2017.01.13 (금)

  • -동두천 -1.0℃
  • -강릉 0.5℃
  • 서울 -1.7℃
  • 흐림대전 2.2℃
  • 흐림대구 4.4℃
  • 박무울산 6.3℃
  • 흐림광주 4.3℃
  • 연무부산 7.6℃
  • -고창 4.1℃
  • 흐림제주 6.8℃
  • -강화 -0.6℃
  • -보은 1.5℃
  • -금산 2.3℃
  • -강진군 5.6℃
  • -경주시 4.6℃
  • -거제 7.3℃

금융정보보호 패러다임의 전환. 수동에서 능동으로, 타율에서 자율로


<M이코노미 이홍빈 기자> 개인정보보호법이 도입됐지만 여전히 금융기관의 개인정보 관리가 부실한 것으로 나타나고 있다. 특히 지난 2012년 이후 확인된 금융권 개인정보유출 사고만 총 11건으로 유출된 고객 정보를 합치면 1억822만2645개에 달한다. 2011년 제정된 개인정보보호법이 유명무실하다는 지적이 나오는 대목이다.


전자금융은 우리나라 사람들 대부분의 생활에 밀접하게 연관되어 있다. 상당수 사람들은 은행을 방문하지 않고 각종 은행 서비스를 사용하고 있으며, 이에 따라 현금을 사용하지 않고도 각종 생활을 영유할 수 있는 수준이 됐다. 하지만 이에 따른 부작용도 급격하게 증가하고 있다. 지난 수 년간 금융사기와 범죄 현상은 기하급수적으로 늘어났고 이 현상과 관련해 여러 가지 우려가 나타나고 있다. 특히 지난 2013년 금융권에서 발생한 정보 누출사건은 우리 사회에 경종을 울리는 계기가 됐다.


국내 전자금융 및 핀테크 현황


각종 사이버 공격이 난무하는 가운데 국내 전자금융은 더욱 활기를 띄는 모양세다. 우선 은행과 증권, 보험권에서의 전자금융거래 취급실적은 지난 수년간 지속적으로 증가했다. 전체 은행 계좌이체 가운데 비대면 거래인 전자금융거래가 차지하는 비중은 2004년 이후 지속적으로 증가했고, 2015년1분기 기준 90%에 육박할 정도로 커졌다. 반면 조회거래를 기준으로한 대면거래의 비중은 2005년 25% 수준에서 2015년 1분기 15%수준으로 낮아졌지만, 비대면 거래의 비중은 85% 수준으로 껑충 뛰었다.


증권부문에서도 전자적 수단을 사용한 거래비중은 증가했다. 2004년 전체 증권거래 가운데 온라인 거래가 차지하는 비중이 거래 건수 기준 70%수준으로 금액은 50%대다. 하지만 보험사에서의 전자적 금융서비스는 은행과 증권사와는 조금 다른 양상을 나타냈다. 2011년 최초 시행된 보험가입 건 수는 전체의 3%, 금액 면에서는 1%를 초과한 수준으로 나타났다. 복잡하고 개인별로 다양한 서비스가 존재하는 보험 상품 특성상, 인터넷을 이용하는 것이 쉽지 않은 이유로 설명된다. 다만 최근 들어 그수치는 조금씩 증가하고 있으며, 향후 확대 가능성이 높은 부문으로 지목된다.


사이버 범죄에만 매년 4천450억원의 손실


IT융합기술이 발전하면서 금융권의 데이터 및 기술 활용 범위도 점차 확대되고 있고, 이에 따라 과거에는 없던 신규 보안위협이 생겨나고 있다. 2013년 3월에 있었던 금융권 전산장애 사건이나 2016년 2월 국제금융망 해킹 시도 및 코드서명 인증서유출과 같은 사고 외에도 금융보안 사고는 우리 주위에서 계속해서 발생하고 있다.


