옥션 정보유출사태의 특징과 기업의 의무에 대한 시사점

옥션은 보안컨설팅을 받을 때마다 옥션의 보안방침은 이베이(e-bay)의 글로벌 보안방침을 그대로 따르고 있다라고 말해온 기업입니다.

옥션정보유출사태의 가장 큰 특징은 고객 중 누구의 정보가 나갔는지 파악이 불가능하다는 것입니다. 마치 도둑을 맞긴 맞았는데 얼마나 비싼 것을 훔쳐갔는지 모르는 것과 같은 경우라고 할 수 있습니다.

불행 중 다행으로 대규모 소송으로 이어질 확률은 높지 않습니다. 소만사 고문변호사측 의견으로는 누구의 정보가 나갔는지 모른다면, 소송이 성립될 수 없다고 합니다. 소송은 피해를 입은 당사자가 분명해야 가능한데 누가 피해를 받았는지 모른다면 소송의 기본 요건이 성립할 수 없는 것입니다.

 

옥션은 전통 있는 대형 쇼핑몰답게 사건을 은폐하지 않고 발 빠르게 대응하였고 고객이나 네티즌들도 이해하는 방향으로 사건이 정리가 되었습니다. 그러나 앞으로 6개월 후, 동일사건이 발생한다면 그 땐 어떨까요? 또다시, 피해규모조차 파악하지 못한다면, 사회적 공분을 벗어날 수 있을까요? 쇼핑몰이나 포탈들이 대책을 세우는 노력을 하지 않는다면 법원판결 전에 여론과 고객이 등을 돌릴 것입니다.

미국 경제분야 최대의 스캔들로 세계 최대 에너지회사였던 엔론사의 파산(2001년)을 꼽습니다. 엔론사는 분식회계로 전세계적 파장을 일으켰으며 최근, 리어나도 디캐프리오 주연으로 영화화까지 되고 있다고 합니다. 파산 후 엔론사에 조사를 나가보니, 모든 사내문서가 파쇄되어 찾을 수 없었다고 합니다. 이로 인하여 사내 레코드관리의 중요성이 부각되었고 사내 정보를 모두 기록, 법원 요청 시 제출할 것을 명시한 SOX법이 생겨나게 되었습니다.

SOX법 발효 이후, 2005년 레블론사와의 소송에서 모건스탠리는 법원이 요청한 사내문서를 제출하지 못했다고 해서 1조5천억원에 해당하는 1심 판결을 선고 받습니다. 엔론사의 문서파쇄는 아마 고의성이 짙었다고 여겨집니다. 모건스탠리가 정보를 제출하지 않은 것은 고의였는지, 아니면 사내 시스템상 문제였는지 명확하지 않습니다. 중요한 것은 고의냐 시스템부족이냐는 원인과 상관없이 정보를 투명하게 제공하지 못하였고 그로 인하여 막대한 책임을 져야만 했다는 것입니다. 한번, 옥션사태로 학습효과가 일어났기 때문에 만일 제 2, 제 3의 정보유출사태 시, 어떤 정보가 빠져나갔는지 밝히는데 또 실패한다면 이는 사회적, 법적 책임을 져야만 하는 심각한 일이 될 것입니다. 

 

기술은 끊임없이 발전하고 새로운 침입수단은 계속 나오게 됩니다. 침입과 보안은 끊임없는 창과 방패의 싸움으로 사고발생 자체를 완벽하게, 원천적으로 막는 것은 불가능합니다. 중요한 것은 기업이 대외적 여건과 사회적 위치에 걸맞은 최선의 노력을 했느냐, 방치했느냐 입니다. 기업이 충분히 여건을 갖추고 있었음에도 신속한 검출과 대응, 피해규모와 침입경로 파악, 역추적 시스템에 투자하지 않았다면 결과적으로 기업의 의무를 다하지 않은 것으로 여겨질 수 밖에 없습니다.

옥션 정보유출사태의 고객정보DB 보안측면에서의 시사점

1. 웹서버나 미들웨어를 통한 접근, 이기종 DB에 대한 모든 접근 내역을 남겨야 합니다.

지금까지, DB보안에서 웹서버나 미들웨어를 통한 DB접근은 사각지대였습니다. 왜인지 모르겠지만 관행상, 신뢰할 수 있는 서버로 간주하여 로그조차 남기지 않았던 것이다. 따라서 옥션사태에서 보듯이 웹서버, 미들웨어, 터미널서비스 등 우회통로를 통해서 DB서버를 접근하는 경우에는 어떤 정보가 빠져나갔는지조차 알 수가 없게 된 것입니다.

대부분 DB보안 프로젝트에서 하듯 오라클 등 고가의 DB만 모니터링하고, mySQL 등 비교적 가격이 낮은 DB에 담긴 주민번호는 신경 쓰지 않아서는 안됩니다. 이것도 하나의 관행이라고 할 수 있는데 고가로 구입한 DB는 보안도 신경 써서 하고, 다른 DB는 보안에도 무심한 경향이 있습니다. 정말 지켜야 할 것은 DB자체가 아니라 DB안에 담긴 정보이며 고가의 DB에 있든, 저가의 DB에 있든 같은 정보라면 똑같은 수준으로 보안해야 할 것입니다. 실제로, 많은 DB보안솔루션이 이기종 DB에 대한 배려 없이 오라클 위주로 개발되어 있습니다. 특히 옥션을 비롯한 인터넷 포탈들은 오라클이 아닌 DB를 많이 쓰고 있어서 보안상태가 취약했다고 할 수 있습니다.  

