인터넷 사이트나 신용카드의 비밀 번호를 비롯한 개인 정보의 유출 문제는 우리나라 뿐만 아니라 서방 여러 나라에서도 심각한 사회 문제 중의 하나이다.

BBC가 4일(현지시간) 패스워드가 점차 사라지고 있는 현상과 무엇이 이를 대체할 수 있는지에 대해 보도해 주목을 끌고 있다. 다음은 BBC뉴스 전문.

영국 런던 출신의 배우 세라 그린은 2017년 개인정보를 도둑맞았다.

“어느 날 집에 도착해보니 우편함이 부서져있었습니다.”

그녀는 이렇게 말했다.

“그리고 제가 신청하지도 않은 신용카드가 두 개나 발급 승인이 나있었으며, 한 은행에서는 신용카드를 발급하기로 했던 결정을 취소했다는 편지를 보내기도 했습니다.”

세라는 자신의 이름으로 발급된 신용카드를 추적하기 위해 신용 조사 회사 한 곳에만 150파운드를 지불해야 했다.

“엄청 고되고 비용이 적지 않게 들어가는 일이었습니다.”

그녀는 BBC와의 인터뷰에서 이렇게 말하며, 자신의 본명을 밝히지 말 것을 요청했다.

개인 정보 도용의 문제는 영국에서 항상 뜨거운 이슈 거리이다. 세상이 점점 디지털화 함에 따라 금융사기를 목표로 개인 정보를 노리는 범죄자들이 증가하면서, 영국의 신용정보 기관인 ‘금융 산업 사기방지기구(CIFAS)’는 작년에만 19만건의 개인 정보 범죄를 적발했다.

그렇다면 우리는 개인 정보를 어떻게 하면 안전하게 지킬 수 있을까?

일반적으로 개인 정보의 첫 수문장은 비밀번호이다.

하지만 비밀번호가 우리의 개인 정보를 제대로 지켜주지 못한다는 사실은 최근의 뉴스들로 너무나 잘 입증되고 있다. 지난 4월 페이스북은, 수백만 명의 인스타그램 사용자들의 비밀번호가 자신들의 서버에 해독이 가능한 형태로 저장되어있다는 점을 인정했다. 이는 페이스북 자체의 기준에도 한참 못 미치는 수준이며, 사용자들 개인 정보의 잠재적 유출도 염려할 수밖에 없는 상황이다.

작년 소셜 미디어와 연동해서 질의·응답 기능을 제공하는 웹사이트 ‘쿼라(quora.com)’는 1억 명 회원들의 이름과 이메일 계정을 해킹당했다. 그리고 야후는 최근 30억 명 회원들의 이메일 계정과 비밀번호 자료 유출과 관련해서 법적 분쟁을 마무리 짓는 절차를 완료하였다.

또, 마이크로 소프트가 작년에 패스워드를 없애고 생체인식(biometrics)이나 특별 보안키 제도를 도입하겠다고 공표한 것도 당연한 조치라 할 수 있다.

미국 코네티컷 주에 본사를 둔 IT 분야 리서치 기업 ‘가트너(Gartner)’는, 2022년까지는 대기업의 60%와, 대부분의 중견 기업들이 패스워드에 의존하는 방침을 반으로 줄일 것이라고 예측했다.

“비밀번호는 해커들에게는 가장 손쉬운 먹잇감에 해당합니다.”

생체인식 기술을 제공하는 보안 업체 ‘베리디움(Veridium)’의 수익 담당 책임자 제이슨 툴리는 이렇게 말했다.

“사람들은 기억하기 쉬운 비밀번호를 사용하는 경향이 강하기 때문에 침투해 들어가기가 식은 죽 먹기나 마찬가지인 겁니다.”

패스워드 사용을 폐기하면 보안이 향상될 뿐만 아니라 IT 기업들이 잃어버린 페스워드를 되살리는 데 허비하는 귀중한 돈과 시간을 절약할 수 있게 된다.

“패스워드 사용과 관련해서 근로자 1인당 해마다 약 200달러의 비용 손실이 기록되고 있습니다. 이 수치에는 생산성 저하는 포함되지도 않은 것입니다.”

제이슨 툴리는 이렇게 말했다.

“큰 조직에게는 이 금액은 어마어마한 비용에 해당합니다.”

새로운 위협
필립 블랙은 데이터 보호를 위한 강력한 암호 기술을 제공하는 보안회사 ‘포스트 콴텀(Post-Quantum)’의 마케팅 책임자이다.

그는 패스워드는 이미 허점투성이임이 드러났다고 말했다.

