| 'e사람'은 우리 경제의 각 분야에서 독자들이 만나고 싶어하는 사람, 열심히 일하는 사람들을 찾아가, 그들과 이야기를 나눕니다. 현장 노동자부터 학자, 관료, CEO, 사회단체 등 그 누구도 대상이 될 수 있습니다. 트위터와 페이스북 등을 통해 참여할 수도 있습니다. [편집자말] |
명색이 데이터베이스 보안 전문가인데 그의 연구실에서 컴퓨터가 보이지 않았다. 대신 허름한 라디오가 놓여 있다. "전자파 때문에 컴퓨터는 옆 작업실에 따로 둔다"는 게 이유다.
문송천 카이스트 경영대학 교수는 44년 전부터 정보통신(IT)을 전공했다. 학계에서는 한국판 보안프로그램을 직접 개발하는 등 데이터베이스 전문가로 통한다. 누구보다도 IT와 데이터베이스의 위험성을 잘 알기에 완전히 믿지 못한다.
지난 24일 서울 동대문구 카이스트 연구실에서 그를 만났다. 문 교수는 최근 사상 최악의 카드사 정보유출 사고를 일으킨 피의자들의 속내가 훤히 보인다고 말했다.
"카드사태 범인들은 새빨간 거짓말을 하고 있어요. 이동식저장장치(USB) 하나에만 저장하고 추가 유출 안 했다는 건 말장난이에요. 요즘 초등학생도 그렇게 안 합니다. 아마 수십 곳에 복제해놓고 최소 수십억은 챙겼을 겁니다." IT전문가 참고인 자격으로 국회 청문회에 참석했을 때도 그는 범인들을 앞에 두고 "피의자들은 위증을 하고 있다"며 목소리를 높였다. 문교수는 인터뷰 내내 '답답하다'는 말을 자주 뱉었다.
"데이터에 대해서 모르는 금융당국과 국회의원들은 계속 헛발질하는 대책만 내놓고 있어요. 청문회에서 국회의원들은 초보적인 질문을 던지고 범인들은 전문용어를 쓰면서 둘러대니 의원들은 그런가 보다 합니다. 아마 청문회를 보면서 해커들은 비웃고 있을 겁니다. 정부가 지금 해커들의 생계를 보장해주고 있는 꼴입니다." 그는 피의자들의 암호화된 부분은 건들지 못했다는 말은 모두 거짓이라며 정면 반박했다. 부정거래탐지시스템(FDS)개발자인 피의자는 정보접근에 막강한 권한이 있다고 설명했다.
그는 "1억 건 중에서 100만 건만 팔고 나머지는 암호 때문에 꺼내지 못했다고 하는데 암호화 자체도 (피의자) 자신들이 만들었다"며 "(암호를) 풀고도 남는다"고 지적했다. 또한 이번 KB국민, NH농협, 롯데카드 뿐 아니라 신한, 삼성카드도 정보가 유출됐을 것이라고 문 교수는 주장했다. 이번 사건의 피의자인 박아무개씨는 신한과 삼성 등 두 카드사는 보안강화로 정보를 빼내지 못했다고 주장하고 있다.
"1억 건이면 가치가 2000억은 됩니다. 은행들이 보안업무를 외주 주는 게 관행인데 본인들이 보안프로그램을 만들 능력이 없어서입니다. 결국 외주 IT 기술자들은 은행보다 한 단계 위예요. 1억 건 이상을 빼냈을 것이고 카드 3사 외에 신한, 삼성도 아마 다 털었을 걸로 봅니다" "만능키 주민번호면 개인의 모든 것 재구성 가능"
문 교수는 "피의자들의 목표물은 주민등록번호"라고 단언했다. 그는 "우리나라에서는 주민번호는 만능키라 해커들의 가장 좋은 먹잇감"이라며 "금융기관을 비롯해 상점, 병원 모든 곳에서 주민번호가 쓰이니 이거 하나면 개인의 모든 것을 재구성 해볼 수 있다"고 주장했다.
