9월 1일과 4일 보도한 우리은행 개인정보 노출 건
개인정보 노출에 대한 은행 측 안일한 문제의식이 근본 문제

[보안뉴스 오다인 기자] 우리은행이 개인정보를 노출했다는 사실을 최초로 보도한 건 9월 1일 저녁이었다. 우리은행 ID카드 신청서 출력 시 신청서 파일이 PC에 PDF 파일로 저장되는 문제였다(기사 바로가기). 사실 확인을 위해 우리은행과 여러 차례 통화했다. 노출이 맞았다. 우리은행 측 담당자는 “이번만 봐 달라”, “살려 달라”고 호소하다 “일반인들이 어떻게 찾아본다고 그러냐?”는 분노를 표출하기도 했다. 답답했다.


최초 보도와 후속 보도(기사 바로가기)에서 타인의 개인정보가 담긴 PDF 파일을 어떤 경로로 찾아볼 수 있는지 언급하지 않았다. 악용될 소지가 다분했기 때문이다. 다만, 암호화 없이 평문 그대로 저장돼 있으며 누구나 별다른 권한 없이 접근할 수 있었다는 정도로 요약했다. 우리은행이 피해자 발생을 막기 위해 서둘러, 그리고 제대로 조치하는 것만이 당시로선 최선의 해결책이었다. 그러나 “보통 사람들은 잘 찾아볼 수도 없는 파일”이라는 말을 듣고 이 사건의 근본적인 문제가 바로 개인정보 노출에 대한 우리은행의 안일한 문제의식 자체라는 걸 알 수 있었다.

타인의 개인정보를 찾아다니는 사람은 ‘일반인들’이 아니다. 사이버 범죄자들이다. 일반인들은 공용PC를 사용하면서 혹시 모를 타인의 흔적을 뒤지지도 않는다. 자신의 흔적을 남길 뿐이다. 그 흔적과 남아 있는 정보를 쫓아서 피해를 입히는 자들은 해커이고 사이버 공격자다. 그러므로 우리은행 ID카드 신청서 출력과 관련해 이런 위험이 있다고 기사를 쓴 것은 사이버 공격에 대비해 보안을 강화하라는 취지에서다. ‘노출됐다’가 ‘공격에 당했다’로 이어지지 않도록 어서 조치를 취해야 한다는 뜻이다.

게다가 일반인들은 잘 찾아볼 수도 없기 때문에 자신의 흔적을 지울 수조차 없었다는 점은 어떻게 이해해야 할까? 최초 보도에서 언급한 것처럼 우리은행은 개인정보 노출 문제를 전달 받은 뒤 영업점에 “학생증(ID)카드 신청 및 신청서 출력 후 개인정보 노출 우려가 있으므로 해당 PDF 파일을 삭제하여 주십시오”라는 안내문을 붙여놓았다. 사이버 범죄자에게 개인정보가 여기 있으니 가져가라고 광고한 건 차치하더라도 일반인들에게 무턱대고 알아서 삭제하고 가라고 말한 점은 정말이지 납득하기 어렵다.

개인정보 노출은 비가역적이다. 노출되기 전으로 돌아갈 수 없다는 말이다. 그래서 노출(exposure)과 유출(leak)은 결국 같은 말이기도 하다. 지금까지 유출된 개인정보에 대해 “전수조사를 통해 (전국) 각 PC에 저장된 신청서 파일을 모두 삭제토록 하겠다”는 우리은행 측의 의지만으로 충분치 않은 이유다. “제발 기사 좀 그만 쓰라”는 요청에도 굳이 한 번 더, 기자수첩에서 당부의 말씀을 드리는 이유이기도 하다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>