해킹을 당했다. 제로 트러스트 보안을 채택하기로 했다.
해킹을 당했다. 제로 트러스트 보안을 채택하기로 했다.
얼마 전 링크드인 계정을 해킹당했다. 갑자기 이메일 주소가 바뀌었다는 메일이 왔기에 원래 쓰던 구글 계정으로 로그인했더니, 신규 가입 처리가 됐다. 무슨 일인가 해서 보니, 평소 구글 계정으로 로그인하는 탓에 쓰지 않던 아이디와 비밀번호를 이용해 로그인한 누군가가, 링크드인에 등록된 이메일 주소를 딴 걸로 바꿔버린 거다. 그와 동시에 예전 구글 계정으로 로그인을 시도하던 나는, 신규 가입 처리가 되면서 해당 페이지에 대한 접근 권한이 완전히 사라졌다. 결국 되찾긴 했지만, 링크드인 정도 되는 큰 서비스에서 이게 대체 무슨 일인가 했다.
이런 일은 자주 일어난다. 외우기 쉬운 이메일 주소를 가진 탓인지, 아니면 그동안 하도 많이 개인 정보가 유출된 탓인지는 모르겠지만, 이메일 주소를 이용해 로그인을 시도한다거나, 새로 비밀번호를 설정하겠냐는 이메일은 정말 숱하게 받아봤다. 어디 남미의 피자 체인에 회원으로 가입한다거나, 들어본 적도 없는 해외 성인 사이트 가입 환영 메일을 받는 다거나, 가끔 일본 오사카에 있는 치과에서 방문 예약을 했다는 메일도 온다. 페이스북에서 글 읽고 있는데 비밀번호를 새로 설정하겠냐는 메일이 실시간으로 온 적도 있다.
실제로 개인 정보 유출을 확인할 수 있는 사이트(https://haveibeenpwned.com/)에서 확인해 보면, 내 개인 정보는 22번 유출됐고, 해커들이 어둠의 경로로 내려받을 수 있는 이메일과 암호 뭉치에도 등재되어 있다고 한다. 작은 사이트가 아니라 어도비, 칸바, 드롭박스, 링크드인, 마이스페이스, 텀블러, 트위터 같은 곳에서 유출됐다. 다행인 것은 그래도 혼자가 아니라는 것. 내 이메일 주소는 7억 개가 넘는 유출된 이메일 주소 중 하나일 뿐이다. 아, 다행인 것은 아닌 건가.
로맨스 스캠 공격도 자주 들어온다. 아름다운 외모의 여성 사진을 프로필로 내건 계정에서 페이스북 친구 신청을 하거나, 인스타그램 DM을 보낸다. 한 한국계 미군 여성분 사진은 너무 많이 쓰여서, 모르는 사람인데도 보면 친근하게 느낄 정도다. 그뿐인가? 지금도 지겹게 걸려 오는 스팸 전화와 사기 문자도 있다. 예전에 경제 방송에 나갔을 때 한 분에게 명함을 건넸다가, 그 후로 계속 주식 및 각종 투자를 하라는 문자가 날아오고, 단체 채팅방에 수시로 강제 초대되는 일을 겪은 이후로는 아예 명함을 없앴을 정도다.
… 최근에는 간단한 부업을 통해 돈 벌라는 사기가 판을 치고 있다고 한다. 어쩌다 세상이 이렇게 변해버린 걸까.
데이터 자원과 데이터
어둠의 세계를 벗어나도 마찬가지다. 예전에 ‘데이터는 새로운 석유다(Data is the new oil)’라는 말이 유행했다. 데이터를 아직 개발되지 않은 자원으로 보고, 채굴해서 더 가치 있는 자산으로 만들어야 한다는 주장이었다. 그때는 ‘그래, 21세기는 데이터로 굴러가는 시대지-’하고 넘겼는데, 지나고 나니 아니었다. 이걸 은유라고 여기고 몇몇 사람들이 그렇게 생각하는 것이 맞는지 논쟁을 벌이기도 했지만, 가만 보면 이 말은 은유가 아니라 직유였다. 개인 정보는 정말, 캐서(수집해서) 가공하거나 바로 팔 수 있는 자원이었다.
