지난 설 연휴에 영화 ‘시민덕희’를 봤습니다. 2016년 세탁소를 운영하던 김성자 씨가 보이스피싱 총책과 조직을 붙잡은 실화 기반의 영화입니다. 영화에서는 주인공 ‘덕희’가 칭다오까지 직접 가서 잠입수사를 하고 집요하게 추적하죠.
일반 시민인 덕희가 이렇게 집요하게 추적을 할 수 있었던 동력은 아마도 보이스피싱을 당한 것이 너무 억울했기 때문이 아닐까 싶습니다.
제 3자의 입장, 객관적인 시선에서보면 덕희가 보이스피싱 일당한테 전화를 받고 송금하는 모습은 어떻게 보면 답답해보입니다. 보이스피싱 일당은 대출을 받기 위해선 은행에 먼저 돈을 보내야 한다고 한다는데, 상식적으로 생각해보면 말이 안되는 상황이죠.
하지만 그 상황이 되면 누구나 당할 수 밖에 없습니다. 왜냐면 보이스피싱범들은 덕희의 상황을 너무나도 잘 알고 있었기 때문입니다. 은행 직원이 아니면 알 수 없는 정보들이죠. 덕희가 지금 대출을 받을 수 없는 상황부터 시작해 모든 걸 이미 알고 있다는 듯이 덕희에게 얘기합니다. 영화에서는 심지어 은행원도 보이스피싱 피해를 입었다고 나오죠.
이렇게 일반 개인의 민감한 정보까지 보이스피싱 조직이 알 수 있었던 건, 영화에서 설명되진 않았지만 우리는 알고 있죠. 이미 ‘공공재’나 다름없다고 자조섞인 농담을 하는, 개인정보 유출 때문입니다.
누군가의 개인정보를 알고 있으면 일반 개인의 금융 자산 현황이나 법적인 이슈 등에 접근할 수 있습니다. 우리가 보호해야 할 개인정보란 주민등록번호, 휴대폰번호 등의 데이터도 있지만 서비스에 접근하기 위해 만드는 아이디와 비밀번호도 포함이 될 수 있죠. 특히 우리나라는 주민등록번호를 통해 개개인을 식별하기가 더욱 쉬운 상황이에요. 덕분에 보이스피싱 범죄자들의 먹잇감이 되기 쉽습니다.
보이스피싱 피해 사례가 많이 알려지면서 많은 사람이 주의를 기울이지만 갈수록 진화하는 수법에 누군가는 또 피해를 입기 마련입니다.
보이스피싱을 막기 위해 기업이나 금융기관들이 끊임없이 보안 프로그램과 기술력을 개발하고 있습니다. 하지만 여전히 개인정보 유출을 완벽하게 막기는 어렵죠. 보안 기술력이 높아지는 만큼 해킹 기술도 발전하고 있습니다. 또 개인정보 데이터를 관리하는 사람이 나쁜 마음을 먹고 유출하기도 합니다.
사진: Unsplash의Stephen Phillips - Hostreviews.co.uk
이 때문에 가장 안전한 방법은 개인정보 사용 자체를 줄이는 것입니다. 개인정보를 입력하거나 저장하는 곳이 많으면 많을수록 정보 유출의 위험은 높아지게 되죠. 개인정보 데이터를 저장하는 곳이 많을수록 그만큼 해커들이 노릴 수 있는 먹잇감이 많아지게 되는 셈이니까요.
이러한 걸 금융 또는 공공기관, 기업에서 모르는 건 아닙니다. 그럼에도 개인정보를 우리가 계속 입력하는 이유는, 지금 인터넷을 사용하는 사람이 나임을 증명하기 위해서입니다.
금융앱을 이용해 친구한테 송금할 때, 지금 제 계좌에 접근하는 사람이 저라는 걸 인증하기 위해 회원가입을 하고, 회원가입을 할 때 저에 대한 정보들을 입력하게 됩니다. 지금까지 제가 저라는 걸 인증하기 위한 가장 확실한 방법 중 하나가 저에 대한 개인정보들을 넣는 것이죠. 그리고 아이디와 비밀번호를 만들어서 로그인 절차를 거칩니다.
하지만 이제 이러한 방식도 조금씩 변화하는 추세입니다. 아이디와 비밀번호 등 개인의 정보를 통해 인증하는 대신 매번 새롭게 생성되는 인증코드로 본인을 인증하는 방식이 있죠.
과거 은행이나 증권사에서 받아 사용하던 OTP 토큰도 매번 무작위로 보안코드가 생성되는 방식이지만, 사용 전에 1차 본인 확인 과정이 필요하고 OTP 토큰 기기를 들고 다녀야 한다는 불편함이 있었습니다.
보안기업 센스톤에서는 이보다 한단계 진화한 OTAC 기술을 선보이고 있습니다. OTAC도 매번 다이내믹하게 생성되는 인증코드를 만들지만, 별도의 기기 없이 스마트폰이나 신용카드, 사원증, 출입카드 등에 적용할 수 있습니다. 그리고 본인인증을 할 때는 아이디와 비밀번호를 입력하는 것이 아니라 OTAC 기술이 적용된 신용카드나 스마트폰을 활용해 1차 인증 절차 없이도 본인 확인이 가능한 방식이라는 점에서 새롭습니다.
금융서비스나 여러 사이트들을 사용할 때 개인정보를 사용하지 않는다는 점은 그만큼 개인정보 유출에 대한 우려를 줄일 수 있는 셈이기도 하죠.
이제 아이디와 비밀번호를 외워야 하고 유출되지 않아야 한다는 두려움에서 조금은 벗어날 수 있지 않을까 생각합니다.