지난 5월중순에 금융감독원, 금융보안연구원 주최 금융정보보호 수기 공모전을 보고

4월에 소속과 업무 모두 변경되어 기존 보안에 대한 커리어도 약한 내 입장에서 이런거라도 도전해봐야지

하는 생각에 참여했다가 덜컥 장려상을 수상하게 되었다.

 

나름 아이디어 찾는다고 약간의 스트레스 받았지만 막판에 집중력이 발휘가 되어서인지 공모전을 주최하는 측의 의도와도 맞아떨어져 다행스런 결과였다.

 

수상하게 되면 저작권은 금융보안연구원으로 된다고 해서 블로그에 옮길려면 저작권 이야기를 해달라고..

아래는 수기 내용. 일부 오타가 있지만 ...

 

중고가격에 팔리는 내 금융정보들

우리는 금융정보라고 하면 공인인증서, 계좌 비밀번호, 이체 비밀번호, 보안카드, 금융 거래 내역 등을 많이들 생각합니다. 그리고 우리들은 그런 금융정보들은 금융회사인 은행, 증권회사, 보험회사들이 대신 안전하게 보관해야 하고, 상위기관의 규정을 금융회사들이 철저히 지켜야 한다고 생각합니다.

 

그런데 과연 금융회사들만이 책임자 처벌 및 수천만원의 과태료 법적 부담을 안으면서, 수억에서 수십억에 이르는 금융정보보호 시스템을 구축해야 한다고 해서 우리들 금융 정보들들이 안전하다고 볼 수 있을까요?

저는 우리 개인들이 눈 앞에서 몇 만원이라는 작은 이익으로 우리의 소중한 금융정보들을 얼마나 쉽게 취급하는지 말하고 싶습니다.

 

1) 중고 컴퓨터에 담겨 팔리는 금융정보들

요즘은 세대마다 컴퓨터 1대씩은 기본적으로 있습니다. 초등학교 이상 자식들이 있는 집은 부모용과 자식용이 따로 있고, 대학생이 있는 가정은 성인별로 노트북 대씩이라도 보유하게 됩니다.

중고등학생 자녀가 있는 집은 아이들이 컴퓨터 게임을 주로 하는데 게임들이 요구하는 컴퓨터 사양이 높아짐에 따라서 교체 필요성이 생깁니다.

대학생 이상의 성인이 있는 가정은 디자인, 학업, 업무 특성에 따라 가벼우면서도 성능 좋은 노트북으로 교체의 유혹을 느낍니다.

 

주위 일반적인 가정에서 컴퓨터 교체 방법은 새 컴퓨터로 전부 교체하는 것입니다. 매장이나 인터넷으로 더 높은 사양, 더 마음이 끌리는 디자인의 컴퓨터 고르기에만 집중이 됩니다. 그렇게 해서 새 컴퓨터가 집에 들어오면 기존 컴퓨터의 HDD 에서는 사진, 문서 등을 새 컴퓨터에서 옮기기 위해서만 잠시 사용될 뿐 대부분 빨리 처분하는 방법을 찾습니다.

 

컴퓨터 지식과 개인정보, 금융정보 지식이 있는 가정은 그나마 포맷이라는 것을 통하지만 이것 또한 하드 디스크를 떼어내서 새 컴퓨터에 연결 후 하는 절차를 통해서만 가능할 뿐 중고 대다수 가정에서는 재활용 센타에 넘기거나 인터넷 중고장터를 통해 몇만원에 처분을 하는 경우가 대부분입니다. <그림 1> 참조

 

<그림 1> 인터넷 중고 장터

 

하지만 일반인들이 간과하는 게 있습니다. 포맷이라는 절차를 통하면 컴퓨터 하드 디스크가 공장 출고 시처럼 깨끗한 상태로 된다고 생각합니다. 하지만 이는 금융 관련 법규를 아는 사람이나 컴퓨터 관련 업무를 하시는 분들이라면 그렇지 않다는 걸 누구나 아는 사실입니다.

 

개인적인 경험으로도 몇 년전 K 회사 재직 시 타 부서의 요청으로 컴퓨터를 포맷하고 운영체제와 각종 프로그램 설치도 끝나고 몇일 잘 사용하셨던 요청 부서 팀장님이 백업하지 못한 데이터가 있고 회사에서 꼭 필요로 하는 데이터라 해서 복구가 절실한 상황이었습니다. 수소문 끝에 용산에 있는 업체를 통해 정말 토씨하나 틀리지 않고 100% 복구가 된 것을 보고 그 당시는 그런 일을 수행한 저로서는 잘 되었다는 결과를 얻었지만 지금 생각해보면 무섭다는 생각이 앞섭니다.

 

우리는 컴퓨터 하드 디스크를 한번 포맷하거나 공장 출고 당시로 복구하는 절차를 통해 재활용 센터나 인터넷 중고 장터에 내놓고 내 개인정보와 금융정보는 안전하다 생각하고 덤으로 몇 만원, 몇 십만원 공짜 돈이 생겼다고 좋아합니다. 하지만, 실제로는 첨단 방법을 통해서 가정의 컴퓨터를 통해 이뤄지는 금융거래에 필요한 금융 정보를 손쉽게 복구할 수 있습니다.

그렇게 복구될 수 있는 금융 정보들로 가장 흔한 것이 ‘공인인증서’입니다.

공인인증서 등이 복구되어서 무슨 소용이 있겠냐 하지만 각 금융회사 홈페이지에서 ‘공인인증서 관리’ 메뉴를 통해 복구된 공인인증서를 열어보면 ‘이름’, ‘초기 발급한 금융회사명’ 등은 충분히 손쉽게 볼 수 있습니다.

