나경아빠의 스케치북 - 고통은 희망의 씨앗이다

지난 5월중순에 금융감독원, 금융보안연구원 주최 금융정보보호 수기 공모전을 보고

4월에 소속과 업무 모두 변경되어 기존 보안에 대한 커리어도 약한 내 입장에서 이런거라도 도전해봐야지

하는 생각에 참여했다가 덜컥 장려상을 수상하게 되었다.

나름 아이디어 찾는다고 약간의 스트레스 받았지만 막판에 집중력이 발휘가 되어서인지 공모전을 주최하는 측의 의도와도 맞아떨어져 다행스런 결과였다.

수상하게 되면 저작권은 금융보안연구원으로 된다고 해서 블로그에 옮길려면 저작권 이야기를 해달라고..

아래는 수기 내용. 일부 오타가 있지만 ...

중고가격에 팔리는 내 금융정보들

우리는 금융정보라고 하면 공인인증서, 계좌 비밀번호, 이체 비밀번호, 보안카드, 금융 거래 내역 등을 많이들 생각합니다. 그리고 우리들은 그런 금융정보들은 금융회사인 은행, 증권회사, 보험회사들이 나 대신 안전하게 보관해야 하고, 상위기관의 규정을 각 금융회사들이 철저히 지켜야 한다고 생각합니다.

그런데 과연 금융회사들만이 책임자 처벌 및 수천만원의 과태료 법적 부담을 안으면서, 수억에서 수십억에 이르는 금융정보보호 시스템을 구축해야 한다고 해서 우리들 금융 정보들들이 안전하다고 볼 수 있을까요?

저는 우리 개인들이 눈 앞에서 몇 만원이라는 작은 이익으로 우리의 소중한 금융정보들을 얼마나 쉽게 취급하는지 말하고 싶습니다.

1) 중고 컴퓨터에 담겨 팔리는 내 금융정보들

요즘은 각 세대마다 컴퓨터 1대씩은 기본적으로 있습니다. 초등학교 이상 자식들이 있는 집은 부모용과 자식용이 따로 있고, 대학생이 있는 가정은 성인별로 노트북 한 대씩이라도 보유하게 됩니다.

중고등학생 자녀가 있는 집은 아이들이 컴퓨터 게임을 주로 하는데 게임들이 요구하는 컴퓨터 사양이 높아짐에 따라서 교체 필요성이 생깁니다.

대학생 이상의 성인이 있는 가정은 디자인, 학업, 업무 특성에 따라 가벼우면서도 성능 좋은 노트북으로 교체의 유혹을 느낍니다.

주위 일반적인 가정에서 컴퓨터 교체 방법은 새 컴퓨터로 전부 교체하는 것입니다. 매장이나 인터넷으로 더 높은 사양, 더 마음이 끌리는 디자인의 컴퓨터 고르기에만 집중이 됩니다. 그렇게 해서 새 컴퓨터가 집에 들어오면 기존 컴퓨터의 HDD 에서는 사진, 문서 등을 새 컴퓨터에서 옮기기 위해서만 잠시 사용될 뿐 대부분 빨리 처분하는 방법을 찾습니다.

컴퓨터 지식과 개인정보, 금융정보 지식이 있는 가정은 그나마 포맷이라는 것을 통하지만 이것 또한 하드 디스크를 떼어내서 새 컴퓨터에 연결 후 하는 절차를 통해서만 가능할 뿐 중고 대다수 가정에서는 재활용 센타에 넘기거나 인터넷 중고장터를 통해 몇만원에 처분을 하는 경우가 대부분입니다. <그림 1> 참조

<그림 1> 인터넷 중고 장터

하지만 일반인들이 간과하는 게 있습니다. 포맷이라는 절차를 통하면 컴퓨터 하드 디스크가 공장 출고 시처럼 깨끗한 상태로 된다고 생각합니다. 하지만 이는 금융 관련 법규를 아는 사람이나 컴퓨터 관련 업무를 하시는 분들이라면 그렇지 않다는 걸 누구나 아는 사실입니다.