현대에 들어 정보보안 리스크는 기업 경영 차원에서 관리해야 할 중요한 리스크로 변모했다. 특히 금융분야 보안사고의 경우 타 산업분야에 비해 경제적으로 미치는 악영향이나 대국민 여론 민감도 등 사회적으로 큰 파장을 일으킬 수 있기 때문이다.


2015년, 뉴욕증권거래소 상장기업 임원 200여명을 대상으로 ‘사이버공격으로 인한 피해 중 가장 우려되는 것은 무엇인가’라는 질문을 한 결과 41%에 육박하는 임원들이 ‘고객의 손실로 인한 브랜드 이미지 실추’에 표를 던지며 보안 실패로 인해 브랜드 이미지와 여론이 나빠지는 것을 가장 걱정하는 것으로 나타났다.


한편 금융회사 보안사고시 손실 비용도 기하급수적으로 늘어나고 있는 추세다. 특히 고객정보를 대량으로 보유하고있는 금융회사의 특성상, 단 한 건의 보안사고 만으로도 경영 위기를 초래할 수 있는 피해를 입을 수 있다. 예를 들어 1천만명의 정보를 가진 금융회사가 개인정보 유출을 막지 못해 1인당 10만원씩 배상해야 한다고 가정해도 해당 금융회사는 1조원 이상을 손해 배상 비용으로 지출해야 한다.


그리고 정보보안 관련 시장조사기관인 포네몬과 IBM사가 전 세계 12개국 383개 기업을 조사한 결과에 따르면 금융분야에서 고객데이터 유출시 1인당 평균 손실 금액은 대략 221달러로 집계됐고, 알리안츠의 A Guide to Cyber Risk보고서에 따르면 사이버 범죄가 세계 경제에 미치는 손실 규모는 매해 대략 4천450억 달러 수준인 것으로 나타났다.


스마트폰 금융정보 노리는 악성SW 확산, 개인 스마트폰 관리에 철저한 관심 필요


간단한 계좌이체부터 공과금을 내는 일 등 각종 은행업무를 스마트폰 하나로 할 수 있게됐다. 하지만 이처럼 스마트폰 뱅킹앱 사용이 일반화되자 해커들의 공격에 스마트폰은 새로운 공격 루트가 되고 있다.



스마트폰은 개인화 기기의 특성상 사용자 개인정보를 다수 보유하고 있다. 또한 언제나 인터넷과 연결되어 있어 해커이 사랑하는(?) 대상으로 급부상했다. 최근 악성소프트웨어인 멀웨어(malware, malicious software의 준말) 중 랜섬웨어와 뱅킹 트로이 목마가 주로 사용되고 있는 것으로 알려져 있다. 랜섬웨어는 악성프로그램 앱을 설치해 해당 스마트폰을 사용할 수 없게 만든다. 이어 스마트폰에 랜섬웨어를 뿌린 해커는 스마트폰을 인질로 잡아 두고 금전을 요구한다.




트로이 목마는 랜섬웨어에 비해 조금 더 심각하다. 뱅킹 트로이 목마는 스마트폰에 잠복해 있으면서 스마트폰 사용자가 스마트폰 뱅킹앱을 사용할 때 앱을 통해 비밀번호 등 금융 정보를 탈취한다. 특히 트로이 목마의 경우 탈취한 금융정보로 PC뱅킹 등 다른 채널로도 접속할 수 있어 정확한 피해 수준을 추정하기 힘들정도로 위험하다. 게다가 트로이 목마는 알고도 당할 수 있을 정도로 교묘한 수법을 사용한다. 뱅킹 트로이 목마로 유명
한 ACECARD나 GM bot 등은 우선 사용자의 스마트폰에 잠복해 있다가 뱅킹앱이 실행되면 움직이기 시작한다. 트로이 목마는 뱅킹앱을 복제한 피싱창을 사용자의 스마트폰 화면에 띄워 비밀번호 같은 개인정보를 정보를 빼낸다.


