[뉴스비전e 김호성 기자] 최근 편의점 ATM기 해킹사고로, 금융회사와 금융보안원 공동으로 모든 VAN사에 특별점검 착수해다. 

ATM해킹사고로, 과연 내 신용카드가 안전한지 불안감이 높아진다. 

이번에는 좀 남다르다. 카메라를 설치해 입력하는 것을 훔쳐본뒤 정보를 빼가는 물리적 방법이 아니고, 악성코드를 통한 유출이다. 

금감원 조사결과 VAN사 청호이지캐쉬가 운영하는 ATM기 65대가 감염된 것으로 파악됐다. 

정보가 유출됐을것으로 추정되는 카드만 2500여개. 이미 중국과 태국에서 카드가 사용된 것으로 전해진다. 

악성코드를 통해 빼내간 카드정보를 통해 복제한 카드를 해외에서 인출한 셈이다. 

피해 예상범위는 아직 예상하기 어렵다. 

여기에 그간 JT친애저축은행 대출상담 고객정보 유출이 발생해 제2금융권 보안에도 비상이 걸렸다. 

다시한번 정보보안강화에 대한 대책이 시급해진 상황이다. 

한영회계법인 홍성권 이사의 설명을 듣고, 정보보안의 기본방향을 체크해 봤다. 

▲내부관리계획이 중요하다. 

"개인정보처리시스템을 구축하는데 있어, 개발보안지침을 만들어야 한다."

어플 또는 웹에 대해 내부개발 및 외주개발 모든 케이스에 적용되는 필수적인 사항이라고 홍성권 한영회계법인 이사는 강조했다.

내부관리계획을 세우고 이 지침에 의해 개발해 달라고 요구해야 합니다. 

"외주시에도 우리 지침대로 했는지 요구해야 하고, 이를 위해 계약서상에 포함돼 있어야 합니다"

개발보안지침에 의해 다 적용돼 있어야 한다는 뜻이다.  지금 개발하든 나중에 개발을 하든, 다른곳에 위탁을 하든, 다 동일한 기준에 의해 적용되야 보안시스템구축에 있어 일관적인 대응과 정책 전개가 가능하다. 

암호화 알고리즘이 다르거나, MD5 암호화 알고리즘과 같이 못쓰게 돼 있는데 적용했다면 모두 고쳐야 할 대상이다. 

▲필수와 선택을 구분하자.  

사고의 원인이 공통된 기준이 없어서 일 때가 많다. 

"개발때 가장 먼저 할 일은 기준 수립입니다"

개인정보 수집은 필수동의와 선택동의가 있는데, 둘 중 필수 동의는 꼭 필요한 정보에 해당한다. 필수적이라는데 대한 입증책임은 기업에게 있다. 

입증이 되면, 이용자가 동의 하지 않으면 서비스를 거부하거나 제한할수 있다. 

선택의 경우, 선택항목에 동의 하지 않는다고해서 서비스 가입 등을 제한할 수 없다. "그럴경우 소송당할 수 있다."라는게 홍이사의 전언이다. 

필수 선택 위탁이 변경이 될 때는 동의를 받아야 한다. 제3자정보제공 역시동의를 받아야 할 대상이다. 

"고객들은 똑똑해졌습니다. 정보주체로서의 권리가 침해되면 바로 경찰서 갑니다"라며 홍성권 한영회계법인 이사는 필수정보와 선택정보를 구분하는게 중요하다고 강조했다. 

고객들에게 빌미를 줄 이유가 없다는 거다. 

"이젠 클라이언트 고객들도, 그간 정보유출 사고가 많았기 때문에 정보주체로서의 보장에 대한 인식이 강해졌습니다. 서비스를 어떤 목적으로 하는지에 대한 고민을 하고, 이에 따른 개인정보가 뭔지를 조사하고, 필수정보항목, 선택항목을 나눠야 합니다."

▲"비밀번호는 복구되지 않도록 암호화하라"

"비밀번호 뿐 아니라, 주민번호 및 여권번호 등도 안전한 알고리즘으로 암호화해야 합니다." 

이용자의 개인정보를 컴퓨터 등으로 제어할때도 암호화해야 한다고 홍성권 한영회계법인 이사는 전했다. 

눈여겨 볼 것은 암호와 대상으로 비밀번호 뿐만 아니라, 보안 방식이 확대되면서 바이오정보 및 고유식별 정보 등도 포함됐다는거다. 

바이오정보,지문, 홍채 등이 암호화 대상으로 추가된 정보들이다.

전화번호,주소, 이름은 암호화 대상에 포함되지 않는다. 

▲DB보관? 웹방식? CS방식? 

암호화 단계는 3단계로 나뉜다. 

DB로 보관할거냐를 판단하는데 있어, 우선 정형이냐 비정형이냐를 따져야 한다. 

예를 들어, 콜센터 직원들이 고객과 전화통화를 할경우,  기록을 남긴다. 주민번호 계좌번호 등이 녹취됐을 때, 자체적인 시스템 내에 타이핑 해서 보관해야 한다. 

고객이 콜센터 직원과 주민번호를 말했을때는? 

이를 정형으로 보관할지 비정형으로 보관할지, 웹방식 또는 CS방식 등을 결정해야 한다. 

특히 금융권에서 정보를 암호화할 때 중요한것은 체감할 속도가 느껴지면 안된다는 거다. 뭔가 버벅이다 넘어가면 우선 고객 서비스 품질에 문제가 생긴다. 

CPU, 메모리, 스토리지 등 퍼포먼스에 있어, 할당율 검토 필요시 증설을 해야 한다. 

또 개인정보처리시스템이 내외부 연계되는지 따져봐야 한다. 