개인적인 경험으로도 몇 년전 K 회사 재직 시 타 부서의 요청으로 컴퓨터를 포맷하고 운영체제와 각종 프로그램 설치도 끝나고 몇일 잘 사용하셨던 요청 부서 팀장님이 백업하지 못한 데이터가 있고 회사에서 꼭 필요로 하는 데이터라 해서 복구가 절실한 상황이었습니다. 수소문 끝에 용산에 있는 업체를 통해 정말 토씨하나 틀리지 않고 100% 복구가 된 것을 보고 그 당시는 그런 일을 수행한 저로서는 잘 되었다는 결과를 얻었지만 지금 생각해보면 무섭다는 생각이 앞섭니다.

우리는 컴퓨터 하드 디스크를 한번 포맷하거나 공장 출고 당시로 복구하는 절차를 통해 재활용 센터나 인터넷 중고 장터에 내놓고 내 개인정보와 금융정보는 안전하다 생각하고 덤으로 몇 만원, 몇 십만원 공짜 돈이 생겼다고 좋아합니다. 하지만, 실제로는 첨단 방법을 통해서 가정의 컴퓨터를 통해 이뤄지는 금융거래에 필요한 금융 정보를 손쉽게 복구할 수 있습니다.

그렇게 복구될 수 있는 금융 정보들로 가장 흔한 것이 ‘공인인증서’입니다.

공인인증서 등이 복구되어서 무슨 소용이 있겠냐 하지만 각 금융회사 홈페이지에서 ‘공인인증서 관리’ 메뉴를 통해 복구된 공인인증서를 열어보면 ‘이름’, ‘초기 발급한 금융회사명’ 등은 충분히 손쉽게 볼 수 있습니다.

이렇게 복구된 공인인증서와 초기 발급한 금융회사 홈페이지 또는 공인인증서 발급기관에 접속해서 ‘공인인증서 비밀번호 변경’ 처리를 할 수 있습니다. 하지만 sign korea 등 공인인증서 발급기관에서는 비밀번호 오류 횟수를 제한하지 않습니다.

이는 악의적인 마음을 가진 집단이 재활용 센터에서 컴퓨터 하드 디스크 부분만 고철 가격으로 수거하거나 인터넷 중고 장터에서 새 하드 디스크 교체나 용량이 큰 하드 디스크로 교체해주는 조건으로 사용했던 컴퓨터 하드 디스크를 수집한다면 금융회사라는 안전판 없이 개인의 금융정보가 고스란히 법적인 보호를 받지 않고 유출이 가능합니다.

또한, 공인 인증서 발급 기관의 비밀번호 오류 횟수 제한이 없으니 비밀번호 입력의 무차별 시도를 할 수 있는 시스템을 구축한다면 어느 순간에는 비밀번호까지 해킹이 가능합니다.

이는 이것으로 끝나는 것이 아닙니다. 금융회사들은 로그인 과정을 id, 비밀번호, 공인인증서 입력 3단계를 두기도 하지만 공인인증서 하나만으로도 로그인이 가능한 곳도 많습니다. 이럴 경우 고객의 계좌번호, 계좌잔고, 금융거래내역, 전화번호, 주소 등 금융정보뿐만 아니라 개인정보까지 모두 유출의 위험성이 있습니다.

중고 컴퓨터 하드 디스크 몇 만원이라는 작은 유혹의 결과는 어쩌면 엄청난 개인정보 및 금융정보의 유출과 몇 만원이 아닌 본인이 감당할 수 없는 금융 부채로 올 수 있습니다.

컴퓨터 관련 업무를 12년이상 해 온 본인으로서도 부끄럽지만 포맷 한 두 번이나 운영체제 설치로 중고로 내다 판 컴퓨터들이 많고 이사하면서 귀찮다는 이유로 컴퓨터 하드 디스크를 아파트 분리수거나 고철 센타에 버린 경험이 있다는 것입니다. 위험스럽고 중요한 건 매주 아파트 단지를 보면 심심찮게 중고 컴퓨터가 처분 대상으로 나오고 있고 저보다 더 중요성을 인지 못하거나 방법을 모르는 분들이 많다는 것입니다.

컴퓨터 하드 디스크를 통한 개인 금융정보 유출을 방지하기 위해서 보안 전문 업체나 정부 기관에서는 금융기관에 적용하는 규정에 따라 하드 디스크 완전 파기 안내를 더 적극적, 광범위로 해야할 필요성이 있고 파기 소프트웨어를 배포하는 정책을 시행해주었으면 좋겠습니다.

