Security, transactions, security.
Stories(younjin.jeong@gmail.com, 정윤진)
Image from: http://www.dw.de/image/0,,15907732_303,00.jpg
대부분의 신용거래가 전산으로 이루어지고 노란색 월급 봉투가 없어진지 근 이십년이 되어가는 이 시대에서 발생해서는 안되는 일이 일어났다. 물론 이번이 처음은 아니지만, 이번만큼 그 파급효과가 막대하고 각 개인의 금융 및 금융 정보에 대한 위협이 모든이에게 직접적으로 와 닿은 일은 이번이 처음이 아니었나 싶다.
http://www.bbc.co.uk/news/technology-25808189
이는 창피하고 부끄러운것을 떠나서, 각 개인의 금융 자산의 규모가 사회에서의 지위를 결정할 정도로 중요시 되는 현대 사회에 개인의 자산, 소비 패턴, 그리고 그를 넘어 국가 전체 국민의 부를 가늠 할 수 있을만한 규모의 정보가 유출되었다는 점에서 문제의 심각성이 대단하다. 이는 정보를 획득한 자가 원하기만 하면 어느 은행의 누가 전기세를 가장 많이 내고 있는지, 그리고 할부 구매한 차량이 무엇이고 상환해야 할 대부금이 얼마인지까지 알 수 있으며, 소득 수준별로 1억건의 데이터를 좌우로 정렬 시킬 수 있을만한 가공한 정보가 되는 것이다. 주민등록 정보 따위는 이미 바다건너 사람들의 공공재가 되어버린지 오래 되었을 정도기에 별도의 언급 조차 필요 없지 않나 라고 생각하는 내가, 또 우리의 국가 기관의 정보 보호 시스템이 기가막힐 따름이다.
지난 모든 금융과 관련된 사태에는 관리의 헛점과 전산과 관련된 업무의 패턴, 그리고 관료주의적이며 폐쇠적인 금융 전산의 환경과 다양하게 관계되어 있는 신용평가 시스템 및 업체, 그리고 보안과 관련된 깊이 있는 이해 자체가 부족하기 때문에 발생하는 총체적인 난국이라 해도 다름 아니라고 본다.
Authentication 과 Authorization 에 대한 구분이 없고, 시시콜콜한 보안 규칙을 모두 지킨다는 것은 불가능 하기에 패스워드는 모든 업무 관계자들이 공유하지만 문서상으로는 국내의 각 기관의 인증으로 하등의 문제가 없다고 평소에 인식된다. 하드웨어 또는 소프트웨어에 이상이 생기면 관리를 대행하고 있는 관계 업체에 모든 권한을 일임하는 업무 행태가 현재 우리 국가의 금융 정보 자산의 신뢰성에 대한 심각한 문제를 발생시키지 않았나 생각해 본다.
전산 시스템이라는건, 이제 믿을 수 없거나 신뢰하기 힘든 무엇이라기엔 그 기술의 숙성 기간이 짧지 않다. 이번 사건이 어떤 천재적인, 예를 들면 케빈 미트닉과 같은 범인은 이해할 수 없는 천재에 의한 소행이었다면 무언가 더 발전해야 할 것이 있으며, 기술자들과 데이터 과학자들에 의해 충분히 보완될 수 있을 것이다. 하지만 본 사건은 국내의 모든 금융 사이트에 널부러져있는 액티브 엑스와 같이, 보안에 대한 잘못된 이해와 부도덕한 개인 하나가 전체 금융 시스템을 충분히 무너뜨릴 수 있다는 있어서는 안되는 일이 발생 할 수도 있다는 무서운 진실을 내포한다.
만약 담당자가 이러한 각 금융 데이터에 대한 쓰기 권한까지 있었고, 이를 통해 신용 정보에 대한 수정 권한까지 부여 받았다고 생각해 보면 어떨까. 영화 다이하드에서나 보던 악의적인 사람으로 인해 어떤 개인에게는 십수년간 쌓아 만든 숫자에 0 두개가 삭제 될 수 있으며, 학자금 대출로 힘겹게 졸업하고 이제 막 취업한 신입 사원의 금융 정보가 대부업체에 노출되어 고리의 악성 루프에 빠질 수 있도록 하는 촉매제로 작용 할 지도 모른다. 이 얼마나 무서운 일이 아닐수 없겠느냐 말이다.
어떻게 대처해야 한다 하는 국가 및 금융 기관의 대응에 대해서 열거하고 싶지는 않다.
이는 충분히 높은 보안 수준의 업무를 진행해야 하는 기관들, 예를 들자면 금융, 의료, 각 기업에서 필요한 체제 그 자체를 변혁하지 않는다면 쉽게 해결될 수도 없으며 다음에 다시 발생하지 않으라는 법도 없다.
내가 말하는 체제란, 그동안 유지 되어 왔던 오랜 업무 관행 대신 국제 수준에 맞는 전산에 대한 금융 시스템 검증 체계를 따를 필요가 있다는 점이다. 이는 단순히 방화벽 한두대로 해결되는 것이 아닌, 운영에 대한 총체적인 주기적 감사와 규제를 적절히 지키고 있는가에 따른 인증을 통한 신뢰성 확보를 말한다. 물론 국내의 인증 수준이 아닌, 글로벌에서 인정 가능한 수준의 체제 확보가 우선이 아닐까 싶다.
최고로 보수적이라고 불리는 전산 시장에서 최고의 보안성을 구가하고 있는가.
모든 데이터센터를 직접 운영해야 하는 오버헤드로 인해 규정을 등한시 한 채 업무의 편리를 추구하고 있지 않는가.
월 스트리트나 체이스 같은 은행, VISA 및 Mastercard 와 같은 신용카드 회사 또는 Paypal 과 같은 시스템에 동일한 문제가 발생했을때의 파급 효과는 이정도로 끝날 수는 없을 것이다. 우리는 과연 그와 같은 금융 자산의 소비와 축적, 그리고 보관에 충분히 조심하고 있는가.
아니라고 본다 나는.
아마, 바닥을 알고 계신 분들은 대부분 다 공감하지 않겠나.
누군가는 책임을 지고, 누군가는 국민의 공분을 산 이번건으로 인해 시범 케이스 신세를 피할 수 없겠지만, 그래서 끝날 일은 아니라는 걸, 우리 모두가 알고 있는걸 좀 강하게 바꿔 주었으면 하는 바램이 있다.
http://m.clien.net/cs3/board?sharer=1&bo_style=view&bo_table=park&wr_id=26691950
전산을 업으로 삼고 있는 입장에서 하도 어이가 없는 일이 벌어져 답답한 마음에 끄적여 본다.
근데 궁금한게 있는데 우리나라에 개인 신용 평가 기관은 왜 존재하는 것인지 알 수가 없을때가 많다는.
(younjin.jeong@gmail.com, 정윤진)