퍼블릭 망을 통해 나갈때는 암호화해야 한다. 그러나 전용선일경우 암호화 하지 않아도 된다. 금융권은 전용망이 대부분이다. 

전송구간 암호화 방식은 SSL방식과 응용프로그램 방식 등 두 가지다. 

그런데 SSL은 '부분암호화'가 안된다. 두 방식의 기본적인 차이는 개발비용이다.  비용상의 문제로 대부분 SSL 방식을 채택하기도 한다. 

SSL의 경우, 사용자가 웹서버에 접속하면 인증서 등 암호키 생성하는데, 문제는 웹브라우저 부터 웹서버까지만 암호화가 된다는거다. 

사용자의 PC단(키를 입력할때)에서는 암호화가 안되고, WAPS 단에서 뚫릴 가능성이 많다는게 단점이다. 그래서 키단계에서 암호화를 하기 위해 액티브X 설치를 요구하기도 한다.   

▲내부망에 대해서는 암호화에 정해진게 없고 '권고' 정도. 

퍼블릭 망에서는 전송구간 암호화는 당연한거고, 내부망에 대해서는 권고를 받는다. 내부망에서 유출된 대표적 사례가 과거 인터파크의 경우다. 

이에 따라, 내부망에서도 암호화를 의무화해야 한다는 지적도 제기된다. 

물론 단계별로 접근하는게 좋다. 사실상 내부망에 담겨진게 아무것도 없는데 하는건 실효가 없기 때문이다. 

이에 따라, 암호화 구간은 우선 전송구간부터 실시한 이후, 내부망으로 검토하는식의 단계적 접근이 효율적이다. 

▲암호화 이후에는?

키 관련된 부분을 규정으로 만들야 한다. 

"체계를 갖춘 회사는 다 규정돼 있는데 암호화키에 대해서는 규정화된게 거의 없다"라는게 홍성권 한영회계법인 이사의 지적이다. 

"키 관리를 어떻게 하라는 얘기냐"라고 묻는다면, 사실 규정되어 있는 경우가 거의 없다. 

다만, 암호화방식을 선택할때 당연이 용의성, 비용, 유지보수의 지속성 여부를 따져야 한다. 

유사서비스에서 채택을 했는지 확인해 보고 그회사가 영속성이 있는지도 살펴봐야 한다. 

외주를 줬는데 그 회사가 망해버리면, 암호화 키도 바꿔야 하고 암호 풀어서 다시 복구해야 하는 등 복잡한 문제가 벌어진다. 

이에 따라, 기술적 고려 뿐 아니라 회사의 영속성이 있는지를 따져봐야 한다. 

▲접근권한·로그인기록 보다 더 중요한게 암호화. 

암호화조치 안내서 등 개정판이 나오는 이유가 암호화에 대한 인식이 낮고 어떻게 해야 할지 몰라서 등 때문이다. 

주민등록 대체수단으로 휴대폰, 아이핀, 공인인증서 등을 사용하고 있다. 

아시아나항공의 경우, 아이핀인증을 채택하는 것으로 알려진다.  최근 신용카드로 인증하기도 하는 사례도 생겨나고 있다. 

암호화는 워낙 강조를 하다보니 참고할 내용이 많다. 그럼 암호화보다는 조금은 덜 중요해 보이는 접근권한은 어떻게 해야 할까. 

▲접근권한은 회사마다 다르기 때문에 일률적으로 어떻게 하라고 말하기도 힘들다. 

정보를 출력하거나 다운로드 할 수 있는 권한은 어느선까지 줘야 할까?  팀원에게 모두? 팀장에게? 업무에 따라서? 

홍성권 한영회계법인 이사는 "최소권한"을 강조한다. 알 필요성의 원칙이라고 비유해도 좋을 듯하다. 보안적 관점에서보면 CEO라고 하더라도 접근권한을 모두 부여하는건 바람직하지 않다.

경영진이라고 하더라도 차등적적으로 권한을 부여해야 한다. 

퇴사가 예정된 임직원에 대해서도 최소한의 권한만을 부여하는게 좋다. 온정주의는 보안적 관점에서는 절대적으로 금물이라고 홍이사는 강조한다. 

접속 가능한 PC를 따로 지정하는것도 좋은 방법중 하나로 꼽힌다. 

접근권한이 적절히 부여됐는지 지속적으로 점검하는것도 필수다. 

▲개인정보처리방침에 대한 동의는 다 개별 동의. 

구현 테스트 단계로 넘어가면, 개인정보 수집에 대해 적절한 방식으로 분류해 안내하는게 중요하다. 

앞서 이야기했듯, 필수 정보를 수집하는데 있어서 동의 안하면 서비스 제공 거부 또는 회원가입 거부를 할수 있다. 

수집된 정보의 보유기간은 기본적으로 회원탈퇴시까지다.  이후에는 법률에 따라 살펴봐야 하는데, 전자상거래법에 의해 5년 소비자법. 통신보호유지및 관리법 등 적용되는 법에 따라
의무적으로 보존해야 할 기간에 있어 차이가 난다. 

아무리 강조해도 지나치지 않는게, 개인정보처리방침에 대한 동의는 다 개별 동의를 받아야 한다는 거다. 

이때 미리 동의란에 체크가 돼 있으면 안된다는 점도 주의해야 한다.  민감정보에 대해서는 별도로 구별이 돼 있어야 한다. 

제휴서비스로 인한, 제3자제공에 대해서도 동의를 구해야 한다. 위탁사변경시 역시 다시 고객의 동의가 있어야 한다. 제휴서비스 계약이 언제든 바뀔수 있다는 점에서, 그때마다 고객 동의를 받는게 현실적으로 쉽지 않다는 지적도 있다. 

이에 따라 많은 회사들이 이 부분을 위반하고 있기도 하다.