휴일이라고 '보안'까지 쉴수 없다.

 징검다리 휴일이 끼어 있는 5월이다. 우리에게는 간만에 찾아온 단비와 같은 연휴이다. 하지만 , ‘사이버 테러리스트’들에게는 ‘하나의 기회’가 될 수 있다. 감시가 소홀해 지는 틈을 타서 ‘사이버 테러’를 일으킬 수 있기 때문이다.

 두 달 전 각종 언론매체와 실시간 검색어에서 ‘사이버 테러’와 관련된 말을 볼 수 있었다.

사진출처 : http://sweetinside.tistory.com/457

 

바로 '3.4 DDoS' 이다. 공격자는 평일 업무를 마감하고 주말이 시작되기 전인 금요일 저녁에 공격을 계획했다. 하지만, 사전에 그 정황이 포착되면서 오전부터 공격을 하게 되었다. 이처럼 공격자는 보안에 대해 취할 수 있는 시기를 공격시점으로 계획한 것이다.

 ‘3.4 DDoS’ 이외에도 최근에 고객 개인정보유출, 금융사의 보안사고 등의 보안 관련 사건이 있었다. 이 사건과 관련해서 많은 기업들이 다시 한 번 기억했으면 하는 세미나가 있어서 소개하려고 한다.

 3월 16일 대한상공회의소 국제회의장에서 ‘기업 정보 보호 이슈’를 논하는 자리인 ‘Security Forecast 2011’ (이하SF 2011)이 바로 그 현장이다.

 SF 2011은 총 5 가지 이슈로 진행이 되었다. 그 중 최근에 있었던 보안 사고와 관련된 두 가지 이슈에 대해서 이야기 하려고 한다.

개인정보보호법에 의한 기업이 갖춰야 할 개인 정보 보호 수준 

-  YOUME 법률 사무소 전응준 변호사

  3월 11일 국회 본회의에서 통과가 된 ‘개인정보보호법’ 어떠한 인식에서 개인 정보보호법이 발생하게 되었는가?

  첫 번째, 2009년 통계 결과 개인 정보 침해 사고는 3만 건에 달했다.  하지만, 침해사고 중 68%는 정보통신망법(이하 망법)에 의한 보호를 받지 못했다. 이처럼 개인 정보 침해 사고는 그 동안 법의 사각지대에 놓여 있었다.

  두 번째, 기존의 망법은 컴퓨터에 의해 처리되는 개인 정보에 대해서만 효력이 있었다.

 9월부터 시행되는 ‘개인정보보호법’에서는 컴퓨터에 의하여 처리되는 개인정보 외 손으로 기록된 문서(오프라인 영역)를 모두 포함 하는 것이다. (참고: 정보통신분야는 개인정보보호법 제정 이후에도 망법에 의하여 규율된다고 한다.)

개인 정보 수집 시에 ‘최소한의 개인정보수집에 대한 입증책임은 사업자가 부담’ 이라는 항목이 있다. 이 항목에 의해서 생길 수 있는  문제를 생각해 봤다.

'웹 사이트에서 회원 가입 시 회원 가입 서비스에 동의를 하는 부분을 볼 수 있다. 보통의 경우 동의를 하지 않으면 가입이 안 된다. 만약 이 문제에 대해 개인이 법적 조치를 취하는 경우를 생각해보자. 이 경우 사업자 입장에서 ‘최소한의 정보’라는 것을 증명을 해야 되는 문제가 발생하는 것이다. '

 ‘개인정보 영향평가’라는 항목이 새로 생겼다. 영향평가를 안하는 기업에게는 소니, 현대캐피탈 사태와 같은 개인정보 누출 사고시에  손해배상 책임 범위가 더 커질 것으로 생각된다. 그리고 이전에는 개인정보 유출 사고시 기업 혼자 끙끙 앓고 있었다. 그리고 기업 자체적으로 문제를 해결한 다음 없었던 일로 해왔던 것이 관례이다. 하지만, 지체 없이 해당 정보주체에게 사실을 알려야 한다. 그리고 KISA와 같은 전문기관에 대하여 지체 없이 신고해야 된다. 신고를 안하고 있다가 피해가 확대되면 담당자가 그 부담을 앉게 된다.

  

 개인 정보보호법의 의의

 1. 법적용 사업자 영역 확대 : 개인 정보 보호를 업무 프로세스에 적용을 해야 된다.

 2. 개인 정보의 보호 범위 확대 : 종이 문서에도 보안, 보호를 해야 된다.

 3. 개인 고유 식별 번호에 대한 강화 : 주민등록번호와 같은 고유 식별번호를 사용을 못하는 경우도 생길 수 있으므로 기업의 비지니스 모델도 변화될 것 같다.

