지난해 한 언론사가 기업 및 정부기관의 CSO(최고보안책임자)와 보안담당자 2,674명을 대상으로 시행한 설문조사 결과에 따르면, <정보보안이 가장 필요한 산업행 분야>는 '금융업'이다. 당연하다. 그간 대한민국을 떠들썩하게 했던 대형 정보유출사고가 대부분 금융권에서 발생했다는 사실도 당연함의 까닭이고, 금융 신상정보 은행계좌정보 신용카드정보 등 금융정보가 유출되는 경우엔 금전탈취 등 직접적 피해의 위험뿐 아니라 피싱이나 스팸에 따른 간접적 2차 피해의 규모가 여타 다른 정보가 유출된 경우에 비해 매우 크고 치명적이기 때문이다.
그렇다면, 스타트업 필드에서 정보보안이 가장 필요한 산업 분야는 뭘까? 반전 없이 역시나 금융업이다. 그러다 보니 여러 스타트업 사업분야 중 금융업과 가장 밀접한 핀테크 사업은 안전을 의심하는 사회적 우려와 지나치다 싶을 정도로 엄격한 관련 규제 때문에 해외 핀테크 업계만큼 활발하게 확대되지 못하고 있다. 그래서 지난해 정부 주도로 규제 완화를 위한 노력이 진행되어 보안성 심의절차 간소화 및 인증방법평가위원회 제도 폐지 등의 보완책이 나오기도 했지만, 규제가 없다고 해도 자체적으로 보안수준은 어떻게든 높여야 한다는 부담감이 사업 운영에 방해물이 되고 있다. 이에 따라 지난해 9월, 금융보안원에서는 핀테크 스타트업의 보안수준을 진단하는 업무를 개시했지만, 이는 진단에 그칠 뿐 근본적인 해결책은 아니다.
그런데 혹시 "우린 핀테크가 아니라서 다행이야!"라고 안심하고 있다면, 그건 매우 위험한 오해다. 핀테크 스타트업이 다른 업종에 비해서 정보보안에 특별히 주의를 기울여야 한다는 건 틀림없는 사실이지만, 핀테크가 아니라고 해서 안전한 것은 또 아니다. 해킹사고는 금융권에서만 일어나지 않는다. 해커들이 노리는 범죄 목적 또한 금융정보 탈취가 전부가 아니다. 금융 관련 해킹사고의 치명성 때문에 유난히 크게 이슈가 되는 것일 뿐, 해커들이 노리는 업종은 따로 있지 않다.
해커들은 도대체 어떤 정보를 노릴까? 또한, 그들이 해킹하는 이유는 무엇일까? 해킹하는 직적 목적과 간접 목적을 나누어 살펴보자.
첫째, 돈을 훔치는 해커의 직적 목적은 금융정보를 통한 금전탈취라고 할 수 있다. 바로 며칠 전에도 모 금융사의 '기프트카드 해킹사건'이 발생했다. 용의자인 중국 해커들은 카드사 홈페이지에서 가짜 카드번호를 생성하는 프로그램을 가동해 카드번호와 CVC(카드보안코드), 유효기간 등을 무작위로 입력해 잔액이 조회되는 카드에서 돈을 빼냈다. 임의의 숫자가 반복 입력되면 접근을 차단하는 건 보안의 기본 중 기본인데도 그 정도 보안장치도 없이 허술하게 관리했던 것이다. 이렇듯 정보 자체의 금전적 가치를 직접 노리는 해커들은 대개 국제범죄집단에 속한 자들이라서 범죄수법이 매우 대담하고 과격하며 그 피해 또한 구체적인 액수로 나타나기 때문에 범죄유형만 놓고 보자면 가장 위험하다고 볼 수 있다.
둘째, 잠재고객의 '가치'를 파는 해킹의 간접 목적은 정보 자체의 매매다. 이 또한 결국엔 돈을 노리는 거지만, 범죄의 양상은 조금 다르다. 이 유형의 해커들은 불특정 개인정보를 마구 탈취해 해커들의 암시장인 '다크웹(Dark Web)'에서 팔거나 정보를 훔쳤던 회사의 경쟁사에 팔아넘긴다. 이들은 돈을 직접 노리는 해커들에 비해 비교적 순한 편이지만 그 수가 훨씬 많으므로 오히려 더 위험하다.
실제 사례를 보자면, 나는 'EBS 개인정보 유출 사고'의 피해자다.
EBS 400만 명 개인정보 유출 사과문
'EBS 개인정보 유출 사고'는 EBS 웹사이트에 가입한 전체 회원 4명 중 1명, 무려 400만 명의 정보가 유출된 대형사고였지만 당시엔 다들 "주민등록번호는 무사하다니까 괜찮지 뭐"라며 대수롭지 않게 넘겼다. 교육 관련 사이트에 있는 개인정보는 금융정보보다 덜 위험하다고 생각했기 때문이다.