‘나는 뱅킹앱에서 문자메시지로 이중 인증을 하기 때문에 문제없어’라고 하는 사람도 있을 지모르지만 이 또한 안심할 수 없다. 트로이 목마는 사용자에게 문자 수신 알림을 꺼둔 채 해커에게만 인증 번호를 전송한다. 해커 앞에서는 문자메시지 이중 인증도 무용지물이다.
게다가 ACECARD같은 뱅킹 트로이 목마는 많게는 50개의 뱅킹앱까지 복제가 가능한 것으로 알려져 있으며 SNS, 메신저, 이메일 계정 화면까지도 복제할 수 있어 언제 어디서 공격이 들어올지 예상할 수 없는 매우 위험한 악성프로그램으로 분류된다.


하나금융경영연구소 김문태 수석연구원은 “악성소프트웨어에 의한 피해를 방지할 수 있는 방법이 존재하지만 사용 빈도는 미흡한 수준”이라고 지적했다. 이어 “스마트폰 OS 최신화, 안티 바이러스 프로그램을 설치하면 멀웨어 방지에 도움을 줄수 있고, 수시로 비밀번호를 변경하는 것도 개인정보 도용에 대처할 수 있는 방법”이지만 “안티 바이러스 프로그램을 설치한 사용자는 전체 사용자의 31%에 불과하며, 패스워드를 수시로 변경하는 사람도 25%에 지나지 않는다. 이마저도 2014년에 비해 2015년에는 감소했다”며 소비자들의 낮은 보안의식에 우려를 표했다.


김 수석연구원은 “은행들의 경우 멀웨어 피해를 예방하기 위해 뱅킹앱을 수시로 업데이트 하고 비일상적 거래에 대해 경고 메시지를 보내는 등 노력을 하고 있지만, 실제 사용자들은 안티바이러스를 설치하지 않거나 패스워드를 변경하지 않고 사용한다. 또 출처가 불분명한 앱을 설치하고 정식OS가 이닌 변경된 OS를 사용하는 소비자들도 있어 멀웨어 피해 방지에는 사실상 제한이 있을 수 밖에 없다”며 소비자들의 스마트폰 보안 관리에 대한 의식 고취가 필요하다고 강조했다.




4년만에 4배로 증가, 기하급수적으로 늘어나는 전자금융 범죄


시간이 갈수록 전자금융 관련 범죄는 더 빈번히 발생하고 있다. 주요 전자금융 관련 범죄현황을 매년 조사하는 한국인터넷진흥원에 따르면 시스템 해킹, DDos, 웹변조 등의 신고 탐지 건수가 매년 가파르게 증가하고 있는 것으로 나타났다. 신고 건수는 2008년 1만8천197건에서 2009년 2만5천592건으로 급증했다. 다행이 2011년 1만3천607건까지 떨어지며 하락세를 보이는가 싶더니, 2012년 2만2천818건으로 껑충 뛰었고 2013년 다시 조금 줄어든 모습을 보인 뒤 이후 매년 일정 수준을 유지하고 있는 것으로 조사됐다.


하지만 악성코드 피해신고 건수, 모바일악성 앱 신고 현황, 파밍/피싱, 스미싱 사이트 신고 및 차단 건수는 최근 2~3년 들어 급격하게 증가 한 것으로 확인됐다. 2010년 악성코드에 의한 피해신고 건수는 1만7천건에 불과했지만 2011년 2만8천897건으로 늘었고, 2012년에는 3만3천933건으로 뛰었다. 심지어 2013년에는 9월까지만 7만2천48건이 집계되며 불과 4년만에 4배 이상 증가한 모습을 보였다.