 개인정보보호법이 실행되면 기업들 추가적인 사회적 비용이 들것이다. 그러나 개인 정보 보안은 전 세계적인 트렌드 기업이 꾸준히 대응을 잘 해서 자신에게 맞는 사업 모델 , 프로세스를 적립하는 것이 좋은 것이라고 생각한다.

금융 IT 의 현재와 미래 전략 – 고려대학교 김인석 교수

금융 IT의 현재, 변화, 변화에 대한 대응이라는 주제로 진행이 되었다.

 - 금융 IT의 현재 -

  

 금융 거래 이용 수단을 보면 인터넷 뱅킹은 적정선에서 계속 유지 되고 있다. 반면, 모바일 뱅킹은 점점 더 늘어나고 있다. 스마트폰 가입자가 늘어나고 있는 것이 모바일 뱅킹에도 영향을 준 것이다.

 사고, 장애 현황을 보면 2009년까지는 ‘노출된 개인 정보’를 이용한 사고가 많았다. 그러나 2010년부터는 사고 발생 수는 감소했으나 신용카드 복제 사고, 시스템 마비 등의 새로운 사고가 발생했다. 특히 DDoS 공격 시에는 금융업계에서는 항상 대응을 하고 있어서 큰 문제가 없었다. 이번 3.4 DDoS는  7.7 때와 거의 비슷한 공격이 들어와서 큰 피해가 없었다. 하지만, 큰 피해가 없었던 것이 대응을 잘하고 있는 것이라고 볼 수 있을까?? 아니다. 지금과는 다른 형태의 공격이 올 수 있다는 것을 생각해서 방어 대책을 마련해야 된다.

 - 금융 IT의 변화-

 IT 인프라가 변화하고 있다. 그 중 항상 휴대할 수 있는 개인 디바이스(예: 스마트폰 )가 발전하고 있다. 이로 인해서 편리성과 효율성이 증대했다. 그리고 NFC, IPTV 등 신개념의 거래 수단이 확대되고 있다. 

 NFC(Near Field Communication) 를 이용해서 신용카드 결제와 , 전자화폐 충전(예: T-Money) 등이 가능하다고 한다.

  현재 IPTV 뱅킹이 있다. 그러나 ‘IPTV 뱅킹’에 대해 생소한 분들도 많을 것이다. 활성화가 되기 위해서는 PC 와 Phone 이 결합된 스마트폰처럼 PC 와 TV 가 결합되는 형태의 IPTV 업그레이드가 필요하다.

 ‘개인정보보호법’이 만들어 지면서 주민등록번호나 계좌번호와 같은 정보를 암호화 시켜야 한다. 하지만, 무조건 법에서 요구하는 대로 한다면 상당한 비용과 시간이 소요될 것이다. 그러므로 현재시스템에서 수용가능한지 봐야 될 것이다. 

 변화에 따라 새로운 위협이 발생할 수 있다. 클라우드 컴퓨팅 환경 하에 위협, DDoS 등 해킹 공격이 증가 될 것이다. 그리고 다양한 거래 채널이 만들어진다. 그 만큼 다양한 공격 Root 가 생긴 다는 것으로 볼 수 있다.

 - 변화에 대한 대응-

 

 감독원에서는 기존의 인터넷 뱅킹과 유사한 기준을 바란다. 하지만, 기존의 정책을 그대로 갖고 오게 되면 새로운 기기의 사용 발전을 저해시킬 수 있다.

 확인되지 않은 무선망 이용하지 말아야 한다. 불법 무선공유기를 이용하여 비정상적인 서비스 접근을 유도하는 위협이 발생할 수 있다. 암호화가 제대로 안된 무선망에 대한 사용을 막아야 한다. 스마트폰에서 계좌 정보와 같은 중요한 정보까지 빠져나갈 수 있다.

 NFC를 이용하면 가져다 대기만 해도 결제가 된다. 그러면, NFC 결제시 본인확인을 어떻게 할 것인가? 이 문제에 대한 해결책으로는 스마트폰에 지문인식을 넣는 것이 있을 수 있다. 지문인식과 같은 본인이 갖고 있는 생체정보가 보안에 가장 좋을 것 같다.

사진 출처 : http://thetaekwonvlab.tistory.com/45

 계속되는 IT 환경변화에 신속한 대응 없이는 경쟁을 할 수 없을 것이다. 그리고 신속한 대응이 없다면 사고 및 장애가 일어나기 마련이다. 이런 사고들은 여러 기관에 치명적인 영향을 줄 수 있다. 이처럼 강화되는 IT Governance 는 피할 수 없는 현실이다. 

 그 동안 보안에 대한 계획은 많이 해왔다. 앞으로는 그 계획을 실천해야 되는 중요한시기라고 생각한다.