빨간 모자 동화를 아시나요? 이는 아이들에게 세상의 위험에서 자신을 지키려면 착한 사람과 나쁜 사람을 구별하는 지혜가 필요하다는 걸 알려주는 이야기입니다. 해킹이나 보이스피싱과 같은 범죄에 빈번하게 노출되는 오늘날, 빨간 모자 동화를 통해 개인정보를 지킬 방안에 대해 이야기해 보겠습니다.
내 개인정보를 내가 꼬박꼬박 제공한다?!
● Scene
옛날 옛적에~ 언제나 빨간 모자를 쓰고 다녀 빨간 모자라 불리는 아이가 살았습니다. 어느 날, 빨간 모자가 엄마의 심부름으로 할머니 병문안을 하러 가던 중 늑대가 나타나 상냥하게 물었습니다.
“넌 누구니?” “빨간 모자예요.”
“어디 가는 길이니?” “할머니 댁에 가요.”
“왜 가니?” “할머니께서 아프셔서요.”
● Problem
이 대화의 문제점을 찾으셨나요? 처음 보는 늑대에게 내 신상은 물론 신변 정보까지 너무도 친절하게 대답해 주는 빨간 모자. 혹시 온라인 공간에서 비슷한 상황이 떠오르시나요?
인터넷 사이트에 가입할 때마다 수도 없이 물어보는 질문들 “이것도 내 개인정보인데, 이런 질문까지 일일이 대답하면서까지 가입을 해야 하나”란 생각이 들 때 있으시죠? 그 생각이 맞습니다. 개인정보 보호법에 따라 이용자는 불필요한 정보를 과다하게 제공하지 않을 권리가 있습니다.
또한 필수 정보 이외의 추가적인 정보 제공에 대해 거부할 권리가 있으며, 최소한의 정보 이외에 추가 정보에 대한 수집 거부 시에도 서비스를 이용할 수 있는 권리가 있습니다.
● Solution
만약 가입하려는 사이트에서 마구잡이로 정보를 요구한다면 어떻게 해야 할까요? 최소한의 필요 정보만을 제공할 수 있어야 합니다. 선택 정보 제공에 대해 미동의로 체크했다 해서 가입 진행이 불가한 사이트가 있다면 어떻게 해야 할까요? 그냥 가입하고 넘어갈 게 아니라 해당 사이트에 시정 요구를 하는 등의 적극적인 자세가 필요합니다.
만약 시정요구를 하였음에도 개선되지 않고 개인정보를 요구한다면 ‘한국인터넷진흥원 개인정보침해 신고센터(https://privacy.kisa.or.kr/kor/main.jsp)’에 개인정보침해 신고 및 상담을 할 수 있습니다. 해당 사이트가 법을 위반한 경우에 해당된다면 해당 사이트는 최대 5천만 원까지 과태료를 물게 됩니다.
[개인정보보호법]
제15조(개인정보의 수집•이용)
① 개인정보처리자는 다음 각호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. (과태료 5천만 원)
제16조(개인정보의 수집 제한)
① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.
③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. (과태료 3천만 원)
… (중략) …
● Replay
다시 늑대와 빨간 모자의 첫 만남으로 돌아와 봅시다. 빨간 모자가 어떻게 대처하는 것이 좋을까요?
“넌 누구니?” ” … “
“어디 가는 길이니?” “누구신데 저한테 그런 걸 물으시는 거죠?”
“좀 알려주면 안 되니?” “반드시 필요한 정보가 아니라면 알려드리고 싶지 않은데요.”
” … ” ” … ” (대화 끝!)
혹하는 것들에 눈을 돌린 순간
● Scene
다음 장면입니다. 늑대가 할머니를 잡아먹을 시간을 끌려고 빨간 모자를 부릅니다.
“꽃을 좀 가져가지 그러니? 할머니께 꽃을 선물 드리면 좋아하실 거야.”
빨간 모자는 나도 모르게 눈길이 가는 알록달록 예쁜 꽃들을 꺾기 시작합니다. 한눈팔지 않겠다고 한 엄마와의 약속은 까맣게 잊은 채로 말이죠.
● Problem
비슷한 상황을 생각해 볼까요?
메일이나 온라인 커뮤니티 게시판에 무언가를 확인하러 들어갔다 ‘톱스타 OOO 연애 중!’, ‘정치인 OOO 씨 투자 주식은 무엇?’ 등의 게시물 제목을 읽고 나도 모르게 클릭을 합니다. 또는 영화를 다운로드 받으러 P2P 사이트에 들어갔다 자극적인 제목의 게시물을 보고 파일을 다운로드 받습니다.
이게 내 개인정보랑 무슨 관련이 있을까요? 혹시 도덕적인 문제나 불법 다운로드 문제 말고 다른 문제는 없다고 생각하진 않나요?