2) 보상기변에 넘어가는 스마트폰 안의 내 금융정보들

오래전부터 신규 핸드폰을 구입할 때 보상기변은 유용한 재테크로 자리를 굳어왔습니다. 신규 핸드폰의 월 할부금을 조금이라도 줄이기 위해서 어쩌면 어쩔 수 없는 방법이라며 대다수 사람들이 사용하고 저도 그런 경험으로 지금껏 이용해 왔습니다.

하지만 이제 스마트폰이 일상화된 최근에는 이런 스마트폰의 보상기변은 더욱 더 치명적인 금융정보 유출로 나타날 수 있습니다.

앞서, 중고 컴퓨터 하드 디스크의 내용을 복구하는 위험성을 본다면 보상기변을 할 때 메모, 연락처, 사진, 동영상, 음악, 앱 등만 옮기고 앱 안의 저장된 각종 정보들을 무시할 수는 없습니다.

대부분의 스마트폰에는 금융회사 앱들이 설치되어 있고 실제 거래도 많이 합니다. 컴퓨터처럼 보상기변, 중고판매로 넘어간 스마트폰에는 초기화되었다 하더라도 최근의 첨단 기술을 이용한다면 복구가 가능할 것입니다.

이후, 복구만 된다면 컴퓨터 하드 디스크의 복구 사례처럼 공인인증서 비밀번호를 알아낼 수 있습니다. 또한 일부 스마트폰에서는 관리의 편의성 때문에 보안카드를 스마트폰으로 찍어 놓거나 메모장에 각종 금융기관 이체 비밀번호까지 저장해 놓은 경우도 있습니다.

실제 최근 공인인증서 유출 법적 소송에서도 고객이 보안카드를 스마트폰에 찍어놓고 저장 관리한 사례가 있습니다.

따라서, 정부기관에서도 보상기변이라는 정책을 없애거나 통신사나 관련 업체에 철저한 규정 적용을 하는 방향과 고객에게 동의서 또는 안내서를 발급했으면 좋겠습니다.

이제 우리들은 이러한 개인 금융정보 유출 방지를 위해서 작은 유혹에 현혹되어 세상에 둘도 없는 자기의 금융정보를 팔지 말아야 할 것입니다.

앞으로 점점 일상처럼 다가오는 클라우드 환경에서도 관리의 편리성 때문에 클라우드에 공인인증서, 보안카드를 업로드 해놓는 우를 범하지 않았으면 좋겠습니다.

소홀히 대할수록 금융정보보호는 쉽게 허물어지고

값싸게 받을수록 금융정보보호는 멀어져 갑니다.

직원이든 고객이든 개인정보가 있는 파일이 중요시되고 있습니다.

개인의 이름, 전화번호, 주소, 주민번호, 계좌번호, 금융거래내역 등이 포함된 개인정보파일을 통제해야 한다고 법에서는 명시하고 있습니다.

개인정보보호법

제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.

그래서, 수천만원 또는 그 이상의 비용을 들여 아주 완벽에 가까운 솔루션을 구축을 하곤 합니다.

개인 컴퓨터에 보관된 파일의 이름뿐만 아니라 그 파일안에 있는 데이터 구조를 보고 개인정보로 추정되는 내용이 있으면 검출하거나 메일로 전달되는 첨부 파일까지 분석해서 개인정보파일의 유출을 차단하고 있습니다.

실제 시만텍의 DLP 관련 솔루션을 설명을 들을 기회가 있었는데 부럽고 대단한 기능을 느낄 수 있었습니다. 기능이 많더라도 사내 구축 시 여러가지를 고려해야겠지만 중앙에서 통제 관점에서만 본다면 정말 탐나는 기능들이 많았습니다.