이렇게 복구된 공인인증서와 초기 발급한 금융회사 홈페이지 또는 공인인증서 발급기관에 접속해서 ‘공인인증서 비밀번호 변경’ 처리를 할 수 있습니다. 하지만 sign korea 등 공인인증서 발급기관에서는 비밀번호 오류 횟수를 제한하지 않습니다.

이는 악의적인 마음을 가진 집단이 재활용 센터에서 컴퓨터 하드 디스크 부분만 고철 가격으로 수거하거나 인터넷 중고 장터에서 새 하드 디스크 교체나 용량이 큰 하드 디스크로 교체해주는 조건으로 사용했던 컴퓨터 하드 디스크를 수집한다면 금융회사라는 안전판 없이 개인의 금융정보가 고스란히 법적인 보호를 받지 않고 유출이 가능합니다.

또한, 공인 인증서 발급 기관의 비밀번호 오류 횟수 제한이 없으니 비밀번호 입력의 무차별 시도를 할 수 있는 시스템을 구축한다면 어느 순간에는 비밀번호까지 해킹이 가능합니다.

이는 이것으로 끝나는 것이 아닙니다. 금융회사들은 로그인 과정을 id, 비밀번호, 공인인증서 입력 3단계를 두기도 하지만 공인인증서 하나만으로도 로그인이 가능한 곳도 많습니다. 이럴 경우 고객의 계좌번호, 계좌잔고, 금융거래내역, 전화번호, 주소 등 금융정보뿐만 아니라 개인정보까지 모두 유출의 위험성이 있습니다.

 

중고 컴퓨터 하드 디스크 몇 만원이라는 작은 유혹의 결과는 어쩌면 엄청난 개인정보 및 금융정보의 유출과 몇 만원이 아닌 본인이 감당할 수 없는 금융 부채로 올 수 있습니다.

 

컴퓨터 관련 업무를 12년이상 해 온 본인으로서도 부끄럽지만 포맷 한 두 번이나 운영체제 설치로 중고로 내다 판 컴퓨터들이 많고 이사하면서 귀찮다는 이유로 컴퓨터 하드 디스크를 아파트 분리수거나 고철 센타에 버린 경험이 있다는 것입니다. 위험스럽고 중요한 건 매주 아파트 단지를 보면 심심찮게 중고 컴퓨터가 처분 대상으로 나오고 있고 저보다 더 중요성을 인지 못하거나 방법을 모르는 분들이 많다는 것입니다.

 

컴퓨터 하드 디스크를 통한 개인 금융정보 유출을 방지하기 위해서 보안 전문 업체나 정부 기관에서는 금융기관에 적용하는 규정에 따라 하드 디스크 완전 파기 안내를 더 적극적, 광범위로 해야할 필요성이 있고 파기 소프트웨어를 배포하는 정책을 시행해주었으면 좋겠습니다.

 

2) 보상기변에 넘어가는 스마트폰 안의 내 금융정보들

오래전부터 신규 핸드폰을 구입할 때 보상기변은 유용한 재테크로 자리를 굳어왔습니다. 신규 핸드폰의 월 할부금을 조금이라도 줄이기 위해서 어쩌면 어쩔 수 없는 방법이라며 대다수 사람들이 사용하고 저도 그런 경험으로 지금껏 이용해 왔습니다.

 

하지만 이제 스마트폰이 일상화된 최근에는 이런 스마트폰의 보상기변은 더욱 더 치명적인 금융정보 유출로 나타날 수 있습니다.

앞서, 중고 컴퓨터 하드 디스크의 내용을 복구하는 위험성을 본다면 보상기변을 할 때 메모, 연락처, 사진, 동영상, 음악, 앱 등만 옮기고 앱 안의 저장된 각종 정보들을 무시할 수는 없습니다.

 

대부분의 스마트폰에는 금융회사 앱들이 설치되어 있고 실제 거래도 많이 합니다. 컴퓨터처럼 보상기변, 중고판매로 넘어간 스마트폰에는 초기화되었다 하더라도 최근의 첨단 기술을 이용한다면 복구가 가능할 것입니다.

이후, 복구만 된다면 컴퓨터 하드 디스크의 복구 사례처럼 공인인증서 비밀번호를 알아낼 수 있습니다. 또한 일부 스마트폰에서는 관리의 편의성 때문에 보안카드를 스마트폰으로 찍어 놓거나 메모장에 각종 금융기관 이체 비밀번호까지 저장해 놓은 경우도 있습니다.

 

실제 최근 공인인증서 유출 법적 소송에서도 고객이 보안카드를 스마트폰에 찍어놓고 저장 관리한 사례가 있습니다.

 

따라서, 정부기관에서도 보상기변이라는 정책을 없애거나 통신사나 관련 업체에 철저한 규정 적용을 하는 방향과 고객에게 동의서 또는 안내서를 발급했으면 좋겠습니다.

 

이제 우리들은 이러한 개인 금융정보 유출 방지를 위해서 작은 유혹에 현혹되어 세상에 둘도 없는 자기의 금융정보를 팔지 말아야 할 것입니다.

앞으로 점점 일상처럼 다가오는 클라우드 환경에서도 관리의 편리성 때문에 클라우드에 공인인증서, 보안카드를 업로드 해놓는 우를 범하지 않았으면 좋겠습니다.

 

소홀히 대할수록 금융정보보호는 쉽게 허물어지고

값싸게 받을수록 금융정보보호는 멀어져 갑니다.

Posted by i kiss you
,