이와 함께 국내 모바일 악성앱 신고 건수도 2012년 17건에 불과한 수준이었으나 분기별로 크게 상승하더니 2013년 3분기에 889건을 기록하며 가파른 증가세를 나타냈다. 아울러 피싱/파밍/스미싱 사이트 차단현황도 2008년 8건 수준에 불과했으나 2013년 9월까지만 1만5천806건이 차단되며 걷잡을 수 없이 커지고 있다.
더불어 개인정보 침해사고도 꾸준한 증가세를 보이며 상승하고 있는 것으로 조사됐다. 2015년 한국인터넷진흥원에 제기된 개인정보 침해신고·상담 및 피해구제 신청건수는 15만8천900건으로 2013년 17만7천736건에 비해 약 10.1% 감소한 모습을 보였다.


2005년 이후 지속적인 증가세를 이어오던 개인정보 침해사고는 2014년 1월 카드사 고객정보 유출사고, 3월 통신사 고객정보 유출 사건 이후 2014년 7월을 기점으로 정부는 대대적인 개편을 했다. 이후 개인정보 범죄에 대한 처벌 강화, 개인정보 유출 피해구제를 내용으로 하는 ‘개인정보보호 정상화 대책’을 발표하면서 범국가적으로 개인정보 유출 문제가 심각하게 다뤄졌다. 하지만 일각에서는 ‘소 잃고 외양간 고친다’, ‘정부는 뒷북만 친다’고 비판하기도 했다.


급격한 기술발달의 이면, 전자금융 보안에 뚫린 구멍


그렇다면 전자금융 관련 사건 사고가 끊임없이 증가하는 이유가 도대체 무엇일까? 고려대학교 세종캠퍼스 경제학과 이충열 교수는 “대부분의 전자금융범죄는 그것을 저지른 사람이 비용보다 편익이 크다고 판단해 발생한 합리적인 행동의 결과”라고 분석했다.


이충열 교수는 “전자금융 사고와 범죄가 일어나는 원인을 파악하기 이전에 일련의 사고와 범죄의 주요 특성에 대해 알 필요가 있다”고 전했다. 그는 ▲전자금융범죄는 매우 지능적인 전문가들의 범죄 ▲전자금융범죄의 양상이 기술변화에 따라 매우 다양 ▲대부분의 전자금융범죄가 주로 이용자 구간에 집중 ▲국제적인 범죄가 많이 발생 ▲다양한 정보통신범죄와 동반 이라는 5가지 특성을 꼽았다.


이어 그는 “앞서 언급한 바와 같이 전자금융범죄는 범죄자의 ‘준비와 선택’에 의해 발생했으며, 최근에 발생하는 전자금융관련 범죄는 다양한 기기 사용과 함께 조직적인 범죄 형태를 띠고 있다”고 덧붙였다. 한편 전자금융 관련 사고 원인에 대해 이 교수는 “이런 행동이 나타난 이유에는 우선 전자금융 관련 범죄 대상자의 숫자가 크게 증가한 점을 들 수 있다”고 말했다. 현재 대부분의 사람들은 보편적인 금융서비스로 자리잡은 전자금융 서비스를 이용하고 있기 때문에 금융시장의 전체 파이가 커졌다는 뜻이다.


이와 함께 손 쉬운 현금화에 대해서도 지적했다. 이교수는 “전자금융범죄는 즉각적인 숫자 이동을 통해 자금을 현금화할 수 있어, 만약 범죄가 성공할 경우 강조나 절도같은 범죄와 달리 상당한 수준의 자금을 확보할 수 있다”며 전자 금융범죄가 한탕주의 범죄자들에게 매우 매력적인 범죄가 될 수 밖에 없다고 역설했다.


이어 이충렬 교수는 “결국 이런 점들을 고려할 때 기술진보와 사회의 변화는 범법자의 범죄수행에 대한 기대이익도 증가시키는 효과도 낳았다”며 “이를 예방하기 위해 금융기관은 보다 복잡한 보안 프로그램을 만들어야 하고, 정부는 법과 제도의 국제적 통일성, 사이버수사대의 적극활용이 필요하다”고 진단했다. 더불어 “개인의 경우 비밀번호를 주기적으로 변경하는 등 보안에 신경을 쓰고, 문제 발견시 즉시 신고하는 정신이 필요하다”고 추가 설명했다.