실제로 빅테크 기업이나 해킹 단체나 기본적인 비즈니스 모델은 비슷하다. 정보를 수집해서 가공하고, 그걸 바탕으로 사업을 한다. 그걸 합법적으로 하는가 아닌가의 차이만 있을 뿐이다. 빅테크 기업은 합법적으로 개인 정보를 수집해 내부에서 사용하거나 광고 회사에 판다. 해킹 단체는 불법으로 개인 정보를 수집해 사기를 치거나 협박해서 돈을 뜯어낸다. 인간을 더 편하게 만들어 주리라 믿고 응원했던 인터넷은, 이젠 더 많은 개인 정보를 바탕으로 사업을 할 수 있게 해주는 플랫폼으로 되어 버렸다. 모두 그런 것은 아니지만 최소한 구글, 페이스북, 네이버 같은 곳은 그렇다.
이들에겐 좋은 데이터가 경쟁력이니, 어떻게든 더 많은 데이터를 수집하려고 한다. 디지털 주권(digital sovereignty)이란 개념은 그래서 태어났다. 한 나라에서 수집된 데이터는 허락 없이 바깥으로 못 가지고 나가고, 그 나라에서 통제할 수 있는 선에서 쓰여야 한다는 개념이다. 빅테크 기업의 영향력이 너무 커진다고 생각한 유럽과 중국에서 먼저 나왔다. 2018년 발효된 유럽 연합의 일반정보 보호법(GDPR)이 여기서 태어났다. 그동안 마음대로 가져가던 자원을 함부로 가져가지 말라고 하니, 이에 대해 불만을 가진 사람이 많다. 하지만 이미 대세는 바뀌었다. 보안 뉴스에 따르면, GDPR과 유사한 법을 가진 나라는 130개국이 넘어간다.
물론 디지털 주권만으로 개인정보유출을 막을 수는 없다. 에드워드 스노든이 폭로한 NSA 기밀 자료에서 보이듯, 개인 정보를 무차별적으로 얻고 싶은 욕망은 정부나 기업이나 다르지 않다. 그래서 주목받는 것이 디지털 주권의 한 축인 데이터 주권이다(다른 한 축은 디지털 기술을 통제할 수 있는 권한으로, 기술 주권이라 부른다.). 이용자 처지에서 ‘개인정보 자기 결정권’이나 ‘소비자 데이터 주권’이라 부르기도 한다. 개인이 자기 자신에 관한 정보나 자기가 생성한 정보의 생성, 저장, 유통 및 활용 과정에서 스스로 통제할 수 있는 권리를 뜻한다.
…데이터 주권이 주목받는다고 저절로 내 개인 정보가 보호받는 것은 아니지만, 보호를 위한 절차를 마련하고, 더 많은 권한을 행사할 수 있게 된다.
제로 트러스트, 믿기 위해 아무도 믿지 않는다.
당연히 개인 정보를 그저 보호하기만 해선, 아무것도 되지 않는다. 악용되는 일이 많기는 하지만, 현재의 인터넷은 그렇게 자유롭게 채굴한 정보를 이용해 만들어졌다. 다시 말해 네트워크 접속료를 제외하면 대부분 무료로 쓰고 있는 인터넷 서비스는, 우리가 정보를 제공한 대가로 성립한 비즈니스 모델에 기반하고 있다. 유튜브에서 광고를 보지 않기 위해선 프리미엄 서비스를 신청해야 하는 것처럼, 기존 인터넷 비즈니스 모델을 부정해 버리면 대신 돈을 내야 한다. 그걸 반길 사람은 없을 것이다.
중요한 것은 서로 신뢰할 수 있는 구조를 구축하는 일이다. 마음 편하게 인터넷을 쓰려면, 회사나 정부가 내가 제시하는 정보를 남용하지 않는다는 믿음이 있어야 한다. 그런 신뢰 관계를 어떻게 구축할 수 있을까? 재미있게도, 서로 믿기 위해 아무도 믿어서는 안 된다. 믿지 않는 상태에서도 상호 간 데이터가 악용되지 않는다면, 그건 진짜 믿을 수 있는 상태라고 볼 수 있으니까. 그런 것을 ‘제로 트러스트’ (Zero Trust)’ 모델이라 부른다. 모든 데이터는 악용될 여지가 있으니, 아예 악용될 일이 없도록 규칙을 짜는 것이다.
