개인정보 유출사고, 한국이 1등

개인정보 유출사고

미국 보안회사 ‘SafeNet’이 제공하는 ‘개인정보 유출사고 TOP’ 10위 중 한국이 무려 4건을 기록해 3건인 미국을 제치고 1등 했다. 그중에서도 지난 1월에 벌어졌던 신용카드사 개인정보 유출사고는 당당히 1위를 차지했다. 이로써 대한민국은 교통사고 사망률, 자살률, 이혼율, 해외입양, 고급 위스키 소비, 저출산율, 부패인식지수, 학생 공부시간, 공교육 민간부담률, 노인 자살률, 항생제 사용률, 남녀 임금 격차 등에 이어 또 하나의 ‘세계 1위’ 타이틀을 얻게 되었다. 무지 부끄러운데도 왠지 좀 자랑스럽기도 하고 아주 복잡미묘한 기분이다.


출처: www.breachlevelindex.com/#!breach-database분야 불문, 사고 터지고 나면 늘 터져 나오는 탄식, ‘소 잃고 외양간 고치기’개인정보 유출사고가 터질 때마다 늘 대책이랍시고 회자되는 몇몇 주장들이 있다. 보안 실무자뿐 아니라 고위직 임원급까지 책임지자, 징벌적 벌금을 때려 경종을 울리자, 근본적인 대책을 마련하자 등등. 열띤 성토는 ‘선진국에선 일을 이딴 식으로 하지 않는다’는 비웃음으로 끝맺는다.

그런데 선진국에선 정말 이딴 식으로 하지 않을까? 사정이 어떤지 알아보기 위해 위 목록에서 아쉬운 2위를 차지한 미국 ‘Target’사의 사고 정황과 뒤처리를 살펴보자.

유통업체인 Target사가 잃은 것은 고객의 신용카드 정보다. 유통업체 특유의 허점인 POS (Point Of Sales) 시스템을 통해 개인정보가 유출되었다. 웹을 통해 유입된 악성코드 감염에 따른 결과였는데, POS 시스템은 웹에 연결되어 있지 않기 때문에 우선 웹 연결이 가능한 회사 내부 시스템 침투를 노렸다. 최초 침투 경로는 하청업체인 냉난방기기 관리회사를 통해 접근한 걸로 추정된다.

침투 후 범인은 내부 서버를 장악하고 이를 통해 배포한 악성코드에 감염된 POS 시스템으로부터 카드 정보를 탈취해 외부 FTP로 전송했다. 러시아에서 만든 것으로 확실시되는 악성코드는 자기 자신을 정상적인 서비스인 것처럼 위장하고 실행되었다. 사고 발생 전 몇 차례 의심 경보가 있었지만 보안 담당자는 이를 무시했다.

여러 정황을 놓고 볼 때 웹 애플리케이션 취약점을 노린 공격으로 보인다. 가장 위험한 침투 경로인 웹 공격의 90% 이상이 웹 애플리케이션을 노리는 공격이므로 사건 규모가 클 뿐이
지 아주 특이한 사건은 아니고 하도 흔한 일이라 별로 놀랍지도 않다. 그렇게나 위험한 웹 애플리케이션 보안 조치가 다른 분야에 비해 영 시원찮다는 현실이 훨씬 더 놀랍지.

그럼, 사고 이후 취해진 경영적 조치에 대해 알아보자.

최고정보책임자 CIO가 사고 책임을 지고 사임했다. 그리고 최고정보보안책임자 CISO 제도를 신설했다. 적절한 조치다. 기업 보안은 결국 보안 거버넌스, 즉 리더십 + 조직구조 + 프로세스의 문제니까. 그런데 CISO의 업무 보고 대상이 CEO나 이사회 전체가 아니라 CIO라는 점은 어째 좀 이상하다. 정보 보안의 중요성에 대한 인식 한계 아닌가 싶어 아쉽기도 하다.