① 메일이나 게시물에 숨겨진 악성코드
첫 번째 사례의 경우 현재 사회적 이슈가 되는 뉴스로 사람들의 관심을 유도한 다음 본문 내 기사 출처로 위장한 링크를 걸어 클릭을 유도합니다. 해당 링크에는 기사와 함께 악성코드 유포 사이트가 포함되어 있어 기사를 읽는 동안 자신도 모르게 해당 사이트에 연결돼 악성코드에 감염됩니다.
악성코드는 PC의 설정을 조작합니다. 향후 이용자가 인터넷에 접속하면 금융기관을 사칭하는 가짜 사이트로의 접속을 유도하고 주민등록번호, 비밀번호, 보안카드 번호 등의 개인정보를 입력 받아 탈취합니다. 이와 같은 금융사기 수법을 ‘파밍’(Pharming)이라고 합니다.
② 동영상 파일로 위장한 악성코드
두 번째 사례의 경우 최신 영화 파일이나 음란물 동영상 파일로 위장한 악성 파일을 다운로드 받게 유도합니다. 동영상 파일을 실행했을 때 실제 동영상을 재생해 이용자가 악성코드에 감염된 사실을 인지하지 못하게 하지만, 사실은 숨겨진 악성코드가 실행되고 있습니다.
악성코드에는 여러 종류가 있어 첫 번째 사례에서 말한 파밍 수법 이외에도 다양한 방법으로 개인정보를 탈취합니다. 이용자가 키보드로 PC에 입력하는 내용을 낚아채 개인정보를 탈취할 수도 있고, PC에 저장된 워드나 엑셀 문서를 탈취해 갈 수도 있습니다. 또는 웹캠에 접근해 우리 집 내부를 훔쳐볼 수도 있습니다.
● Solution
이의 경우를 방지하려면 어떻게 해야 할까요? 무엇보다 출처가 불분명하거나 의심스러운 경우에는 가급적 메일이나 게시물을 클릭하지 않고 동영상 다운로드도 받지 않는 것이 최선의 예방책입니다. 백신 프로그램을 최신 버전으로 관리하고 실시간 감지 기능을 사용하는 것도 방법의 하나입니다.
또한 전자금융사기를 예방하기 위해 사이트에 접속할 때마다 사이트 주소가 정상인지를 확인하는 습관을 들이는 것도 좋습니다. 가짜 사이트의 경우 정상 사이트의 주소와 유사해 보이나 세심하게 보면 특수문자가 삽입된 등 차이가 납니다.
만약 이미 악성코드에 감염되었거나 금전 피해가 발생한 경우에는 어떻게 대처하여야 할까요? 악성코드에 감염된 경우라면 백신 프로그램을 통해 치료하거나 컴퓨터 포맷을 통해 악성코드를 삭제하여야 합니다. 이용자가 스스로 검사 및 치료를 하기 어려운 경우에는 ‘한국인터넷진흥원 인터넷 보호나라(www.boho.or.kr)’의 PC 원격점검 서비스를 이용할 수 있습니다. 해킹 사고가 발생한 경우 해당 사이트에서 상담 및 신고도 가능합니다.
금전적 피해가 발생한 경우라면 ‘전기통신금융사기 피해금 환급에 관한 특별법’에 따라 피해 구제 신청을 해야 합니다. 자세한 절차는 경찰청 사이트에서 확인할 수 있습니다.
▶ http://www.police.go.kr/portal/main/contents.do?menuNo=200568
● Replay
다시 빨간 모자 이야기로 돌아와서, 빨간 모자가 늑대의 말에 넘어가지 않으려면 어떻게 해야 할까요? 꽃으로 유혹하는 늑대의 말은 “완전 무시!”하고 곧장 할머니 댁으로 가는 게 현명하겠죠?
온라인상의 도플갱어? 내가 ‘나’임을 증명하려면
● Scene
빨간 모자가 꽃을 꺾는 동안 할머니 댁에 먼저 도착한 늑대는 빨간 모자의 목소리를 흉내 내어 말합니다.
“할머니, 빨간 모자가 왔어요. 문 좀 열어 주세요.”
할머니는 빨간 모자가 온 줄 알고 문을 열어 주었고 늑대는 할머니를 잡아먹습니다.
● Problem
여기서 두 가지 문제점을 찾을 수 있습니다. 첫 번째는 빨간 모자인 척 빨간 모자를 사칭한 늑대입니다. 두 번째는 목소리만 듣고 문을 열어준 할머니입니다.
① ‘SNS판 도플갱어’, 내가 아닌 또 다른 내가 있다
빨간 모자를 사칭한 늑대, 온라인 공간에서 비슷한 상황을 생각해 봅시다. 근래 ‘소셜 네트워크 서비스(SNS)’ 이용이 활발해 짐에 따라 다른 사람들의 근황을 쉽게 접할 수 있습니다. 이렇게 올라온 사진이나 글은 쉽게 다운로드 받거나 캡처할 수도 있습니다.
만약 내 SNS 사진을 누군가 도용해 나인 척 행세를 한다면 어떨까요? 누군가 내가 업로드한 사진을 다운로드 받아 자신의 프로필 사진으로 사용합니다. 내가 올리는 일상의 이야기와 사진들을 캡처해 그대로 올립니다. 사람들이 댓글을 달면 내 행세를 하며 답글을 답니다. 이런 경우를 발견한다면 꽤 충격적일 듯합니다.