금융보안 강화를 위한 사이버 레질리언스의 필요성


클라우드, 빅데이터, 모바일, 사물인터넷 등 새로운 기술과 전략이 쏟아지는 현 시점에서 개인정보보호는 IT라는 좁은 범위에서 비즈니스라는 더 큰 범위로 이동되고 있는 추세다. 최근들어 자주 발생하고 있는 개인정보 유출사례에서 확인 할 수 있듯이 단 한번의 보안 사고로 힘들게 쌓아올린 금융 소비자와의 신뢰가 무너진다. 이로 인해 브랜드 이미지가 회복 불가능할 정도의 타격을 입기도 하며, 최고경영자들에게 무거운 철퇴가 날아들기도 한다. 이에 개인정보 보호는 더 이상 IT부문의 이슈로만 국한되지 않고 경영전반에 걸친 비즈니스 이슈로 격상됐다.


중앙대학교 산업보안학과 김정덕 교수는 개인정보보호를 위한 새로운 비전과 원칙을 세우기 위해서는 개인정보보호 프로그램의 레질리언스를 실현해야 한다고 주장했다. 김정덕 교수는 “신뢰 구축의 중요성은 계속해서 언급할 정도로 중요한 비즈니스적 목표이고, 이와 함께 개인정보보안 레질리언스 개념이 요구된다“고 덧붙였다. 사물인터넷을 필두로한 초연결사회에서는 도처에 위험요소가 존재하고 상호관련성이 높기 때문에 개인정보 위협이나 사고는 언제든 발생할 수 있다는 사실을 받아들이고 대신 이를 신속하게 발견하고 복구할 수 있는 역량을 구현해야 한다는 설명이다.


이어 김정덕 교수는 ‘신뢰성과 레질리언스’ 구현이라는 비즈니스적 관점에서 목적을 달성하기 위해서는 ▲체크박스 컴플라이언스가 아닌 위험 기반의 개인정보보호 활동 ▲비즈니스와 개인정보보호의 균형을 위한 조력자로서의 역할 변화 ▲개인정보를 통제하려고 노력하지 말고 개인정보가 어떻게 활용되어야 하는지 결정 ▲기술의 한계를 수용하고 인간 중심의 보호조치 적용 ▲완벽한 예방이 아닌 신속한 탐지 및 대응을 위한 투자 등의 원칙을 수행할 필요가 있다고 강조했다.


그는 또 “법에서 요구하는 최소한의 보호조치를 지키기 위한 수동적 보호가 아니라 위험의 크기에 따른 우선순위를 두고 개인정보보호조치에 대해 능동적으로 활동하고 투자하는 행동이 수반되야 한다”고 덧붙였다. 이어 “디지털 비즈니스에 여러 가치를 제공하기 위해서는 방어자의 입장에서 바라볼 것이 아니라, 비즈니스 이익과 조직 보호를 동시에 가능하게 하는 조력자의 시각을 가져야 한다”고 일렀다.



더불어 김 교수는 “단순한 보안 관점에서 개인정보를 통제하는 것이 아니라, 개인정보가 어떻게 안전하게 활용되어야 하는가를 제시해야 하며, 한계가 존재하는 기술에 지나치게 의존하는 대신 조직 구성원의 행동 변화와 긍정적 문화 형성을 위해 노력해야 한다”고 지적하면서, “나날이 발전하는 기술앞에서 개인정보보안의 완벽한 예방은 불가능하며 지속적 진단과 모니터링을 통한 면역체계 구축에 만전을 기하는 편이 더 낫다”고 전했다.


