최근 개막된 영화 "조작된 도시"를 보면 방대한 사용자 정보가 구축된 방에서 범죄를 만들 대상을 찾는 장면이 나온다. 그 영화에는 마치 지구상의 모든 사람들의 개인정보가 데이터베이스로 구축되어 있는 것 같다. 나의 정보도 모두 수집되어 있는 것 같은 생각마저 든다. 영화라 과장이 있다 하더라도 얼마 안가서 현실화 될 듯 하다.

구글에서 자신의 이름과 주민번호를 조회하면 개인정보가 수두룩하게 나온다고도 한다. 주민번호가 유출된 사례는 지금까지 여러 언론을 통해 많이 기사화되어 알고 있을 것이다. 이렇듯 요즘은 개인정보가 도대체 어디에 얼마나 쓰이는지 알 수 없을 정도다.

개인정보만큼이나 중요한 것이 또 하나 있는데 개인의 인증정보다. 인증정보란 인터넷의 각종 서비스를 이용하기 위해 사용하는 ID 및 비밀번호다. 인증정보 유출 시에도 피해가 크다. 꼭 금전적인 피해가 아니더라도 나를 가장하여 온라인상에서 불법 활동을 하여 나에게 피해를 줄 수 있다. 2014년에 국내 굴지의 통신사 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동시켜 입력하는 프로그램으로 고유번호가 유출되어 소송을 당하기도 했다.

이런 상황이 된 이유는 다양하다. 첫째, 인터넷 시스템을 제공하는 회사의 의식이다. 회사 경영층의 보안의식이 부족하다거나 또는 예산문제로 인해 어쩔 수 없이 취약성을 알면서도 서비스를 제공한다. 필자가 여러 회사에 보안 컨설팅을 할 때 보면, 기본적인 방화벽(F/W), 침입탐지시스템(IDS) 및 침입방지시스템(IPS)만 있으면 되는 것으로 생각하는 사람들이 많다. 그러나 내·외부 서비스를 하는 시스템과 이용자 보호에는 의외로 소홀하다.

둘째, 이용하는 개인의 보안 의식이다. 비밀번호를 변경을 잘 하지 않는다. 비밀번호만 잘 관리해도 보안도가 한층 더 올라간다. 비밀번호는 영어 대소문자, 숫자, 특수문자 중 2종류 이상으로 구성한 10자리이상, 3종 이상으로 구성한 8자리 이상으로 작성해야 안전하다. 비밀번호 변경도 최소 6개월에 한 번씩 하는 것이 좋다.

이용자의 항변도 있다. 사이트들이 2개만 되도 ID 와 비밀번호를 관리해야 하는데, 비밀번호를 주기적으로 변경하고 기억하기란 어려움이 많다.

기업이 보안을 강화하고 이용자의 편의성을 높이는 방법은 있다.

바로 하나의 아이디와 비밀번호로 여러 서비스를 같이 로그인해 주는 SSO(Singe Sign On)시스템을 이용하는 것이다. 공인인증서나 스마트폰OTP를 이용하여 인증을 한번 더 인증을 거치도록 해 더욱 보안을 강화할 수 있다. 하나의 ID와 비밀번호로 여러 서비스를 이용할 수 있다는 것은 보안 입장에서 취약점이 될 수 있다. 따라서 인증을 추가하고 비밀번호 관리를 잘 해야 한다.

사용자가 비밀번호 관리를 잘 할 수 있도록 시스템과 절차를 마련하는 것은 바로 기업의 책임이다. 더불어 이용자는 비밀번호를 주기적으로 변경하고 관리하여 개인의 소중한 정보, 인증정보를 지켜야 하겠다.

유영길(ISMS인증심사원, 보안칼럼니스트. 現 YKCNS 대표 보안컨설턴트)