제로 트러스트적인 의미에서 개인 정보 보호 및 활용 규칙 트렌드는 3가지 정도로 요약할 수 있다. 먼저 수집하는 정보를 최소화하는 일이다. 지난 9월 정부에서 발표한 ‘디지털 권리장전’에 따르면, 필요한 정보만 최소한으로 수집하고, 수집한 목적 범위 내에서만 활용하도록 명시되어 있다. 최근에는 아이디와 패스워드 등을 제외한 아무 정보도 받지 않는 사이트도 늘어나는 상황이다. 필자가 40대 한국인 남성이란 정보가 없다면, 로맨스 스캠이 그렇게 많이 쏟아지지도 않을 것이다.
다른 하나는 ‘비밀번호 없는 인증’이다. 생체인증 국제 표준인 FIDO(Fast IDentity Online)를 이용하는 것으로, 패스워드 대신 지문 인식 같은 생체 정보를 활용하는 방식이다. 스마트폰 간편 결제 서비스를 이용하는 것과 비슷하다. 최근 애플과 구글, MS 등에서 ‘패스키’라는 이름으로 도입했으며, 센스톤에서도 FIDO 솔루션을 제공하고 있다. 진작 이 방식이 표준으로 자리 잡았다면, 괜히 링크드인 계정을 해킹당하거나 하는 일은 없었을 것이다.
아무도 믿지 않고 살아남기 위하여
마지막 하나는 사람 중심, 다시 말해 강력하면서도 쓰기 쉬운 보안 기술 개발이다. IT 시장 조사 기관 가트너에선 ‘2023 9대 사이버 보안 트렌드’를 발표하며, ‘사람 중심 보안’을 강조한 바 있다. 기존 보안 프로그램이 사람의 행동 변화를 끌어내는 데 실패했다고 여긴 탓이다. 실제로 많은 해킹이나 사기 사건은, 시스템의 구조적 문제보다도 사람의 심리적 허점을 더 많이 노린다. 당장 똑같은 아이디와 패스워드를 여러 서비스에 같이 쓰면 위험하다는 것을 알면서도 쓰는 이유도, 하나하나 따로 외울 여력이 없어서다.
쓰기 불편한 기술은 아무리 좋아도 손이 가지 않는다. 반면 센스톤에서 개발한 일회용 인증코드(OTAC, One-Time Authentication Code)는 안전한 보안 환경을 구현하면서도, 이용자의 불편함을 줄였다. 네트워크에 연결되지 않은 환경에서도, 실시간으로 새로 만들어지는 일회성 비밀번호를 이용한 인증 방식으로, 기존 보안 시스템의 단점을 해소한다. 고정된 정보가 유출될 위험이 없고, 복잡한 인증 프로세스를 거치지 않으며, 통신 네트워크에 연결되지 않아도 괜찮다.
분명히 기술만 가지고 개인 정보의 악용을 막을 수는 없다. 우리는 생각보다 나약하며, 편안함을 추구하는 사람들이다. 그러니까 알면서도 속고, 하지 말라는 데도 한다. 덕분에 사이버 범죄도 꾸준히 늘고 있다. 경찰청 보고서에 따르면 2018년 약 15만 건에서 2022년은 23만 건이 됐다고 한다. 꼭 범죄가 아니어도, 이용자가 생성한 정보를 수집하고 이용하려는 회사와 정부는 정말 많다. 이런 세상에서 잘 살려면, 기술과 규제와 개인의 태도가 함께 변해야 한다.
디지털 라이프를 즐기면서 제로 트러스트 정책을 실천한다는 것은, 귀찮음을 감내해야 한다는 의미다. 이용 약관을 꼼꼼히 읽어 보는 것, 웹서비스 쿠키 설정에서 꼭 필요한 쿠키만 쓰도록 설정하는 것, 너무 많은 정보 제공을 요구하면 과감히 포기하는 것, 패스키 같은 신기술을 빠르게 수용하는 것 등등. 하지만 편한 것은 의존성을 낳고, 의존성은 취약성을 만들게 된다. 악의를 가진 사람이 내 인생을 멱살 잡고 끌고 가길 원하지 않는다면, 우리 먼저 정신 차릴 수밖에 없다. 기술은 그저, 그런 삶을 도울 뿐이다.