압축을 하고 파일 이름을 바꿔도 파일 구조를 분석하고 파일 안의 내용을 분석해서 개인정보와 유사한 내용이 있으면 검출한다거나

미리 사전에 정의한 패턴의 데이터가 있으면 불법이라고 검색 결과로 볼 수 있고(회사내 중요 문서의 패턴이나 소스의 외부 유출에 좋을 듯)

중앙에서 직원이든 외주직원이든 원격으로 개인 컴퓨터내 개인정보파일의 보유 여부를 판단할 수 있고

설명을 들을 기회가 없어서인지는 모르겠지만 대부분 결과물에 대한 통제 관점만 보고 들은거 같습니다.

상용 솔루션들이 회사내 백오피스 시스템과 연계가 될 수 있을지 모르겠지만 먼저 사내 백오피스로 개인정보파일 생성의 첫 단계부터 이력관리와 통제가 되면 어떠할까 생각을 하게 되었습니다.

현업, 지점, 외부 요청에 의한 개인정보가 담긴 파일이 필요로 하고 그것을 생성하는 가장 흔한 경우는

'백오피스내 엑셀 다운로드' 와 '전산부서에 요청하는 자료출력' 이라고 생각합니다.

사내에서 저비용으로 통제하기 위한 방법에 앞서 사전 정의할 것이 있습니다.

1. 개인정보파일은 백오피스, 자료출력 전산의뢰의 결과물은 모두 개인컴퓨터의 특정 폴더에 저장

2. 개인정보파일 다운로드/출력 이력관리를 위해 사내 DB 에 이력정보 Table 생성

3. 백오피스에 별도 화면을 만들어 개인정보이력 Table 을 조회

4. 신규 화면에서는 DB 에 저장된 파일명으로 특정 폴더를 조회 후 저장된 개인정보파일을 삭제

   (프로그램 적으로)

개인정보보호법이 발효되거나 이처럼 중요시 되지 않은 작년까지만해도 왠만한 회사내의 백오피스에는

이런 저런 이유로 그리드 내용을 엑셀로 저장할 수 있는 기능이 대부분 들어가 있었다고 볼 수 있습니다.

따라서, 이미 운영중이고 구축된 것을 변경하지 않고 업무 연속성을 가지게 하면서 개인정보파일의 이력, 모니터링, 통제할 수 있는 방법을 아래처럼 하면 어떨까 합니다.

1. 백오피스내에서 엑셀 다운로드 시 팝업 창을 하나 띄웁니다..

2. 팝업 창에 '개인정보파일 다운로드 목적', '개인정보파일 파기예정날짜' 를 입력할 수 있게 처리합니다.

3. 개인정보파일은 사전에 정의한 특정 폴더에 저장됩니다.

4. 저장과 동시에 앞서 입력한 '목적', '파기예정날짜' 정보와 더불어 백오피스에 로그인한 담당자의 사번,

   다운로드한 날짜와 시각, 개인정보파일명 등을 DB 에 저장(중간에 자바, 턱시도, 티맥스 등 미들웨어 통

   해서)

5. 개인과 중앙부서는 백오피스에 사전에 만들어진 개인정보파일 이력관리 화면을 통해 파기예정날짜에 도

   래하는 파일명을 DB 를 통해 화면에서 조회합니다.

6. 파기해야할 파일을 체크해서 '파기' 버튼을 클릭하면 해당 파일을 사전 정의한 폴더에서 검색해서 프로

   그램적으로 삭제합니다.

   기술적으로 c 드라이브 전체를 뒤지는건 부하가 많아 보입니다. -> 이 점이 최대 단점!

다음으로 개인정보파일을 많이 접할 수 있는 것이 자료출력이 아닐까 합니다.

정형화된 포멧으로 되어 있는  백오피스를 통하지 않고 사용자 정의로 개인정보파이를 전산 자료의뢰할 수 있습니다.

이것도 다음과 같은 방법으로 통제할 수 있지 않을까 합니다.

1. 현업 담당자는 개인정보가 포함된 자료 요청을 합니다.

2. 컴플라이언스팀이나 내부통제 주관 부서에서 해당 요청건을 검토해서 '개인정보보유', '금융거래내역보

   유' 등을 체크를 합니다.

3. 전산 담당자는 자료가 완성되면 전자결제로 해당 파일을 전달하면서 업무 완료 처리합니다.

4. 이 시점에 사전에 '개인정보보유', '금융거래내역보유' 라고 체크된 요청건이면 개인정보 이력관리 Table

   에 '목적', '파기예정날짜', '사번' 등을 저장합니다.