최고 정보보안 책임자(CISO)의 역할과 중요성


전 세계적으로 보안에 대한 중요성이 점점 커지면서 국가·기관별 중점 과제로 정보보안에 대해 심혈을 기울이고 있다. 특히 최근 지속적으로 발생하는 해킹에 매우 민감한 반응을 보이는 미국의 경우 연방 최고 정보보안 책임자(CISO)직을 신설해 연방정부 전반에 걸친 사이버보안 전략과 정책의 개발, 관리, 이행 업무를 이관하기로 했다.


이는 미국 정부가 추진 중인 ‘사이버보안 국가 행동 계획(CNAP)의 일환으로, 이를 위해 백악관은 연방정부 IT 시스템 현대화에 31억 달러를 투입하고 해당 업무를 연방 CISO에 일임했다. 사이버보안 국가 행동계획(CNAP, Cybersecurity National Action Plan)은 백악관이 미국 국민과 사업체, 연방정부의 사이버보안 강화를 위해 2016년 2월9일 발표한 장기 실행 계획으로 사이버보안, 프라이버시 보호, 공공 안전, 국가경제와 안보 강화 및 전 국민 디지털 보안을 주 목표로 하는 계획이다.


이에 우리나라도 CISO에 대한 중요성을 역설하고 있다. 금융보안원은 “CISO는 최고경영자의 업무지시에 따라 본연의 역할을 충실히 실행하고, 최고경영자를 포함한 최상위 거버넌스 구성원들과의 정기적인 의사 소통으로 정보보안 전담 실무조직에게 구체적이고 명확한 정보보안 목표를 제기해야한다”고 설명했다. 특히 금융회사에 적합한 정보보안전략을 수립해 보호대책들을 적용한 경우 추진 실적을 정기적으로 보고해야 한다고 덧붙였다.


하지만 여러 가지 개선사항이 필요해보인다. 현재 직접적인 수익 창출을 기대할 수 없는 정보보안 투자의 성격상 경영진의 적극적인 리더십과 관심이 부족한 것이 현실이다. 이를 증명하듯 정보보안 관련 사항을 최고경영자 및 이사회에 1년에 한 번도 보고하지 않은 경우도 각각 11%, 35%에 이른다.


그러나 최근 금융보안 패러다임은 ‘자율’로 변화되고 있으며 이에 따른 최고경영자의 지속적인 관심과 리더십이 없는 이상 급변하는 사이버 공격에 효과적인 대응이 불투명하다. 이에 기업 지배구조 상 최상위 계층에 있는 최고경영자가 정보보안 리스크에 대해 인식을 재고하고, 최고경영자의 역할을 적극적으로 수행할 필요성에 대해 여러 전문가들의 지적이 이어지고 있다.


개인정보보호를 대하는 정부와 기업의 역할 변화가 시급한 때


지난 7월 발생한 인터파크 홈페이지 해킹 사건에 의해 1000만명 이상의 고객정보가 유출됐다. 이에 금융소비자원은 “인터파크의 대규모 고객정보 유출은 우리나라 인터넷 기반 기업의 고객정보 관리가 얼마나 허술안 보안 체계로 운영되어 왔는가를 보여줬다. 특히 이번 사고는 정보 수집에만 몰두하고 장사꾼 정신으로 물건만 판매하려는 수준 이하의 기업 경영을 해온 인터파크의 실상을 그대로 보여준 것이라 해도 과언이 아니다”며 “고객 정보가 생명인 인터넷 기업이 정보 보호를 위한 기본 보초 업무조차 소홀히 하며 영업해 온 것도 모자라, 이에 대한 책임을 회피하기 위한 대책부터 실행하는 등 참으로 비도덕적인 기업의 모습을 보여주고 있다”
고 강하게 비판했다.


이에 이러한 사고를 예방하기위해 개인정보보호법 고시인 ‘개인정보 안전성 확보조치’가 최근 개정 작업 중에 있다. 전문가들은 현행 개인정보보호의 대표적인 문제로 ‘고시에서 요구하는 사항만 만족하면 된다’는 점을 꼽았다. 고시에서 요구하는 내용은 모든 사업자에게 적용되는 최소한의 보호조치이기 때문에 개인정보를 보호해야 하는 사람이 자칫 정보보호를 소홀히 여기도록 조장할 수 있으며, 사고가 발생했을 때에는 면죄부같은 역할을 할 수도 있기 때문이다.


