옥션 사태로 우리가 반드시 얻어야 하는 것

옥션 해킹

옥션에 접속한 뒤 페이지 아래쪽으로 내려가면 알려드립니다. 해킹사고 관련 추가공지가 나타난다. 필독이라는 아이콘에서 알 수 있듯이 상당히 중요한 공지이다. 그러나 이처럼 중요한 공지를 팝업으로 띄우지 않고 페이지 아래쪽에 숨어있다는 것은 조금 문제가 있는 듯 싶었다. 아무튼 내용을 확인해 보면 얼마전 발생한 옥션의 해킹 사고에 대한 사과와 개인 정보 유출을 확인할 수 있는 세개의 링크가 표시된다.

목차

옥션 해킹

얼마 전

유출된 부분은 이름, 아이디, 주소, 전화번호등이라고 한다. 조금 어이가 없다. 그토록 개인정보 유출에 대해 신경을 썼는데 이러 노력이 하루 아침에 무산이 됐다.

도사린 위험

그러나 더 큰 문제는 이런 위험이 아직도 곳곳에 도사리고 있다는 점이다. 먼저 문제점을 짚어보자.

  1. 주민등록 번호
    우리나라의 많은 사이트들은 가입시 주민등록 번호를 요구한다. 그러나 쇼핑몰에서 주민등록 번호를 요구할 이유는 전혀없다. 쇼핑몰에서 미성년자에게 팔 수 없는 담배와 주류를 파는 것도 아니다. 특히 서점처럼 책만 파는 곳도 주민등록 번호를 요구한다. 심지어 인터넷의 작은 커뮤니티까지 주민번호를 요구한다. 개인에게 아주 중요한 주민등록 번호지만 이 주민등록 번호를 제대로 관리하는 곳은 거의 없다.

    더우기 이 개인정보를 팔아 먹는 곳도있다. 작년

    소잃어도 보안엔 관심이 없는 행안부

    나는 행정안전부의 G-PIN에 대한 글을 두개 올렸다. 하나는

    아직도 정신를 차리지 못하고 있는 행정안전부. 가입시 각종 ActiveX를 설치한다. 어렇게 설치한 ActiveX 중에는 세벌식에 대한 고려가 없어서 한영 전환이 되지 못하게 하는 ActiveX도 설치된다.

    그런데 암호는 일반 텍스트로 저장된다. 옥션 사태에서 알 수 있듯이 암호나 주민등록번호를 단방향 암호화해서 저장하지 않는 가입하지 않는 것이 가장 좋다. 행정안전부 G-PIN 사이트도 반드시 탈퇴해야 하는 사이트 중 하나이다.

    옥션 사태로 우리가 반드시 얻어야 하는 것

    옥션 사태는 이제 일파 만파로 번지고 있다. 지난 뉴스추적에 따르면 옥션에서 개인 정보가 유출된 사람의 수는 1000만명이 아니라 1800만명이라고 한다. 옥션을 해킹한 해커는 잡혔지만 이렇게 유출된 "개인 정보는 중국 각지로 퍼지고 있다"고 한다. 더 큰 문제는 이 정보를 이용해서 개인에 대한 자세한 정보를 빼낸 뒤 자식이 납치됐다는 보이스 피싱이 증가하고 있다고 한다.

    그러나 가장 중요한 문제는 이런 문제는 앞으로도 계속해서 발생할 수 있다는 점이다. 이런 문제 때문에 행정안전부에서는 G-PIN이라는 제도를 도입하고 있다. 그러나 주민등록번호보다 보안상 더 위험한 것은 행정안전부의 G-PIN이다. 행정안전부 G-PIN 로그인 우회하기라는 글에서 알 수 있듯이 간단히 스크립트를 우회할 수 있다. 또 이런 문제에 대해 수정을 요청해도 답장조차 하지 않는 곳이 행정 안전부이기 때문이다.

    옥션 사태와 같은 문제가 발생하지 않기 위해서는 주민등록번호와 같은 개인의 중요한 정보는 인터넷 사이트처럼 보안이 취약한 사이트에서는 아예 요구하지 못하도록 법제화해야 한다. 옥션과 같은 경매 사이트에서 주민등록번호를 요구할 이유는 아무것도 없다.

    두번째로 법제화 전까지는 최소한 암호와 주민등록번호는 단방향 암호화해서 저장해야 한다. 그래야 해킹을 당한다고 해도 최소한 개인의 가장 중요한 정보인 암호와 주민등록번호는 보호할 수 있기 때문이다.

    마지막으로 편의를 위해 보안을 희생하는 우리의 사고를 바꾸어야 한다는 점이다. 조금 다른 문제일 수 있지만 숭례문 화재도 따지고 보면 편의를 위해 보안을 희생해서 발생한 문제이기도 하다.

    관련 글타래

Powered by Textcube