에 비트코인 암호화폐 거래소를 설립해 수억 달러(수천억 원)의 암호화폐를 거래하던 젊은 CEO가 인도 여행 중에 사망합니다. 그리고 암호로 보호되던 2억 달러의 암호화폐가 사라지게 됩니다. 이 사건으로 막대한 돈을 잃은 피해자들이 그의 죽음을 의심하고 추적하는 이야기의 넷플릭스 영화 제목 Trust No One(2022)입니다.
Trust No One
아무도 믿지 마라
이 영화의 제목 Trust No One(아무도 믿지 마라)처럼 제로트러스트는 트러스트(Trust; 믿음) 이 제로(0) 이니까, 다른 말로 "아무도 믿지 마라" 또는 "아무것도 믿지 마라" 정도가 되겠습니다.
제로트러스트는 특정 기술이라기보다는, 데이터나 네트워크에 접근할 때, 무엇도 신뢰하지 않고 뭐든지 검증한다는 보안전략입니다. 예를 들어 우리가 회사에 출근해서 사내 망을 써서 접속을 한다면 사내 네트워크는 우리 컴퓨터에 접근 권한을 부여합니다. 하지만 제로 트러스트에서는 뭐든지 다 검증하는 방식을 취합니다.
사용자가 누구인지? 접속장비는 허가를 받았는지? 어떤 접근 권한을 가지고 있는지 말이죠. 또한 한번 로그인하면 모든 데이터에 접근 권한을 같은 것이 아니라, 각각의 데이터와 시스템에 접근할 때 사용자/장비/권한에 대해 다시 유효성을 검증해야 합니다.
우리가 기존에 사용하고 있던 보안 모델은 "경계기반 보안모델"이라고 합니다. 이 모델은 특정 영역의 경계를 정해 놓고, 그 경계를 강화합니다. 그리고 해당 영역 안에 있는 내부자에게는 신뢰와 권한을 부여하는 방식으로 작동합니다. 하지만 앞서 살펴본 것처럼 오늘날 해킹 공격이 고도화, 지능화되고, 지켜야 하는 개인정보와 데이터의 중요성이 매우 높아졌습니다.
그래서 대안으로 등장한 것이 제로트러스트입니다. 미국 표준기술연구소(NIST)는 제로 트러스트의 아키텍처 7가지 원칙(7 tenets)을 발표하였습니다.('20.8) 또한 미국 대통령 바이든 정부도 사이버 보안 강화를 위해 제로트러스트 추진 행정명령을 발표하기도 하였습니다.('21.5)
보안 위협은 언제 어디서든 발생할 수 있습니다. 그것을 전제하고 1) 지속 인증 2) 정밀한 권한 3) 신뢰성 평가 3가지 요건을 갖춘 사용자만 데이터에 접근하도록 하는 것이 바로 제로트러스트의 개념입니다. 제로트러스트의 적용을 위해서는 실제 경험이 많은 전문가와 기업들이 많이 있어 도움을 받는 것이 좋겠습니다.
데이터의 활용과 보안은 양날의 검이다.
It's a double-edged sword
오늘날에는 데이터가 막강한 힘과 지위를 가지게 되었습니다. "나"라는 존재를 증명하기에 내 얼굴과 지문이 필요합니다. 정확히 말하면 내 안면 데이터와 지문 데이터입니다. 데이터는 올바르게 활용하면 더 큰 편리함을 제공하지만, 그 반대로 잘못 사용되면 상당한 피해를 입힐 수 있습니다. 이처럼 데이터의 활용과 보안은 양날의 검입니다.
물론, 기존에 아이디나 패스워드와 같은 데이터보다 개인의 생체 정보(안면, 지문 등)가 훨씬 보안성이 높고 안전한 것은 맞습니다. 하지만 이 역시도 고정된 값을 이용해 인증을 한다는 한계가 존재하기 때문에 제로트러스트의 관점으로 보자면, 2단계 보안 인증(2FA)을 통해 보안 단계를 높임으로써, 개인 정보를 보호하기 위한 장치를 마련한다거나, 최근 사용자 및 기기 간 인증에 활용되고 있는 단방향 다이내믹 인증 기술인 OTAC(One-Time Authentication Code)와 같이 실시간으로 매번 변경되는 일회성 인증 방식 등을 통해 보안성을 높이기 위한 노력을 해야 할 것입니다.
인공지능의 발전과 윤리적 가치와 마찬가지로, 보안은 우리가 인식하고 꾸준히 개선해 나아가야 할 또 다른 중요한 가치입니다. 나의 데이터, 우리 회사의 데이터의 가치를 인식하고, 이를 보호하는 보안의 개념에 대해 신중하게 생각해 보는 계기가 되기를 바랍니다.