또한 "맞춤형 마케팅뿐만 아니라 신분위장까지 가능하다"고 말했다. 이어 "우리나라의 경우 주민번호를 정점으로 한 개인정보 지하유통망이 어마어마한 수준"이라고 덧붙였다. 이는 무분별한 정보수집 관행 때문이라고 주장했다.
그는 "식당, 마트에서 포인트 적립하는 보너스 카드 하나를 만들 때도 주민번호를 대라고 하는데 이들은 주민번호를 수집해놓았다가 암거래 제의가 오면 팔려고 하는 것"이라며 "주민번호가 개 당 1000~5000원 정도 하니 돈이 궁하면 정보를 판다"고 전했다.
그러나 정부가 이를 인정하지 않고 있다며 목소리를 높였다. 그는 3년 전에도 전 국민의 주민번호가 유출된 사건이 있었지만 정부는 그 뒤로 별다른 대책을 내놓지 않았다고 지적했다.
문 교수는 "네이트, 싸이월드에서 3500만의 주민번호가 유출됐는데 전 국민이 다 털린 것으로 볼 수 있다"며 "주민번호의 위력은 핵폭탄 급이라 난리가 나도 그때 났어야 했다"고 꼬집었다.
그는 "이번 일부 카드사는 카드번호와 비밀번호가 유출되지 않았으니 2차 피해가 없다고 말하지만 주민번호 하나면 모든 걸 다 알아낼 수 있다"고 주장했다. 또한 2차 피해가 없다는 금융당국과 정부의 말은 면피용에 불과하다고 말했다.
"이번 사고로 2차 피해가 없다고 하는 거는, 언제 유출로 피해를 입은 건지 증명하기 힘들기 때문입니다. 만약에 정보 유출로 인한 피해자가 나와도 그게 이번 카드정보유출로 피해 입은 건지 증명이 안돼요. 과거에 주민번호, 카드번호 유출된 적이 이미 많으니까요""2차 피해 없다고? 금융당국과 정부의 말은 면피용에 불과"그도 이번 카드 3사 중 롯데카드에서 개인정보가 유출됐다. 그는 "이번에 유출됐다고 이메일로 통지가 왔는데 언제 됐는지 알 수가 없다"며 "나 같은 전문가도 모르는데 일반인들은 파악하기 더 어렵다"고 설명했다.
이어 "정부당국은 나중에 집단적으로 피해를 받은 사람들이 나와서 사회적인 문제가 되기 전까지는 일단 지금 상황을 넘기려는 거다"라고 지적했다.
카드사태 이후 정부가 종합 신용정보 집중기관을 공공기관으로 설립하고 인터넷 뱅킹 인증 보안 강화, 정보수집 최소화 등 대책마련을 부지런히 내놓고 있지만 김 교수는 회의적으로 보고 있다.
그는 "대책은 대책 자체로 좋지만 약발이 안 먹힐 것"이라며 "이미 다 털렸는데 지금 와서 최소화하면 무슨 의미가 있겠냐"고 반문했다. 또 "나는 개인정보를 아주 엄격하게 관리하는 편이라 현금영수증도 안 쓰고 카드도 지금까지 한 개 뿐이지만 정보유출건수를 조회해보니 200회가 넘는다"며 "국민들도 최소 그 이상일 것"이라고 문 교수는 말했다.
그는 장기적인 대책으로 1조 원 정도 예산이 들더라도 주민등록번호 재부여 작업에 들어가야 한다고 주장했다. 그 다음 금융권을 포함한 모든 기업이 다시는 주민등록번호를 어떤 상업활동에도 사용하지 못하게 해야 한다는 것이다.
더 단기적인 처방으로는 주민번호의 사용 제한을 꼽았다. 그는 "기업은 이제 정부에 의존하지 말고 고객식별수단 다변화해야 한다"고 대안을 제시했다. 개인식별수단이 다양화할수록 해커가 무력감을 느끼게 된다는 것이다.
이어 "당장 주민번호를 개선하는 주체도 없다"며 "안전행정부, 미래창조과학부, 금융당국이 서로 책임이 없다며 떠 넘기고 있는데 주민번호 개선위원회를 만들어 각 분야 전문가들과 머리를 맞대고 주민번호에 대한 한계를 인정하고 대안을 논의할 때"라고 강조했다.