실제로 이러한 온라인 신분 도용은 빈번히 발생하고 있으며 연예인과 같은 유명인뿐만 아니라 일반인들도 도용 대상이 되기도 합니다. 온라인 공간에서 나의 사생활을 일일이 공개하는 것에 경계심을 가져야 할 이유입니다.
② 내가 ‘진짜 나’임을 증명하는 방법
다음으로 빨간 모자 이야기의 할머니처럼 목소리 한 가지만으로 빨간 모자임을 확인하는 건 매우 취약해 보입니다. 내가 ‘진짜 나’임을 증명하기 위해, 상대방이 ‘진짜 상대’임을 확인하기 위해 안전하고 다양한 방법으로 인증이 필요합니다.
온라인에서 인증하는 기본적인 방법은 아이디와 비밀번호를 조합하여 확인하는 것입니다. 이는 가장 일반적으로 사용하는 기술이나, 해킹으로 인한 정보 유출 및 도용 등의 부정 사용을 방지하기 위해 ‘Two Factor 인증’을 도입하는 사례가 늘고 있습니다.
인증은 자신이 알고 있는 것 (what you know 예: 비밀번호), 자신이 소유한 것 (what you have 예: OTP), 자신 그 자체 (what you are 예: 지문) 이렇게 3가지 요소로 구분할 수 있습니다. 이 중 하나의 요소만 이용하는 단일 인증은 취약할 수 있기에 서로 다른 2개의 방식을 조합하는 ‘Two Factor 인증’으로 보안성을 향상할 수 있습니다. 인터넷 뱅킹을 통한 계좌 이체 시 비밀번호와 OTP 2가지를 입력하는 경우가 이에 해당합니다.
● Solution
온라인 인증의 경우 아이디 및 비밀번호가 유출되지 않도록 관리하는 것이 중요합니다. 비밀번호는 안전한 수준으로 조합해 사용해야 합니다. 현재 비밀번호 조합 시 영문 대•소문자, 숫자, 특수문자 중 2가지를 조합한 경우 10자 이상, 3가지 조합의 경우 8자 이상이면 높은 보안 수준으로 설정했나 확인이 필요합니다.
하지만 비밀번호의 안전성은 해킹 기술이 발전할수록 더욱 강화된 수준을 요구하기에, 시대의 변화에 맞춰 그에 맞는 보안 수준으로 관리하여야 할 것입니다. 추가 인증이 가능하다면 해당 기능을 적극 활용하는 것이 보안을 강화하는 방법이겠죠?
온라인 신분 도용의 경우 현재 국내법 상 신상 도용만으로는 처벌이 불가능하며 국외 SNS의 경우 사실상 국내 경찰 수사가 불가합니다. 따라서 SNS에서 제공하는 보안 기능을 적극적으로 활용해 스스로 개인정보를 지켜야 합니다.
SNS에서 모르는 사람의 친구 요청은 수락하지 않도록 합니다. 프로필이나 사진을 공개할 경우 공개 범위를 전체 공개가 아닌 친구에게만 공개하는 기능을 활용하는 것이 좋습니다. 또한 내가 나온 사진을 관리하는 기능이나 지난 게시물 공개 범위를 제한하는 등 추가 기능을 적극적으로 활용하도록 합니다.
만약 내 신분이 도용당한 경우에는 해당 SNS 고객센터에 신고하여 상대 계정을 삭제하는 등의 방식으로 해결 가능합니다. 신상도용으로 사기와 같은 불법행위가 증명될 경우에는 방송통신심의위원회를 통해 시정 요구를 할 수 있습니다.
● Replay
다시 빨간 모자 이야기로 돌아와 봅시다.
늑대는 빨간 모자의 목소리를 흉내 내어 말합니다.
“할머니, 빨간 모자가 왔어요. 문 좀 열어 주세요.”
“네가 진짜 빨간 모자라는 걸 증명해 보렴. 이름은? 네가 태어난 일시 분초는? 할머니와 찍은 사진 좀 보여 주겠니? 손가락에 점 좀 보자.”
” … ” (늑대 도망)
빨간 모자가 개인정보를 중요하게 생각했다면 어땠을까요? 이 시대에 사는 우리들은 현명한 빨간 모자가 되어 새로운 이야기를 써야 합니다. 개인정보를 소중하게 여기고 이를 지킬 수 있는 분별력을 갖춰 스스로 내 정보를 지켜야 하겠습니다. 그래서 새로 쓰는 동화에서는 늑대가 활보할 마음조차 갖지 못하는 이야기를 만들어 봅시다.
지금까지 온라인 공간상 개인정보보호를 위한 고려 사항에 대해 이용자 관점에서 이야기해 보았습니다. 사업자가 지켜야 할 개인정보보호 사항에 관해서는 향후 다루도록 하겠습니다.
글 l LG CNS 보안컨설팅팀