CIO에 이어 최고경영자 CEO가 사임했다. 스타인하펠 CEO는 Target사에서 무려 35년 동안이나 재직한 인물이다. 스타인하펠은 브랜드 신뢰도 추락을 걱정해 사고 사실을 공개하지 말라고 말리는 임원진을 무시하고 “Target은 해킹 피해가 아니라 해킹에 어떻게 대처했느냐로 기억될 것”이라며 공개를 결정했다. 마땅한 말이고 또 낭만적이기도 하나 그 결과는 실로 참혹, 매출과 주가는 급락하고 결국 스스로 사임에까지 이르고 말았다.

한창 진행 중인 일이긴 하나 사건 직후 각계 전문가들은 Target사가 벌금만 따져 30억 달러 이상을 물게 되리라고 전망했다. ‘개인정보가 유출되면 회사가 망한다’는 사회적 인식에 따른 징벌적 벌금으로도 해석할 수 있으나 유출된 개인정보의 수가 너무나 많아 이런 놀라운 액수가 나온 것. 건당 액수가 일정한 벌금을 건수에 따라 누적해 총액을 매기는 제도는 시사하는 바가 크다.

벌금뿐 아니다. Target사는 기존 마그네틱 카드를 마이크로프로세서와 메모리를 내장해 위변조가 어렵고 사용할 때마다 고유 암호를 생성해 복제하기가 어려운 IC 칩 카드로 교체하는 데 약 1억 달러, 카드 감시 시스템에 수천만 달러, 브랜드 재건에 수억 달러를 써야 했고, 카드 재발급, 콜센터 인력 충원, 수사 및 데이터 보안 부서 신설, 정부 조사와 개인 소송에 따른 변호사 비용 등으로 천문학적 손실을 감당하며 겨우겨우 버티고 있다. 규모가 작은 회사였다면 진작 망했을 것이다.

그리고, 기술적 조치에 대해 알아보자.

POS 시스템을 통한 유출이었던 까닭에 대책 또한 우선 그 부문에 집중되었다. 카드 검증 방식을 미리 지정된 목록만 통과시키고 나머지는 모두 차단하는 화이트 리스트 방식으로 변경함으로써, 사업적 효율을 포기하고 대신에 안전을 최우선하기로 결정했다. 간단해 보이지만 결코 쉽지 않은 결정이다.

연계된 회사끼리 주고 받는 웹 트래픽의 보안성 검토 수준을 높이고, 문제가 되었던 대외 연계 업체의 서버 접근 가능 범위를 최소화하고 모니터링 정책을 대폭 강화했다. 보안 경고에 대응하는 정책을 강화하고, 모든 보안 관련 로그를 중앙 집중식으로 관리하는 시스템을 도입했다.

관계자 전원의 비밀번호 교체, 비밀번호 외 여타 수단을 동원해 다중으로 신원을 확인하는 2팩터 인증, 비밀번호 최소 길이 확대, 계정별 권한 축소, 공통 계정 금지, 비밀번호 관리 교육 강화 등 임직원 계몽 활동도 한층 강화했다. 다소 뻔해 보이지만 문제의 진짜 핵심에 근접한 적절한 조치들이다.

진짜 핵심은, 가장 자주 공격 받는 그리고 가장 위험한 대외 연계 보안과 웹 애플리케이션 보안. Target사의 사고를 보더라도 겉으로는 POS 시스템 허점이 크게 부각되었지만 실상을 살펴보면 대외 연계 보안과 웹 애플리케이션 보안이 문제의 근원이었다. 웹을 통해 소비자와 소통하고 웹을 통해 협력사와 소통하는 웹 시대의 보안, 가장 집중해야 할 두 분야라 할 수 있다.

Target사의 경우와 한국의 유사 사례를 비교해 보면 비슷한 점과 다른 점이 한데 막 섞여 뭐가 어떻게 다른지 딱 잘라 말하기 애매하지만, 이것 하나만큼은 확실히 다르구나 싶다. 선진국,

그들은 어쨌든 논리적이고 합리적으로 행동하는 것 같다. 좀, 아니 상당히 부럽다.