이제 우리는 하루의 많은 시간을 온라인에서 보낸다. 온라인에서 사람들과 관계를 맺는다는 건, 온라인 공간에서 유통되는 개인 식별 정보가 풍부하다는 소리다. 이를 자원으로 삼는 건 우리의 일상적인 사이버 생활만이 아니다. 공격자들도 마찬가지다.

[보안뉴스 문가용 기자] 작년 한 해 동안 온라인 공간에 당신이 올린 콘텐츠를 떠올려 보라. 사진, 블로그 글, 웹사이트 댓글 등등을 말이다. 그 콘텐츠는 당신의 취미, 당신의 거주지, 당신이 구매한 상품 등 당신이라는 개인에 대한 정보를 얼마나 많이 내포하고 있는가? 인터넷 공간은 개인 식별 정보로 꽉꽉 채워진 곳이라고 해도 무방하다. 그렇기 때문에 개인이나 조직들에 상당히 위험한 장소이기도 하다.


사이버 공격자들에게 있어 타인의 개인정보는 대단한 가치를 지닌다. 이 개인정보를 활용해 계정이나 네트워크에 곧바로 접속하는 것도 가능하게 된다. 굳이 비밀번호 등과 같은 로그인 크리덴셜이 아니더라도 공격자들은 자신들의 손에 주어진 식별 정보들을 가지고 여러 방법을 동원해 개인과 기업을 위험한 상황에 처하게 할 수 있다. 알면 알수록 공격자들에게는 힘이 되고, 이 힘을 바탕으로 피해자들에게 사기 공격을 가한다.

개인 식별 정보를 보호한다는 건 그 어떤 경우에도 우선순위를 차지해야 한다. 개인의 일이라고 치부하며, 비밀번호를 좀 어렵게 설정하도록 권장하는 것만으로 개인 식별 정보가 효과적으로 보호될 수 없다. 직원들이 사이버 공간 내 다른 영역과 도메인에서 하는 활동들에도 주의를 기울여야 한다. 예를 들어 어떤 클라우드를 사용하고 있는지 알아보고, 그 클라우드 서비스의 보안 프로토콜을 확인한다든지, 괜찮으면 회사 내에 도입해 직원들이 좀 더 편안하고 안전하게 일할 수 있도록 여건을 마련하는 방법이 있을 수 있겠다.

사이버 범죄자들에게 가장 중요한 자원
사이버 범죄자들마다 목표가 다르고 동기도 다르겠지만, 개인 식별 정보를 훔쳐서 활용한다는 행위에는 차이가 없다. IBM의 2020년 ‘데이터 침해 비용’ 보고서에 따르면 침해 사고의 80%에서 개인 식별 정보의 탈취가 연루되어 있었다고 한다. 버라이즌의 2020년 ‘데이터 침해 수사 보고서’에도 비슷한 내용이 나온다. 올해 가장 많이 침해된 정보 중에 개인 식별 정보가 포함되어 있다는 것이다.

사이버 범죄자들이 훔치고 활용하는 개인 식별 정보의 양도 꾸준한 증가 추세에 있다. 세상에는 수십억 명이 넘는 소셜미디어 사용자들이 있는데, 1초에 15.5명이 접속할 정도로 활발한 활동력을 보이기도 한다. 게다가 전자상거래 서비스들도 늘어나고 있어, 사람들은 점점 더 많은 시간을 온라인 공간에서 보낸다. 상호 간에 순환되는 개인 식별 정보의 양이 많아질 수밖에 없는 여건이라는 것이고, 사이버 범죄자들은 이러한 상황을 적극 활용한다.

물론 개인 식별 정보를 아예 공유하지 않는 상황이 올 수는 없을 것이다. 그런 상황이 바람직한 것만도 아니다. 개인 식별 정보를 안전하게 공유하면서 얻는 혜택은 결코 무시할 수 없으며, 따라서 이를 아예 포기한다는 건 ‘구더기 무서워서 장 못 담그는’ 꼴이나 다름이 없다. 결국 모두가 안전한 개인 식별 정보 공유 방법을 익히는 것이 최선이다.

사이버 범죄자들은 개인 식별 정보에 늘 목마르다
닐슨(Nielsen)에서 최근 조사한 바에 따르면 미국 성인이 평균적으로 화면을 보며 보내는 시간은 일간 평균 12.5시간이라고 한다. 스마트폰, 태브릿, 컴퓨터 등 모든 장비들을 바라보면서 그 많은 시간을 보낸다는 것이다. 2018년 조사 당시 11시간이 나왔었다는 걸 감안하면 이 역시 증가 추세라고 볼 수 있다. 또한 온라인 공간에서 유통되는 개인 식별 정보가 그만큼 증가했다는 것 역시 유추할 수 있다.

