거시적 관점에서 대응 방법 모색해야

신뢰할 수 있다고 믿고 있던 사이트를 통해 유출된 대량의 개인정보로 인해 전 국민적 혼란이 적지 않다. 어떤 방법으로도 해킹을 완벽하게 막을 수는 없다지만 최소한 해킹을 통해 유출된 개인정보가 2차, 3차 피해로 확산되지 못하도록 하는 방법들은 반드시 구현할 필요가 있다.

가장 먼저 이번 사태에 대해 국가적 차원의 안보 문제로 인식할 필요가 있다. 거시적 관점에서 문제점을 분석하고 적절한 대응책을 마련하지 않는다면 유출된 정보를 이용한 부작용이 오랜 기간 지속될 가능성이 있다. 거의 모든 국민의 의미 있는 개인정보가 유출되었다는 사실을 단순히 민간 기업의 개인정보 유출 사고라고 정의 내리기에는 너무 안일한 생각이 아닐까 ?

개인정보 수집과 보관에 대해서도 강화된 기준 마련이 필요하다. 수집 시에 주민등록번호와 같인 개인 식별정보를 자체적으로 수집하여 보관하는 현재의 기준을 강화하고 처벌 기준과 피해보상을 의무화 하는 등의 방법도 고려할 필요가 있다.

민간 기업에서 현실적으로 주민번호를 수집해야 하는 상황을 파악하여 이를 보완할 방법을 마련하고 이를 통해 점차적으로 주민번호를 수집하거나 보관하는 일을 원천적으로 제거할 수 있는 방법을 찾아야 한다.

주요 개인정보에 대해서는 강력한 암호화 방식을 의무적으로 적용할 필요가 있다. 암호화에 대해 실효성 과 현실적 어려움에 대한 의견이 있는 것도 사실이지만 암호화 안된 DB가 유출되었을 경우를 생각해 본다면 당연히 암호화는 필수적으로 적용할 필요가 있다. 적용 방법 등의 기술적 이슈에 대해서는 관계기관에서 가이드와 솔루션을 보급하는 것도 적극적으로 고려해야한다.

인증수단의 변화가 필요하다. 아이디와 패스워드 조합을 통한 인증방식은 가장 손쉽고 간편하게 적용할 수 있어 오랫동안 애용(?)되어 왔다.

하지만, 이용자들이 인증 정보를 비슷하게 사용하고 있는 현실에서 개인정보가 유출될 때마다 패스워드를 변경하도록 유도하는 것은 한계가 있을 수밖에 없고 그 실효성에 대해서도 의문이 든다.

포털사이트에 이메일 확인하려고 OTP나 인증서처럼 강화된 방식을 사용해야 되느냐 하는 부분에서 편의성과 보안성이 충돌하는 면이 없진 않지만 현재의 아이디와 패스워드만을 사용하는 인증방식은 강화할 필요가 있어 보인다.

마지막으로 현재의 주민등록체계를 계속 가져가야 하는지에 대한 고민이 필요해보인다. 암호화가 적용되어 있다고는 하지만 개인의 식별 정보인 주민등록번호가 유출된 사실에 주목해야 하고 이를 통한 악용 가능성은 사회 혼란까지 일으킬 수 있다는 점에서 간단한 문제라고 보기 어렵다.

지금까지 유출된 정보로 인해 개인을 명확하게 식별할 수 있다는 주민등록번호의 의미가 퇴색되고 악용될 우려마저 있는 상황에서 대안을 찾지 않고 현재의 식별 수단을 계속 사용한다는 것은 국민 개개인과 국가 차원에서 도움이 되지 않을 것이다.

이 외에도 개인정보를 가지고 있는 조직은 다양한 관점에서 보안을 적용해야할 것이고 사업 연속성과 사회적 책임 관점에서 충분한 노력을 기울여야 한다는 마인드를 기반으로 진행하는 것이 더욱 필요한 시점이다.

[글 _ 박나룡 보안전략연구소 소장 (isssi@daum.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>