쉽게 백만장자가 되게 해주는 재료, 개인정보...가격도 내려가
사이버 범죄 퇴치, 모든 사람들의 참여만이 목적 이룰 수 있어

[보안뉴스 문가용] 데이터 유출에 있어 완벽히 해방된 기업은 없다. 올해 버라이즌이 발표한 데이터 유출 수사 보고서(2016 Data Breach Investigations Report)의 교훈은 바로 그것이다. 그렇기에 많은 이들이 어떻게 대처하고 어떻게 막고 어떻게 복구할 것인가를 고민한다. 하지만 데이터 유출 사고 이후 답해야 하는 “그래서, 뭐?”라는 가장 근본적인 질문에 대해서는 깊은 고민이 없어 보인다.


무슨 말이냐면, “그래서, 뭐?”라는 게 사실 일반인들이 가장 많이 보이는 반응이라는 것이다. “유출 사고가 터졌다고? 그래서 뭐? 어차피 보상해 줄 텐데.” “또 해킹이라고? 그래서 뭐? 그냥 심심하면 주의하라고 보내는 경고문 아냐?” 해킹 사고가 갈수록 늘어나고 있고, 랜섬웨어가 늘어나고 있고, 디도스가 증가하고 있다는 각종 통계보다 무서운 건 이런 무감각함의 증가가 아닐까. 이런 상태에선 그 어떤 교육이나 경고도 통하지 않는다.

그럼에도 교육 외에 이를 개선해 나갈 뾰족한 방법이 있는 것도 아니다. 무엇을 어떻게 교육해야 하는가, 이 분야에 있으면서 가장 오래된 나의 고민 중 하나였다. 최근엔 유출 사고 이후 데이터에 무슨 일이 일어나는지, 특히 유출된 정보가 어떤 식으로 돈이 되는지를 사람들에게 알려주면 꽤나 흥미를 보인다는 사실을 발견했다.

하지만 이런 식의 교육에 있어서도 문제가 없진 않은데, 그중 가장 큰 문제는 정보마다 다 시장에서 팔리는 가격이 다르다는 걸 이해시키는 것이다. 사실 어떤 시장에서건 물건 가격이 일정하지는 않다. 그런데 암시장에서 팔리는 정보는 그 정도가 매우 심하다. 그래서 ‘돈이 된다’고만은 알려줄 수 있어도 얼마나 하는지 알려주기는 어렵고, 그렇기에 ‘피부에 와 닿는 교육’을 시킬 수 없게 된다. 고민을 하다가 결국 ‘데이터’ 혹은 ‘정보’라는 포괄적인 개념을 사용하기 보다 ‘지불카드 정보’, ‘금융기관 계정 정보’, ‘의료 정보’로 세분화시켜서 교육하는 것으로 해결했다.

중요한 건 이런 종류의 정보를 구입하는 게 정말 싸다는 걸 강조하는 것이다. 지불카드 관련 정보는 평균적으로 커피 한 잔 값에 불과하다. 물론 처음부터 그런 건 아니다. 지난 몇 년 간 꾸준하고 급진적으로 지불카드 정보의 값은 내려갔다. 다른 이유가 있어서 그런 건 아니다. 그저 수요와 공급의 원칙에 따라 저절로 그렇게 된 것이다. 각종 카드사들이 겪은 대형 유출 사고만 집계해 봐도 가격이 떨어질 만한 과잉 공급이 이해 갈 것이다. 앞으로도 카드사에 대한 유출 사고가 없지 않을 텐데, 그러면 가격이 내려갈 일밖에 남지 않았다는 걸 알 수 있다.

값이 내려가면 그걸 파는 범죄자들을 막는 데 더 좋은 것 아닌가, 하는 생각이 들 수도 있다. 개인정보를 판매하는 것 자체가 수입의 근원이 아니기 때문에, 아니다. 이것을 재료 삼아 범죄자들은 쉽게 백만장자가 되는 법을 알고 있다. 누군가 이 사회 시스템 내에서 아주 쉽게 돈을 벌고 있다는 것이다. 우리가 “그래서, 뭐?”라고 보안 사고를 대수롭지 않게 여기고 있을 때 불공평할뿐만 아니라 불법적이며 나쁜 부의 분배가 일어나고 있다.

소비자와 업체 모두가 어깨만 으쓱할 일이 아니다. 밖에 나가서 이들을 잡아들이라는 말도 아니다. 다만 자신의 데이터를 보호하는 데에 좀 더 힘을 씀으로써 누군가 쉽고 나쁘게 돈을 버는 건 막을 수 있다는 것이다. 유럽의 사이버 범죄 센터의 성명처럼 “모든 사람들의 효과적인 참여만이 사이버 범죄에 대항하는 길”이다.

글 : 라즈 사마니(Raj Samani)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>