5. 개인과 중앙부서는 백오피스에 했던 방법과 동일하게 개인정보파일의 파기가 도래하는 파일에 대해서

   파기 명령을 수행합니다.

위와 같이 사내 개발자, 사내 백오피스, 사내 전자결제 시스템을 통해서 다소 제한되기는 하지만 저비용으로 개인정보파일의 통제, 이력관리, 현황, 모니터링이 가능하지 않을까 합니다.

예산이 많고 솔루션을 회사 내 100% 적용가능할 수 있다면 모두가 편한(?) 솔루션 구축이 답이겠지만

현실은 그렇게 탁상공론으로 되지 않을 수 있다는 점과 인식의 변화를 통해 보안 환경에 대한 나름 노하우를 만들어갈 수 있지 않을까 생각을 해봅니다.

하지만 가장 큰 담점은 개인컴퓨터의 전체 디렉토리 검색과 삭제가 힘들고

개인이 악의적으로 파일명을 변경하거나 다른 폴더로 복사시엔 비효율적일 수 있습니다.

하지만 이것은 내부 교육, 시행 그리고 별도의 솔루션으로 보완이 필요로 해 보입니다.

어차피 보안은 하나의 솔루션으로 모두 막을 수는 없으니깐...

휴가인 날.

나경이 어린이집 바래다 주고 동네 한 바퀴 돌면서...

사라지기전에 남긴 몇 컷들...

아직 서울에는 남아있는 것들이 많다. 곧 사라지겠지만...

2010년 보너스 나왔을 때 고관절의 근력 운동 필요성으로 자전거 사야지 했을 때

이왕 살거 입문형으로 사서 돈 들였으니 자주 타겠지 하는 마음으로 알아보다가

노원구 상계동 근처에서 하이브리드 형으로 사려다가 와이프가 너무 약해 보인다해서

고르게 된 scott scale 80 모델. 다행스럽게도 2009년 모델 재고가 남아 있어서 좀 더 싸게 구입.

(이 방법은 다른 매장 아저씨들도 추천. 1년 지난 재고 모델이 성능도 떨어지지 않으면서 저렴)

지금은 안장만 바꿈.

스캇 스케일(SCALE) 80 [ 제품 기본정보 ] 제조사 스캇 휠사이즈 26형 (66cm) 분류 싸이클 프레임 알루미늄 브랜드 - 서스펜션 - 색상 화이트+레드 폴딩시스템 - 무게 12.8kg 제조일 - [ 제품 상세정보 ] 차체/바퀴 프레임 7005 알루미늄 프레임 휠사이즈 26형 (66cm) 변속부품 /기어 기어 27단 변속시스템 시마노 데오레 핸들/ 브레이크 핸들바 스캇 X-ROD OS 31.8mm / 600mm 스템 스캇 콤프 4볼트 OS 31.8mm / 6도 브레이크 스캇 콤프 안장/페달 안장 스캇 레이싱 싯포스트 스캇 콤프 31.6mm 페달 웰고 998S

강사 : 금융감독원 강준모 선임조사역

장소 : 금융보안연구원

지난 13일 금융보안연구원에서 한 IT 컴플라이언스 교육 중 전자금융거래법에 대한 주요 내용을 정리합니다.

전자금융거래법은 크게 2가지 법으로 구성되어 있습니다.

1. 거래법 -> 전자금융거래 안전성, 신뢰성 확보 및 이용자 보호

    - 전자금융거래 전반을 규율하는 거래법

    - 비서면, 비대면의 전자적 거래 특성 반영

    - 전자금융거래 기본절차 및 책임관계 명확화

2. 사업법 -> 전자금융업의 건전한 발전 및 활성화 도모

    - 전자금융업 영위 및 감독/검사에 관한 사업법

    - 전자금융업의 대한 범위, 진입(허가, 등록)

    - 금융회사 정보기술부문 기준 마련

다음과 같은 환경이라면 전자금융거래법을 적용 받아야 할까요?

'저희 은행은 인터넷 뱅킹이 없습니다. 오직 창구에서만 업무가 이뤄지고 있습니다.'

