오늘날의 금융 시스템은 전혀 비밀스럽지 않은 식별자에 의존함으로써 신원 도용을 피할 수 없게 되었다.

문맹 사회에서는 종종 누군가의 실제 이름을 아는 것은 그 사람의 초자연적인 힘을 나누는 것이라고 여겨 두려워한다. 이러한 사회의 사람들은 자신들을 ‘사악한 마법사’로부터 보호하기 위해 자신의 진짜 이름을 오직 가족이나 가까운 친구들과만 공유한다.

아이러니하게도 오늘날의 금융 시스템에서는 당신이 누군가의 이름을 알고 있다면 그 이름으로 금융 트랜잭션을 빼낼 수 있는 힘을 갖게 된다. 우리는 신원 도용이 필연적인 원시적인 시스템을 만들어낸 것이다.

사회 보장, 신용 카드, 은행 계좌 번호들은 식별자(identifier)-이름-일 뿐이다. 그런데도 우리는 이러한 이름들을 패스워드처럼 여긴다. 우리는 이러한 식별자가 자신의 사적인 식별자일 것이라는 매우 경솔한 추측을 한다. 패스워드와는 달리 식별자들은 비밀이 아니다. 그런데 어떻게 그것이 도난당하지 않을 수 있겠는가?

십년 전, 존재하지 않는 계좌에 요금을 축적하기 위해 쉽게 사용할 수 있는 위조 신용 카드 번호를 생성하는 간단한 애플리케이션을 누구든지 다운로드 할 수 있었다. 그것이 어려워지자 범죄자들은 신용카드 번호를 새로 만드는 대신 그것을 훔치기 시작했다. 그에 대한 대응은 만기일이 정확한지를 확실히 하는 것이었다. 이후 떼어낸 마그네틱 선에서 번호를 훔치기 시작하자 이번에는 세 자리 코드가 카드 뒷면에 프린트 되었다. 그러나 핵심적인 결함은 여전하다. 신용 카드 시스템은 매일 더 많은 구멍이 생기는 둑이며 신용카드협회 데이터보안표준(Payment Card Industry Data Security Standard)은 그것을 막는 한정된 손가락을 제공하고 있을 뿐이다. 이것은 승산 없는 싸움이다.

또한, 신원 도용은 기존의 신용 카드 번호를 훔치는 것뿐만 아니라 다른 누군가의 이름으로 새로운 신용카드 계좌를 생성하거나 누군가의 은행 계좌에 권한이 없는 접근을 확보하기 위한 것이기도 하다. 개인 정보의 대규모 도용이 증가하는 것은 사이버 범죄자들이 우리가 설치해둔 모든 데이터 보호 메커니즘을 정복하는 것에 상당한 자극을 받는다는 것을 명백히 보여준다.

당신이 진정 원하는 것이 더욱 더 많은 무고한 사람들이 공격적인 수금원들로부터 스스로를 보호하도록 하는 것인가? 만일 그렇지 않다면 우리는 다중의 새로운 방어 레이어들을 채택해야만 할 것이다. 예를 들어 우리는 누군의 식별자를 공유하지 않고(이러한 새로운 메커니즘은 특히 인터넷 트랜잭션에 필요하다) 그 사람을 조회하기 위해 비대칭 암호화를 사용할 수 있다.

절차와 법률도 또한 변화될 필요가 있다. 불충분한 개인 ID를 근거로 신용 카드가 적절치 않게 부여되고 있다면 개인 증명에 관한 더욱 강력한 기준이 필요하다. 소비자들이 신용 승인을 위해 보다 오래 기다려야 하는 나라들의 신용 사기 비율을 더 낮다는 것이 그저 우연에 불과할까? 미국이나 영국의 규정은 대출기관이 돈을 빌린 것을 증명하게 하는 대신 개인들에게 그들이 돈을 빌리지 않았다는 것을 증명하도록 요구한다. 이는 신용카드 발급업체들이 부실 대출을 유발하게 되는 경제적인 동기를 부여한다.

데이터 보호법 강화와 신용카드 보안표준은 어설픈 인증과 원시적인 트랜잭션 유효 프로토콜, 그릇된 경제적 자극의 핵심적인 문제에는 초점을 맞추지 않는 ‘반창고’에 불과하다. 정치인들과 기업 임원진들은 우리의 “소중한 이름”을 훔치거나 남용하는 ‘사이버 마법사’들과 관련된 정보보호 문제를 해결하지 않을 것이 분명하다. 어쩌면 이제 보안 전문가들이 나서서 그들에게 그것이 어떻게 되는 것인지 보여줘야 할 때인지도 모른다.

<글·제이 하이저(Jay Heiser)>

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 95호(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>