그런데, 2012년에 벌어진 사고 이후로 단 한 번도 가입한 적이 없는 온갖 회사들에서 이상한 문자와 메일들이 날아오기 시작했다. "당신의 재수! OO기숙학원이 책임집니다!", "수리영역 3등급 » 1등급 상승 비법 바로 가기", "OO보건대학교 미용학과 신입생 모집, 뷰티헤어 전문학사 취득" 등의 문자가 정말 지겹도록 날아왔다. 전에 보던 스팸은 대출 권유 혹은 통신사 및 단말기 변경이 대부분이었기 때문에 교육 업체의 스팸은 생소했다. 아니 이 사람들이 내 전화번호를 어떻게 알았지? 해커들은 EBS라는 거대한 교육기관이 보유한 학생들의 정보 자체가 암시장에서 충분한 가치가 있다고 판단했기 때문에 정보를 노렸고 그렇게 빼돌린 정보를 각종 교육업체에 팔았던 거라는 의심은 추측일 뿐이지만 정황상 지나친 비약은 아닐 듯싶다.
이는 해외에서도 흔히 벌어지는 일이다. 작년 6월 '일본연금기구(JPS)'가 해킹을 당해 약 125만 건의 연금 정보가 유출된 사건을 보자. 내부 직원이 정부 공문서로 위장한 바이러스 메일을 무심코 열었다가 벌어진 일인데, 유출된 정보는 이름, 개인기초연금번호, 건강보험피보험자번호, 행정기관이 개별로 부여한 번호, 주소, 생년월일 등이었다. 한국에서는 "우리나라는 한 번에 1억400만 건이 유출된 적도 있는데 고작 125만 건 갖고 왜들 그래?"라는 시큰둥한 반응이 대부분이었지만, IT적으로 보다 폐쇄적이고 특히 개인정보 보안에 매우 민감한 일본은 정부가 대국민 사과문까지 발표하는 등 국가적 논란으로 이어졌다.
그런데 흥미로운 점은, 사건을 수사한 일본 경시청이 유출 사고 직후 병원과 약국 그리고 제약업체를 수사했다는 사실이다. 연금기구가 보유한 개인정보가 결국 어디로 흘러갈지에 대한 수사다. 그렇게 수사망을 좁혀나갔지만 아쉽게도 범인은 아직 잡히지 않았다. 그렇지만 경시청의 수사 방향은 옳았다.
만약 유출정보를 병원이나 약국이 갖게 되면 개인의 질병 이력 등의 정보를 파악해 그 사람이 관심을 가질 만한 맞춤형 의료 상품을 추천하며 광고할 수 있다. 신약 홍보에 적절한 잠재고객을 파악할 수도 있다. 신용카드처럼 해지 혹은 변경이 가능한 금융정보와 달리 의료정보는 평생 변하지 않는 영구 기록이기 때문에 해커들이 가장 좋아하는 인기상품이다.
해킹 취약성 순위는 무의미하다. 이와 같이, 해커들은 잠재 고객의 '가치'를 판다. 그러니 'EBS 개인정보 유출 사고'의 피해자인 나도 사고 당시 "주민등록번호는 안전하다니까 뭐 괜찮아"라며 안심했던 건 어리석은 일이었다. 그들은 애초에(사실 이미 모두 다 노출되었다고 봐도 무방한) 주민등록번호보다 내가 수강한 수업, 성적, 관심 있는 과목 등 나의 '관심'에 대한 정보를 노렸던 거다. 마찬가지로 일본연금기구 가입자의 개인정보 또한 질병 이력과 방문했던 병원 등 잠재고객의 가치를 노렸던 거라고 볼 수 있다.
아무리 하찮고 사소해 보이는 정보라도, 그 정보가 꼭 필요한 사람에게는 매우 큰 가치가 부여된다. 내가 잠을 잤던 호텔, 내가 주문했던 중국집의 위치 등은 별것 아닌 것 같지만, 관련업 종사자들, 특히 마케터에게는 아주 귀한 정보가 된다. 이러한 이유로 숙박, 맛집, 채팅 등 사람들의 일상과 접점이 유독 많은 스타트업 업계는 취향에 따라 세분된 고객 특성 정보를 보유하고 있으므로 해커들이 노리는 타겟이 될 위험이 크다. 그러니 어떤 업종이 위험하고 어떤 업종이 안전한지 판단할 수 있는 기준 따위는 없는 것이다.
다시 한 번 강조하지만, 스타트업 사업을 하며 "우리 회사엔 금융정보가 없으니, 해커들이 노릴 만한 정보도 없는 거야" 라고 안일하게 생각하고 있다면 당장 마음을 고쳐먹어야 한다. 당신의 업종 특성 그리고 고객 메일주소만 가지고 있더라도 해커들의 훌륭한 먹잇감이다.
아래 메일로 ‘스타트업 정보 보안’에 대해 궁금한 점을 질문해주세요. 가장 많은 질문이 나온 이슈 혹은 정말 꼭 짚고 넘어가야 하는 이슈를 칼럼 주제로 삼고 글을 연재할 예정입니다. 평소 궁금했던 점이 있었다면 주저하지 말고 이메일 보내주세요. 클라우드브릭 칼럼니스트 박지원 support@cloudbric.com
이미지 출처: El Boyaldia