결론은 전자금융거래법을 적용 받습니다. IT 로 이루어진 업무가 대내외로 있다면 전자금융거래법이

적용된다고 합니다.

전자금융거래의 개념은

'금융기관 또는 전자금융업자가 전자적 장치(1)를 통하여 금융상품 및 서비스를 제공(2)하고, 이용자가 금융기관 또는 전자금융업자의 종사자와 직접 대면(3)하거나 의사소통을 하지 아니하고(4) 자동화된 방식(5)으로 이를 이용하는 거래' 라고 법에 기술되어 있습니다.

다음 중 전자금융거래는 어떤 것일까요?

① 증권사 관리자에게 전화해서 시장가에 팔아달라고 요청하고 비밀번호를 말해서 거래 성사

② 증권사 ARS 로 전화해서 거래

답은 2번 입니다.

① 은 법에 규정된 전자금융거래 정의에서 (4), (5) 를 만족하지 못했으므로 전자금융거래가 아닙니다.

② 는 전자금융거래가 맞습니다.

즉, 사람의 조작이 중간에 들어가면 전자금융거래가 아닙니다.

전자금융거래법 주요 내용

해킹, 전산장애 등의 쌍방 무과실 사고시 금융기관/전자금융업자 책임(제9조)

    - 접근매체 위/변조 또는 전자적 전송 및 처리과정에서의 사고로 이용자에게 손해 발생시 금융기관/전자금융

       업자가 책임을 부담.

    - 다만, 1) 사고발생시 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의

       부담으로 할 수 있다는 취지의 약정을 체결한 경우 및

    - 2) 법인이용자의 경우 금융기관이 사고방지를 이한 보안절차 수립, 준수 등 충분한 주의의무를 다한 경우

       금융기관 등의 면책 가능

여기서 책임은 '민사' 에 대한 책임을 말하는 것이라 합니다.

또한 해킹으로 인해 고객이 손해를 입었다 하더라도 금융기관/전자금융업자가 민사상 책임을 져야 한다고 합니다.

다음 중 금융기관/전자금융업자의 책임은 어떻게 될까요?

① 이용자가 여러 은행의 보안카드 번호를 엑셀로 정리해서 개인 컴퓨터에 보관했는데 해킹 당해서 이용자

    의 금전적인 손해 발생

② 이용자가 여러 은행의 보안카드 번호를 엑셀로 정리해서 클라우드나 네이버의 N드라이브 등에 올려놓고

    클라우드가 해킹 당해서 금전적인 손해 발생

③ 술집에서 종업원에게 현금 빼오라고 하면서 카드와 비밀번호를 모두 전달한 경우

① 은 100% 금융기관 책임이고

② 는 금융업자의 보안 정책에 따라 일부 책임 가능.

③ 은 100% 이용자의 중대한 과실

따라서, 금융업자는 공인인증서 재발급 강화(2 채널 인증, 특정 컴퓨터 ip/mac address 에서만 인증서

발급할 수 있어야 위 사고로부터 대처할 수 있습니다.

접근매체의 분실과 도난 책임(법 제10조)

    - 접근매체 분실/도난 시 신고 후 거래에 대해서는 금융기관 등의 책임

공인인증서와 보안카드가 유출되거나 피싱 피해를 입었을 경우 신고 후 발생하는 거래에 대해서만 민사

상 책임을 금융기관이 집니다. 신고 전 발생한 피해액은 금융기관 책임이 없습니다.

단, 카드는 신고 전 90일 전 사고도 금융기관이 책임을 집니다.

정보보호최고책임자의 지정(법 제21조의 2)

    - 금융기관(전자금융업자)는 정보기술부문 보안 총괄책임자(정보보호최고책임자)를 의무적으로 지정

    - 총자산/종업원수가 일정수준 이상의 기관(최근 사업년도말 기준 총자산 2조 이상이면서 종업원수 300

       명이상)인 경우에는 임원으로 지정해야 함

임원이라 함은 이사 이사를 말합니다.

만약, 자산 2조원 미만이거나 종업원수 300명 미만이면 부장급이하 팀장도 CISO 지정 가능합니다.

법상으론 CPO, CIO, CISO, 신용정보 관리책임자 모두를 한 사람이 겸직 가능합니다.