정보 인질극과 DB 보안
한국데이터베이스진흥원 원장 한응수
1년 전, A캐피탈社 전산실의 한 직원이 이메일 한통을 받았다. 본인이 A캐피탈사의 고객DB를 해킹했으며, 책임자와의 연락을 요구한다는 내용이었다. 범인들은 협상 내용을 주고받을 메일을 지정하고 시간까지 통보하는 치밀함을 보였다. 그리고 이를 공개한다는 협박으로 협상금까지 요구했다. 기업의 고객 정보가 인질이 된 것이다. 이 해킹 사건으로 확인된 피해 고객만 수십만 명에 달하며, 일부 고객은 신용등급 정보와 비밀번호까지 유출됐다고 한다. 사고의 원인은 사고예방대책을 무시한 안전 불감증이 부른 인재였고, 언론은 보안의식이 희박하고 시스템 운영방식이 부실해 화를 입은 것이라고 지적하였다.
개인 정보의 유출은 유출로 끝나지 않는다. 사실 해킹한 정보를 불법대출이나 보이스피싱, 스팸메일과 같은 불법광고에 악용하는 등 제2, 제 3의 피해가 우려된다. 이로 인해 최근 뜨거운 감자로 떠오르고 있는 분야가 바로 개인 정보를 담고 있는 DB에 대한 보안이다. 지능화된 사이버 공격의 대비책으로 기존의 경계 방어만으로는 부족하다는 것이 여러 해킹 사건들로 인해 입증되었기 때문이다. 예컨대 DB보안은 집안의 금고와 같다. 집안의 귀중품을 보호하기 위해 대문에 이중 자물쇠를 채우고, CCTV도 설치하고, 용맹한 개도 키우지만 가장 마지막 장치로서 무겁고 성능 좋은 금고가 관심을 끄는 것과 같은 이치다. 어제(12일) 한국DB진흥원이 개최한 DB보안 세미나에서도 이러한 관심을 입증하듯 보안 담당자들이 인산인해를 이루었다.
DB를 보호할 수 있는 방법은 정보를 담고 있는 DB에 접근 권한을 선별적 또는 차등적으로 부여하여 부정한 정보 접근을 막는 것이다. 하지만 정상적인 접근을 통해 정보를 획득하였다 하더라도 이를 범죄에 악용할 수 있다. 이러한 경우를 대비해 정보를 암호화하여 이를 풀지 못하면 정보를 열람할 수 없거나 행정적인 절차를 통해 작업 내용이 정당한가를 엄격하게 확인하도록 한다. 또한 DB에 내재된 취약점들을 제거해 DB의 보안 수준을 향상시킨다.
DB보안의 목적은 모든 종류의 위협으로부터 완벽하게 방어하고자 하는 것이 아니다. 위와 같이 보안 사고의 발생 위험을 감소시키고 피해를 수습 가능한 수준으로 최소화하기 위해 지속적으로 최선의 노력을 다하는 것이다. 최선의 보안을 갖추어야 하는 것이 국민과 고객의 소중한 정보를 다루는 국가와 기업의 의무이다. 의무를 다하지 않는 한, 앞으로도 총성 없는 정보 인질극은 계속될 것이다.
[관련기사 바로가기]