이제 우리는 의식적으로 개인 식별 정보를 올리지 않는 상황에서도, ‘내 개인 식별 정보가 침해 및 노출될 수 있다’는 걸 염두에 두어야 한다. 예를 들어 우리는 다양한 영리 활동을 하면서 업무용 이메일 주소를 노출시킨다. 이 경우 사이버 범죄자들은 제일 먼저 비밀번호를 마구 대입해보는 공격을 할 수 있다. 또한 이 이메일로 멀웨어가 심긴 다양한 피싱 메일을 보낼 수도 있다. 작은 이메일 주소 하나라도 공격의 시발점으로서 작용하기에 충분하다는 것이다.

그렇다고 모든 사람들이 자신이 공유하는 자원이 어떤 식으로 악용되어야 할지 신경질적으로 다 고려할 수는 없다. 계정 보안의 수칙을 기억하고 지키는 것이 더 효율적이다. 퓨(Pew)가 최근 연구한 바에 의하면 39%의 소셜미디어 사용자들이 “소셜미디어 계정에 로그인 되어 있는 상태에서 다른 웹사이트에 로그인 한다”고 한다. 18~29세 사용자들의 경우 이 수치는 56%로까지 올라간다.

개인 식별 정보 중 가장 민감하고 위험한 건 비밀번호다. 따라서 비밀번호는 가장 엄중하고 안전하게 보호해야 하는 자원이다. 하지만 위에서 언급한 퓨의 연구 보고서에 따르면 13%의 미국인들이 “별다른 경고 없이 계정 탈취를 당해 본 경험이 있다”고 하는데, 이는 누군가 비밀번호를 훔쳐가는 데 성공해 마치 계정 주인인 것처럼 로그인을 했다는 뜻이다. 즉, 사용자들이 같은 비밀번호를 중복해서 여러 서비스에 대입하고 있다는 말이 된다.

개인 식별 정보, 어떻게 지킬 것인가?
개인 식별 정보를 지키는 건 그리 어려운 일이 아니다. 비밀번호 관리자 프로그램을 사용하는 것도 한 방법인데, 아직 보급률이 높지 않다. 또한 의심스러운 링크를 클릭하지 않거나 첨부파일을 열지 않는다는 것과 같은 기본적인 수칙을 지키는 것도 중요하다. 하지만 중요한 건 개개인의 사이버 위생 습관에 모든 것을 맡길 수는 없으며, 조직 차원에서 접근해야 한다는 걸 기억하는 것이다. 이걸 조직이 기억하려면 ‘이제 온라인 공간은 우리 직원들이 하루의 대부분을 보내는 곳’이라는 걸 이해해야 한다.

우리는 소셜미디어에 지나치게 많은 정보를 공개하는 사람들의 이야기를 들고 와 농담거리로 삼는다. 소셜미디어에 집착하여 각종 무리수를 던지는 사람들 역시 곧잘 발굴된다. 그만큼 우리는 온라인 공간에서 정보 공유하는 걸 두려워하지 않는 경향을 가지고 있다는 뜻이다. 물론 은행 계좌 번호나 주민등록번호를 페이스북에 공개적으로 올릴 정도로 우리는 바보가 아니다. 그러나 공격자들은 사소한 실마리 하나를 가지고 자기 마음대로 활용하는 전문가들이다. 그들이 전문가라서 우리가 정보 공유를 조심해서 해야 하는 것이다.

예를 하나 들어 보겠다. 한 직원이 “내 회사 책상 지저분한 것 좀 봐”라며 사진을 올렸다고 치자. 소셜미디어 친구들은 웃긴다는 댓글 몇 개 달고 끝냈을 것이다. 그런데 49%의 미국인들이 중요한 계정의 비밀번호를 포스트잇에 붙여놓고 있다면 어떨까? 아마 절반의 확률로 그 사진에는 비밀번호가 포함되어 있었을 것이다. 해당 직원에게는 악의가 없었을 것이다. 부주의만 있었을 뿐. 조직 차원에서는 이런 사태를 방지하기 위해 비밀번호가 사무 공간에 붙어 있지 못하도록 주기적으로 검사를 실시할 수 있다.

개인 식별 정보의 공유는 온라인 생활을 영위하기 위해 반드시 필요한 일이다. 그것 자체를 차단할 수는 없고, 그래야 할 필요도 없다. 시대는 변했고, 이제 개인 식별 정보를 안전한 자원으로서 이해하고 보호하는 습관을 조직 차원에서 길러야 할 때다.

글 : 잭 슐러(Zack Schuler), CEO, NINJIO
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>