2008년 2월 7일 목요일

우리에게 보안이란? 개인정보보안을 말한다.

우리에게 보안이란 물리적인 세계에서의 보안과 가상의 네트워크상에서의
보안으로 나뉠수 있다 물리적인 보안을 위해선 자물쇠나 금고같은
기본적인 시설부터 출입을 제한하기 위한 출입제한 시스템(홍체인식,
지문인식등의 기계적인 장치와 경비원등을 이용한 여러가지 시스템),
건물을 보호하기 위한 방어시스템 등등... 굉장히 많다.

사실 이러한 물리적인 시스템도 가상의 네트워크를 보안하는것에
비한다면 어마어마한 비용과 인력이 소요되며 또한 그 구축방법도
만만치 않은것들이 대부분이다. (결국엔 돈.. 과 시간)

하지만 이러한 물리적인 보안과 비등하게 중요한것은 가상의
네트워크 상에서의 정보보안이다.

네트워크상에서의 보안에서의 첫번째는 적절한 권한을 가진 사람이
적절한 방법으로 접근하는 지를 판단하는 것으로 이를 반대로 얘기할
경우엔 부적절한 권한을 가진 사람이 부적절하게 접근을 하는것이
우리가 보통 얘기하는 해킹이요 정확히는 크래킹이라고 일컬어진다.

보안의 기초개념은 특정인에게 적절한 권한을 부여하며 그 권한을
넘어서는 일에 대해서는 제제를 가하는 것이다.

이는 정보에 대한 접근부터 시작하여 열람, 복사등의 행위를
방지하는 것이다.

그럼 대부분의 공격 및 방어 시스템은 어떻게 되어 있는가?

이건.. 참으로 어렵다. 공격자는 취약한 한가지 공격점을 가지고
그것을 노리는 핀포인트 공격을 하면 되지만,
방어자는 모든면에서의 방어를 해야하는 전방위적 방어를
펼쳐야하므로 당연히 공격자보다 어려운 상황에 처하며 또한
자신들의 시나리오외의 다른 취약점에 대해선 말그대로 취약해질
수 밖에 없다.

모든 크래킹의 배경에는 어떠한 목적이 있다.
온라인 쇼핑몰등에서는 배송정보를 해킹해서 자신이 물건을
갖도록 할 수도 있으며, 게임에서는 아이템을 획득하기 위해
계정을 훔친다.

거대 시스템에 침투해서 자신의 지적능력을 시험하고 뽐내고
싶은 사람도 있을것이다.


이러한 목적중에 크래커들이 가장 눈독을 들이는것은 개인정보이다.

그러므로 가장 중요하게 보관되어야 하는것은 개인정보일것이다.
온라인상에서의 개인정보는 곧, 그 개인정보의 소유자를 나타내는
것이고 또한 그것을 이용해서 크래커가 타인의 행세를 할 수
있다는 점에서 굉장히 민감하게 다뤄져야하며, 그것을 사용함에
있어서 심도깊은 주의가 필요하다.

대체적으로 국내의 업체들을 보게 되면 회원가입시에 주민번호는
기본이며 다른 여러가지의 정보를 요구하고 있다.

과연 이런 정보들은 어떻게 쓰이는지 궁금하다.
대부분 이러한 정보는 TM업체나 제휴사에 제공되며 이러한 제공을
협력사와의 업무협조라는 미명아래 약관에 명시해놓고 이를 당연시 하고 있다.

이미 하나의 서비스를 이용하기 위해 가입을 하는 시점에서
이러한 정보는 유출이 되는 것이다.

하지만 TM업체나 제휴사에서 과연 그 회원에 대한 주민번호나
기타 등등의 여러 정보가 필요할까?

그런곳과 업무제휴를 한다면 필요한 정보만 넘기면 될것이다.

전화번호, 이름 , 성별, 주거지, 연령대 등의 표본을 도출해내기
위한 기초정보만으로 가능하며,
몇몇 업체는 이런식의 기초정보만 제공하는것으로도 알고 있다.


그럼 우리는 왜 주민번호를 사용하게 되었을까?

알다시피 주민번호는 대한민국이라는 나라에서 국민 한사람 한사람에게
부여한 일련번호이다.

이것은 곧 주민번호와 이름이라는 두가지의 값으로 개인을 나타낼 수 있으며,
또한 타인이 온라인에서 명의를 도용해서 사용할 수도 있다는 말이다.

회원가입시에 주민번호를 기본적으로 받으면서 업체들은 회원가입시의
중복가입을 막을 수 있으며, 이에따라 자연스레 광고노출 및 페이지 뷰에
대한 통계에서의 신뢰도를 높이게 된다.

ActiveX를 도입하고, 전화번호를 확인하며 공인인증서를 이용하는 등의
개인확인 절차는 굉장히 복잡해지며 이것은 또한 웹브라우저 문제와도
직결되었다.(이는 나중에 다루겠다.)

일단 회원의 확인에는 신경을 굉장히 많이 쓴다.

개인정보를 보호해준다는 미명아래 가입자들을 귀찮게 하고 있는것이다.

그렇다면 그렇게 확인해서 넘어간 정보는?

믿을만하게 보관되며 적절하게 접근하는것인지 아니면 중구난방으로
이리 팔리고 저리 팔리고 유출되며 내부자에 의해서 조회되는것인지에
대해서는 알 방법이 없다.

자신들 스스로가 지켜나가고 감사를 한다고 하지만 제식구 감싸기는 역시나
믿을게 못된다.

이를 위해선 각 회사별로 개인정보에 대한 접근 가이드라인을 만들고
또한 이를 개인정보가 보관되어 있는 시스템에 대해서는 정기적인 감사를
받으며 접근할 수 있는 통로 자체도 제한을 하여야 할 것이다.
(개인정보의 접근에 대한 가이드 , 이것도 추후 작성)

개개인의 개인정보는 회사라는 거대한 입장에서보면 별것이 아닐 수도 있다.
한두건이 노출되며 보여진다고 해서 별일이 아닐 수도 있다.
몇백만건이 유출되지 않는 이상, 은폐가 가능하다가 은폐할 수도 있을것이다.

외부로의 은폐나 책임공방 이전에 개인의 정보를 정말로 소중히 다룰줄 아는
기업문화가 필요한 시기이다.

피드 구독하기: 덧글 (Atom)