하지만 매해 이와 비슷한 사고는 일어나고 있으며, 그 때마다 기업은 소극적인 태도를 보이며 문제가 확산되는 것에만 신경을 쓰고, 정부는 ‘다음에는 그러지 마’라는 식의 솜방망이 처벌만 내리고 있다는 지적이 꾸준히 제기되고 있다. 이에 미국과 유럽 선진국에서 경제범을 대하는 것처럼 강력한 처벌이 필요하다는 목소리도 점점 더 커지고 있다.


미국의 경우 경제범에게는 사실상 사형에 가까운 무거운 철퇴가 내려진다. 미국 역사상 최대 규모인 650억 달러의 다단계 금융 사기로 구속된 버나드 메이도프 전 나스닥 증권거래소 위원장에게는 징영 150년형이 선고됐다. 아울러 2000년 뉴욕의 사업가인 숄람 와이스는 4억5천만달러 한화 5천억의 사기 행각으로 845년형을 선고받았고, 그와 사기를 공모한 케이스 파운드도 740년형을 선고받기도 했다.


나의 책임도 있다. 개인정보보호를 위해 바꿔야 할 습관


대부분의 전자 범죄가 범죄자들에 의해 발생하지만 개인의 부주의로 의한 사고도 엄연히 존재한다. 예를 들어 계좌이체를 하려는 소비자가 금액 혹은 계좌번호를 잘못 기입했을 경우 자금은 엉뚱한 사람의 계좌로 송금될 수 있다. 또한 사용자 부주의는 해킹과 정보누출의 기본적인 원인이 될 수도 있다.


다음 사례는 사용자의 부주의로 발생한 사고다. 서울지방경찰청 사이버범죄수사대는 국내 인터넷뱅킹 고객의 비밀번호를 해킹해 4억4천만여만원을 가로챈 혐의로 검거됐다. 경찰에 따르면, 박씨 등은 2008년 3월부터 국내 은행과 증권사, 보험사, 카드사 등 32개 금융기관의 인터넷뱅킹 아이디와 비밀번호 300여개를 해킹하고 그 중 86명의 계좌에서 4억4천여만 원 가량을 빼갔다. 이들은 개인 PC에 트로이목마를 퍼뜨리고 저장돼 있던 개인 이메일 계정 아이디와 비밀번호를 탈취해 이메일에 보관하고 있던 신분증과 보안카드를 입수했다.


해당 사건은 단순 PC해킹으로 끝날 수 있었으나 신분증과 보안카드를 이메일에 보관하면서 인증수단의 보안에 실패했다는 문제가 발생하는 추가 피해가 발생했다. 1990년대 말 등장한 전자금융서비스는 20년 가까운 시간이 지나오며 많은 변화를 겪었다. 각종 범죄에 노출되며 정책과 기업들은 소비자의 비난을 사야했고, 소비자 또한 과거와 달리 개인정보에 대한 의미에 대해 점점 더 고민하고 소중히 여기는 방향으로 변하고 있다. 하지만 여전히 법과 제도는 부족하고 이를 단기간 내에 기술발전 정도에 따라 다양한 형태로 만든다는 것은 쉬운 일이 아니다.


그러나 개인정보에 대한 인식과 각종 기술이 발전하는 만큼 제도 또한 빠르게 변해야한다. 아직 이에 대한 연구가 많이 이뤄지지 않은 점을 고려할 때 해당 연구의 발전 가능성이 더욱 점쳐진다. 기술이 변하고 사회가 변하면 법과 제도, 그리고 우리 스스로도 바뀌어야 한다.


MeCONOMY magazine November 2016

배너


배너
배너