2014년 1월 23일 목요일

최악의 카드 보안사고..."동의했지 않느냐"고?


신용카드 고객정보 유출 사건을 지켜보기만 했는데 답답해서 짚고 넘어갈까 합니다. 부총리가 했다는 말... “우리가 다 정보 제공에 동의해줬지 않느냐"고 했다는데, 대체 이게 무슨 말인가요? 대한민국 부총리 맞나요? 앞뒤 정황을 모르는 바는 아니지만 지금은 결코 이런 말이 나와선 안되지요. 사태의 심각성을 제대로 모르고 있는 게 아닌가 싶습니다.

저는 이번 사고가 밝혀진 후 최고수 해커와 자정이 넘도록 얘기를 나눴습니다. 해킹 또는 시큐리티와 관련해 자문해주는 사부이자 친구입니다. 이 친구 얘기를 듣고 많이 놀랐는데 신문에는 쓰지 않았습니다. 보안사고/해킹 사고는 기사 쓰기가 고약합니다. 기자가 현장을 직접 들여다볼 수도 없고, 해커가 들려준 얘기를 그대로 쓰기도 그렇고….



비유로 이야기를 시작하겠습니다. 파출소 무기고가 털렸습니다. 강도들이 총과 탄약을 모두 가져갔습니다. 그로부터 1년 후 경찰은 "무기고가 털렸는데 무기를 모두 회수했다"고 발표합니다. 한달쯤 후엔 "다시는 털리지 않게 하겠다"며 대책도 내놓고... 국민들은 '회수됐다니 다행'이라고 생각하겠죠. 이번 사고도 이렇게 마무리되면 좋겠습니다. 그래야죠.

하지만 의혹은 풀리지 않았습니다. 파출소에서 털린 총기라면 1년 뒤에도 100% 회수하는 게 가능하죠. 그러나 USB에 담아서 넘긴 디지털 파일은 다릅니다. 컴퓨터에 꽂자마자 복제할 수 있습니다. 더구나 맘씨 좋은 사람한테 넘어간 것 같지도 않고... 도대체 "전부 회수했다"고 말하는 근거가 뭔가요? 파일이 전혀 복제되지 않았다는 증거가 있나요?

제발 복제 파일까지 100% 회수됐길 바랍니다. 만약 1%라도 회수되지 않았다면 두고두고 문제가 됩니다. 제가 만난 해커는 “최악의 사고”라고 말했습니다. 유출된 19가지 정보에는 카드 번호, 카드 유효기간, 결제계좌, 이메일도 포함됐죠. 그렇다면 남의 이름으로 사이트에 가입하고, 대포폰 만들어 본인인증도 하고, 돈을 빼갈 수도 있다는 겁니다.



아직 2차 피해는 없다? 누가 이런 말을 했답니까? 파출소 털렸다고 사방에 군경이 깔렸는데 어떤 바보가 총 들고 은행 털러 나타납니까? 제가 만난 해커는 “3, 4년은 묵혀놓지 않겠느냐"고 하더군요. 까맣게 잊혀질 무렵부터 입수한 데이터로 못된 짓을 시작할 거라고. 구글플레이에서 앱을 사는 바람에 들통난 걸로 봐서는 하수로 보이긴 합니다만…

고객정보를 KCB에서 빼간 게 아니고 카드사에서 빼갔다는 말도 믿기 어렵습니다. 카드사는 고객정보를 암호화해야 하는 반면 KCB는 암호화가 의무사항은 아닙니다. 굳이 카드사까지 가서 암호화된 데이터를 훔쳐갈 이유가 있을까요? 민감한 데이터에 아무나 접근할 수 있고 USB에 담을 수 있다는 것도 코미디죠. 암호화조차 안한 게 아닐까요?

유출된 정보가 어떻게 악용될 수 있는지는 자세히 쓰지 않겠습니다. 제가 만난 해커는 한꺼번에 수억원을 빼가는 대형 사고보다는 낌새 채지 못하게 여러 사람한테 소액씩 지속적으로 빼가는 사태를 우려했습니다. 많은 사람이 피해자가 될 수 있겠죠. 특정인, 특정조직을 겨냥한 ‘타깃 공격’에 악용될 수도 있습니다. 국가기밀 산업기밀이 위험해집니다.



제가 만난 해커는 “최악의 보안사고"라고 했습니다. “대책이 없다"고 했습니다. 어떤 대책을 내놔도 19가지 정보를 쥐고 있으면 얼마든지 못된 짓을 할 수 있다는 겁니다. 그래서 정부 말대로 100% 회수됐길 간절히 바랍니다. 저도 이번에 털려서 화가 납니다. 누가 옆에서 “정보 제공에 동의했지 않느냐"고 말하면 주먹부터 날아갈 것 같습니다. [광파리]