 

2. 지위고하, 쿼리를 던진 위치에 상관없이 고객정보가 규정 건수 이상으로 전송된다면 기록해야 합니다.

-보안사고는 권한을 가지지 않은 사람이 일으키는 것보다는 권한을 가진 사람이 오용하는 경우가 대부분입니다. 특히 피해액규모가 어마어마한 대형사고는 100% 권한 있는 내부자에 의하여 발생한다고 생각하시면 됩니다. 상식적으로 생각해도, 정보가 어디 있고 어느 만큼 가치가 있는지 잘 아는 권한을 가진 내부자 개입 없이 대형피해는 발생할 수 없습니다. 

-고객정보전송시 규정건수를 정해놓아야 합니다. 예를 들어 금융기관에서는 5건 이상 주민번호가 DB에서 빠져나가면 개인정보유출경계를 발동합니다. 개인정보가 사내가 아니라 기업 외부로 전송된다면 1급 경고 대상이 됩니다.

관행적으로 믿을 수 있는 서버로 간주되는 웹서버나 미들웨어에서 온 쿼리라고 100만 건이나 되는 주민번호가 빠져나가는 것을 방치할 것입니까? 내부 DBA가 던진 쿼리라고 해서 계좌번호가 담긴 필드가 1만 건 빠져나가는 것을 그냥 바라볼 것입니까? 지위고하를 막론하고, 어디에서 온 쿼리이건 규정건수 이상의 고객정보가 나간다면 반드시 기록하여야 합니다.

  

-고객정보관리를 민감하게 생각하는 몇몇 카드사의 경우, 아예 전문적인 고객정보보호 쿼리툴을 사용, 고객정보유출을 원천차단합니다. DB암호화를 하지 않더라도 주민번호와 계좌번호 등 고객정보가 담긴 필드에는 원천적으로 별표(***)표시를 덧씌워 안 보이도록 하는 형태입니다.

 

3. 개인정보 유출경로를 일관적으로 추적해야 합니다.

-DB보안 프로젝트 시, 종종 수상한 쿼리가 있어서 문의를 하면, ‘개발 테스트용으로 고객정보를 가져갔으며 가져간 고객정보는 이미 삭제했다’는 답변을 받곤 합니다. 쿼리를 던져서 수많은 고객정보를 가져간 직원을 무조건적으로 믿는 것은 인간적인 일일 수 있습니다. 그러나 그런 신뢰는 만일의 경우 기업뿐 아니라 대다수 직원들을 혼란과 피해 결과적으로 더 큰 불신으로 밀어 넣는 무책임하고 허약한 신뢰입니다.

 

-수많은 고객정보를 가져가서 USB로, 메일로 유출했다면, 혹은 출력해서 책상 위에 방치하거나 파일상태로 HDD에 방치해두었다면 생각만으로도 머리가 아파지는 일입니다. 만일, 방치된 고객정보 백만 건 출력물이 쓰레기통에 담겨서 외부로 버려진다면 어떻게 될까요? 가장 전통적인 산업스파이 방법이 쓰레기통을 뒤지는 것임을 여러분은 잘 알고 있을 것입니다. 기업의 쓰레기통을 1주일 뒤지면 인건비10배 이상 정보가 나온다는 통설이 있습니다.

 

DB에 접근권한이 있는 직원들의 PC를 대상으로 파일을 주기적으로 스캔해서 규정을 넘어서는 분량의 주민번호가 있는지 검사해야 합니다. 만일, 규정 이상으로 저장하고 있을 시 유출에 해당됩니다.

메일이나 메신저, USB, 출력물 등으로 정보가 전송된 내용을 기록해서 관리해야 합니다. USB를 아예 쓰지 못하도록 하는 것이 해법이 될 수도 있습니다.

보안은 결국 사람이 하는 것입니다. 기술은 부분적 해결책일 뿐이며, 끊임없는 교육과 계도를 통하여 마인드를 바꾸는 것이 중요합니다. 실지로, 사회분위기가 많이 바뀌었습니다.

3~4년 전만 해도, 인터넷쇼핑기업 관리자는 자기 여자친구가 뭘 구매했는지 검색할 수 있었습니다. 카드사 관리자는 자사 모델이 뭘 구매했는지 검색할 수 있었습니다. 검색할 뿐 아니라 잡담 및 자랑 삼아 외부에 이야기할 수도 있었습니다.

지금은 그렇게 하는 사람도 없거니와, 만일 그런 일을 한다면 심각한 개인정보침해로 당장 처벌받게 될 것입니다. 개인정보보호에 대한 전반적인 사회 인식수준의 제고가 이루어진 것입니다. 그러나 끊임없이 나오는 유출사고들을 보면 아직도 가야 할 길이 너무도 멀다는 생각이 듭니다.

다시 한번 강조하겠습니다. 유출되었다는 사실만 알뿐, 유출의 규모와 증거를 확보하지 못하는 일은 다시 없어야만 합니다. 옥션은 처음이란 이유로 면죄부를 받을 수 있겠지만, 제2 제3의 사고가 발생하면 어떤 변명도 통하지 않을 것입니다. 이번 옥션사고가 한국사회 개인정보보호 수준을 격상시키는 단초와 계기가 되기를 기원하며 펜을 놓습니다.

[글 · 김대환 소만사 대표]

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>