우리는 혼돈과 불확실성의 인터넷시대에 살고 있다. 그런 속에서 미국인들을 더욱 힘들게 하는 일 중 하나는 개인보안관리를 꼽는다. 어떻게 하면 더 철저하게 하느냐의 문제일 것이다. 보안관리 문제는 어제 오늘 일이 아니지만 최근 연달아 터지는 개인보안관리 관련 사고들을 보면 더욱 그러한 흐름이 느껴진다.  참고로 아주 최근에 이곳에서 발생한 사고 하나를 소개하고자 한다.  

미국의 대표적 개인신용평가기관인 Equifax사는 자사의 고객데이터베이스가 해킹 당했음을 지난 7월 29일 처음 발견했다. 조사결과 올해 5월 중순부터 7월 사이에 해커들이 개인신용정보 관련자료에 접근했다는 사실이 밝혀졌다.

이로부터 한달 정도 시간이 걸려 회사의 보안시스템은 강화됐다. 하지만 일반 대중에게 해킹 사실이 알려진 것은 회사가 문제를 보완 한 뒤로도 한달 이상 더 지나서다.  이로 인해 Equifax의 주가가 곤두박질 친것은 당연했다.

지난 9월 7일 Equifax가 밝힌 바에 따르면 약 1억4300만명의 고객 이름, 주소는 물론 Social Security Number, 신용카드번호와 운전면허증번호를 비롯한 개인정보가 유출됐다. 조지아주의 애틀란타에 본사를 두고 있는 이 회사가 이러한 내용을 발표하자 미국에서는 안전한 개인정보관리에 대한 관심이 더더욱 높아졌다. Social Security Number와 같은 극도로 민감한 개인정보 유출문제에 아주 심각한 고민을 시작하게 됐다.

고객의 분노를 더욱 부채질한 것은 고객이 원하면 단지 1년동안만 개인신용이 이번 해킹으로 영향을 받게 되었는지 감시하는 서비스를 형식적으로 제공한다는 것이다. 또 이번 해킹에 대해 고객들의 법률적 소송은 받지 않는다고 고객이 서약하게 하는 교묘한 회사의 비윤리적 행태다. 

미국에서 통용되는 개인의 가장 중요한 ID인 Social Security Number. 개인이 가지고 있는 영속적 정보인 생년월일과 같다. 사이버보안 전문가들은 이번 사건에 특히 촉각을 곤두세우며 효율적인 개인보안관리방법에 대한 많은 의견을 제시하고 있다. 개인정보가 유출되면 피해당사자는 평생 동안 상상하기 힘든 막대한 금전적 및 정신적 피해를 입게되기 때문이다. 여기에 그 문제의 심각성이 존재한다. 

한술 더 떠서 Equifax는 자사 고객의 개인정보를 광고회사나 소매점, 또는 식당들에게 위치정보까지 팔아넘기고 있다. 고객들이 갖는 개인 정보유출에 대한 공포감은 미국 내에서 하루가 다르게 커지고 있음은 물론이다. 지금 당장 자신의 개인보안이 피해를 입었다고 직접 느끼지 못하더라도 결과적으로는 언제 자신의 개인정보가 팔리게 될지 모르기 때문이다.  '신용이 최고의 자산'이라고 여겨지는 미국의 사회구조에 큰 구멍들이 하루가 다르게 급속히 많이 생겨나고 있는 것이다.   

이러한 심각한 개인정보유출의 문제를 미국은 어떻게 대처하고 있는가?  보안문제의 복잡성과 다양성을 고려해 볼 때 사실 표준화된 국가적인 개인보안관리지침은 지금까지 없었다고 봐야한다. 

U.S. Department Commerce 산하 NIST(미국립표준및기술연구소)는 이런 문제의 심각성을 깨달아 2017년 6월에야 'NIST Special Publication 800-63B Digital Identity Guidelines – Authentication and Lifecycle'이라는 권고안을 제시했다. 하지만 권고안의 실현 가능성과 기대 효과에 대해서는 아직 확신이 없는 상황이다. 결국 각 개인이나 기관별로 보안관리지침을 정해 매우 주의한다 할지라도 일반인들은 허술한 보안관리의 위험 속에서 매일매일을 살아가는 셈이다.

물론 이러한 사고를 최소로 줄이기 위해 전통적인 패스워드기반시스템(password-based system)이 가진 취약점들을 타개하기 위해 지문, 얼굴, 홍채인식기술을 이용한 생체기반인증시스템(biometric authentication system)을 스마트폰이나 모바일뱅킹 등에 사용하기도 한다. 또 공항 보안검색에 시범적으로 사용 중이다. 

그러나 미국에서 개인보안관리에 더 큰 문제는 이러한 생체기반인증시스템을 범국가적으로 시행하기 위해서는 전 미국인의 생체정보를 먼저 수집하고 저장해야 한다. 그러나 이를 수행하기 위해 예상되는 엄청난 비용, 복잡성은 물론 관련된 제도 및 규정들을 이에 맞게 모두 정비하는 문제가 현실적으로 아직 쉽지 않다는 것이다. 

설사 이러한 시스템이 성공적으로 구현된다 할지라도 예기치 않은 문제를 최소화하고 제대로 실행될 수 있는가에 대해서도 많은 보안전문가들은 회의적인 의견들을 내놓고있다. 왜냐하면 대부분의 사람들이 자연스럽게 문자와 숫자들을 기반한 ID 인증시스템에 이미 익숙하게 길들여져 있기 때문이다.  
     
전세계적으로 기승을 부리는 보이지 않는 적들인 해커들의 공격을 막아낼 보안기술 개발은 늘 충분하지가 않다고 생각한다. 그럼 어떻게 해야 할까. 우선 효율적인 개인보안관리는 각 개인의 철저한 보안관리 필요성에 대한 인식에서 시작된다. 또 관련된 보안관리 교육과 훈련 이수 및 이를 실생활 속에서 철저하게 실행하는 데 있다고 본다.

'열명이 한명의 도둑(hacker?)을 못 막는다'는 말도 있고 '구슬이 서말이어도 꿰어야 보배'라는 말도 있다. 각 개인의 철저한 개인보안관리를 위해서는나름대로 주어진 환경에서 효율적인 개인보안관리요령을 부지런히 잘 익혀서 일상생활에 적용하려는 지혜와 성실한 노력이 점점 더 중요하게 여겨지는 시대다. 

◆최영배 교수는

최영배 교수
최영배 교수
최영배 교수는 '지금 미국에선'이라는 타이틀로 시작합니다. 재미한인과학기술인으로서 바라보는 미국 소식을 여러 각도에서 소개하고자 합니다.  미국의 과학기술분야 특히 정보통신의 발전상과 정보통신산업계의 현황, 관련 기술과 정책 등을 중심으로 흥미로운 소식을 소개하고자 합니다.

최영배 박사는 Computer Science, Statistics, Computer Networking및 Telecommunications 분야를 복합적으로 전공했습니다. 한국의 SERI와 ETRI에서 Team Leader로, 미국의 실리콘밸리에 있는 미국의 COMPAQ Computer, 싱가포르의 다국적기업, 인도의 소프트웨어 컨설팅 회사에서 엔지니어와 컨설턴트로 근무하기도 했습니다. 현재는 미국 버지니아주에 있는 Regent University 교수로 재직중입니다. 주요 연구분야는 Telecommunications Network & Service Management, Cybersecurity, Healthcare Informatics 등입니다.

 

저작권자 © 헬로디디 무단전재 및 재배포 금지