[기고] ID 절도사건

3월초 미국의 유명 대학인 텍사스 오스틴의 컴퓨터 시스템에 해커가 침입해 학생과 교직원, 졸업생 등 5만5천개의 ID와 패스워드를 절도한 사건이 있었다. 해커가 빼간 정보는 ID와 패스워드는 물론, 이메일, 주소, 전화번호, 그리고 지금까지 받은 교육 내용까지 모두 포함됐다.

또한 최근 미 연방검찰은 자국내 3만 여명의 신용 정보를 훔친 희대의 ID 절도 사건을 적발했다고 발표했다. 이 사건은 은행의 신용정보 조회업무를 대행하는 텔레데이터라는 한 소프트웨어 회사의 헬프데스크 근무자가 3년 전부터 건당 30 달러 정도씩 받고 고객 신용보고서의 패스워드와 다운로드 코드를 20여명의 비인가자에게 넘겨준 데서 시작됐다. 은행 계좌에서 돈이 빠져나가거나 주소 변경, 신용카드 도용, 불법 개설 등의 피해를 입은 사람들이 현재 3만명이 넘는다고 설명했다.

이처럼 ID 도용과 절도 사건이 보고되면서, 미국에서는 ID관리에 대한 관심이 더욱 높아지고 있다. 특히 이러한 사건들은 데이터베이스의 네트워크화 시대에 정보 보안의 맹점들을 그대로 드러내고 있으며, 특히 보안 절차와 규정이 보안 기술만큼 중요하다는 점을 부각시키고 있기 때문에, 기존의 위협에 대한 관리에 초점을 맞추던 보안적 접근에 좀 더 관리적 접근이 필요함을 시사하고 있다. 이미 미국의 보안 업체들도 위협관리나 접근관리의 영역에서 점차 아이덴터티 관리라는 영역에 연구개발을 투자하고 있다.

최근 국내에도 ID와 비밀번호 관리 소홀이나 대책 미비로 인한 우려의 목소리가 높아지고 있다. 금융권을 중심으로 전직 직원들의 ID 유출 사례나 전국단위 교육행정정보 시스템의 보안에 대한 대책 미비로 인한 논란 등이 그것이다. 이미 ID유출과 이로 인한 피해의 위협은 우리에게도 강건너 불구경할 수 있는 대상이 아님을 보여주는 단적인 예가 아닐 수 없다.

인터넷 기술은 기업들의 비즈니스 방식을 크게 바꿔놓고 있다. 인터넷 정보는 끊임없이 증가하고 있는 한편 더욱더 많은 사람이 기업 데이터에 액세스하고, 보다 많은 시스템으로의 접근이 가능해지면서 비즈니스는 전례없는 성장의 기회를 맞이하고 있다.

따라서 기업경영 책임자에게는 자원 액세스를 제어할 수 있는 새로운 방법과 함께 액세스를 보호할 수 있는 새로운 보안 수단이 필요하게 되었다. 정보기술 관리자는 사용자 증가에 따른 보안 위험성 확대는 물론 헬프데스크 비용 상승, 인력관리 시스템과 IT 환경의 접속 두절에 대처해야 한다. 무엇보다 보안에 대한 투철한 교육이 선행되어야 겠으나, 개인의 선악에 기대하기에는 이미 우리사회의 복잡성이 더욱 가속화되고 있어 시스템적인 대책이 필요하다.

이에 CA는 IT 관리자가 보안 위험, 사용자 관리 수요 증가 및 새로운 보안 규정에 대처할 수 있는 ID 관리를 강조하며 이 분야 솔루션들을 제공하고 있다. IT 관리는 비즈니스 ID 확인과 관련된 모든 측면을 관리한다. 직원이 새로 근무를 시작하거나 비즈니스 파트너가 포털에 등록하거나 고객이 포털에 액세스하는 순간부터 관계를 추적한다.

최근의 사이버 범죄는 출입문과 총과 안전장치가 보안의 전부는 아니라는 것을 반증했다. 즉 보안은 절차와 규정이 중요하다. 보안은 문화적이고 역동적이다. 기술은 그런 역동적인 환경의 관리를 돕는다.

기업의 직원은 신뢰받는 자산이며, 그들에 의해 회사가 보전된다. 그래서 기업은 그들에게 일반 자산과 귀중한 고객 정보의 열쇠를 맡겨 놓는다. 그러나 안이하게도 직원 사회 또한 일반 사회에서 행해지는 선과 악이 그대로 투영되고 있다는 사실을 간과하는 경우가 종종 있다.

왕도는 상식이다. ID 절도는 모든 사람이 걱정하는 사안이다. 컴퓨터 기술을 ID 절도에 이용한 쪽은 그 방법이 비교적 간단하다는 것을 알고 있었다. 본래 현실 세계에서는 정직할 수도 있는 사람들이 익명성의 함정에 빠져 금전적인 유혹의 노예가 될 수도 있다. 수리공을 집안에 들이거나 손님을 초대할 때 다이아몬드 반지를 식탁 위에 그대로 놓아두지 않는 것처럼, 정보 시스템 역시 유혹 속에 방치해서는 안 될 것이다.