“우리는 수많은 패스워드를 생성하고 관리해야 합니다. 당연히 관리가 쉽지 않기 때문에 사람들은 같은 패스워드를 사용함으로써 취약점을 드러낼 수 밖에 없게 됩니다.”

EU는 이러한 문제를 돌파하기 위해 새로운 법률안을 만들었다. ‘PSD2(Payment Services Directive)’라고 알려진 이 새로운 지불 수단은 기업들에게 고객 정보를 확인할 때 적어도 2단계의 요소를 거치도록 하고 있다.

이 2단계에는 고객이 이미 소유하고 있는 은행 카드나 이미 알고 있는 핀(PIN) 넘버, 그리고 생체인식 기술을 포함한 새로운 접근 방식이 포함된다.

기존의 비밀번호나 개인 인식 정보, 또는 문자로 전송하는 코드 방식을 뛰어넘어 생체인식 메커니즘이 점점 더 주목을 받고 있다. 144개국에 회원사를 둔 세계적인 종합 회계·재무·자문 그룹 KPMG가 2019년에 실시한 국제 금융사기 조사에 따르면 67%의 은행들이 지문 인식이나 목소리 성분 인식, 안면 인식 같은 생체인식 기술의 개발에 투자를 하고 있다고 한다.

금년에는 ‘내셔널 웨스트민스터 은행(NatWest)’이 카드에 지문 스캐너를 직접 심는 방식의 직불카드를 시범적으로 출시한 바가 있다.

하지만 생체인식 기술은 소비자가 사용함에 있어 거부감 없이 다가갈 수 있는 장점이 있는 반면에 특수 장비의 필요성으로 인해 실제 사용이 지체되고 있는 실정이다.

한편, 최근의 스마트폰 열풍으로 소비자들의 대부분은 필요한 하드웨어를 주머니에 넣고 다닐 수가 있다. 회계 감사 기업인 ‘딜로이트(Deloitte)’가 조사한 여론조사 결과는 영국 거주자 1/5이 지문의 스캔이 가능한 스마트폰을 사용하고 있으며, 이 숫자는 빠르게 증가하고 있다고 한다.

그러나 우리의 개인 정보가 범죄꾼들의 먹잇감이 되기 쉬운 것처럼 생체인식 기술 또한 도난당할 수 있다. 지난 9월 상하이에서 열린 보안 관련 국제회의에 참석한 중국의 연구자들은 몇 미터 떨어진 지점에서 사진을 찍어 타인의 지문을 탈취하는 일이 가능함을 보여주었다.

비밀번호를 바꾸듯이 우리의 지문도 바꿀 수 있을까?

기업들은 보안을 높이기 위해 다중 인증 서비스 방식에 의존하는 경향이 점점 강해지고 있다. 이는 가능한 많은 단계를 동원에 사용자를 인증하는 방식을 일컫는다.

이 방식은 PIN이나 지문 인식처럼 눈에 띄는 단계뿐만 아니라 사는 지역이나 구매 이력, 자판 두드리는 습성, 화면 패턴, 휴대폰 인증, 그리고 심지어는 휴대폰을 들고 다니는 습성까지를 포함하는 사용자 개인 습관까지 포함된다.

“생체인식 기술이 패스워드를 100% 대체할 수 있을까요? 그렇지 않습니다. 여러 단계를 조합하는 인증 절차가 패스워드를 대체할 겁니다. 지금 그런 추세로 바뀌고 있는 중입니다.”

모바일 뱅킹 서비스를 제공하는 ‘분크(Bunq)’의 CEO 알리 닉남은 이렇게 말했다.

그러나 이런 식의 다단계 인증 방법은 안전할지는 몰라도 인증 과정을 더욱 불투명하게 할 위험성이 도사리고 있다. 온라인에서 자신을 입증하기 위해 무엇을 사용할지 모르는 경우 우리는 해당 정보를 어떻게 보호할 수 있을까?

“저는 특히 인터넷 보안에 신경을 씁니다. 제 생년월일이나 주소 등을 어디에도 공개하지 않습니다.”

배우 세라 그린은 이렇게 말했다.

“저는 33살로 비교적 젊은 나이이며, 테크놀로지에도 익숙하지만 정보 유출을 방지할 수 있는 탁월한 방법에 대해서는 알지 못합니다.”

그녀는, 한 은행이 해커가 그녀의 이름으로 개설한 계좌의 해지를 그녀가 비밀번호를 모른다는 이유로 처음에는 거절한 사실을 분명히 기억하고 있다.
 

dtpchoi@naver.com