* 인터뷰를 인용보도할 때는
프로그램명 'CBS라디오 <김현정의 뉴스쇼>'를
정확히 밝혀주시기 바랍니다. 저작권은 CBS에 있습니다.
======================================================



■ 방송 : FM 98.1 (07:00~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 고려대 정보보호대학원 김승주 교수

얼마 전 네이트와 싸이월드에서 벌어진 대량의 개인정보 유출사태. 자그마치 3500만 명의 비밀번호, 주민번호, 휴대폰, 주소까지 해킹이 되면서 2차 피해가 우려되고 있습니다. 잊을 만하면 유사한 사건이 계속 터지고 있죠. 이럴 때마다 나오는 것이 비밀번호를 바꾸라는 이야기입니다. 한국인터넷진흥원에서도 어제부터 비밀번호 바꾸기 캠페인을 추진한다고 하는데요. 비밀번호만 다 다르게 바꾸면 안심해도 되는 건가, 아니라는 얘기가 나옵니다. 국내 암호화기술의 최고 권위자이십니다. 고려대 정보보호대학원의 김승주 교수 만나보겠습니다.

◇ 김현정> 일단 대규모, 대기업 사이트들이 왜 이렇게 쉽게 뚫리는 겁니까?

◆ 김승주> 일단 근본적인 이유로 우리나라 경우는 중소기업이나 대기업, 정부부처 모두가 외국에 비해서 보안투자가 좀 인색한 편입니다. 외국 같은 경우에는 처음에 어떤 서비스를 개시하기 전에 보안을 충분히 고려해서 하는 반면, 우리나라 같은 경우는 일단 서비스를 개시합니다. 그리고 문제가 생기면 그때그때 고쳐나가는 식이 많아서요. 좀 땜빵식의 보완대책을 세우는 일이 많습니다.

◇ 김현정> 교수님이 직접 2006년에 네이트 메신저를 해킹 테스트 해 보신 적이 있으시다고요. 그때도 쉽게 뚫렸습니까?

◆ 김승주> 그때도 일반인들이 많이 쓰는 메신저에 대해서 해킹을 시도했던 적이 있습니다. 그때 네이트온 메신저 수가 굉장히 많기 때문에 시도를 해 봤고요. 그때 생각보다 쉽게 다른 사람 계정으로 로그인해서 친구로 등록돼 있는 사람들의 개인정보를 훔쳐낼 수가 있었습니다. 그 당시 저희가 하면서 대기업임에도 불구하고 보안설계가 좀 허술하다, 그런 생각을 사실 했습니다.

◇ 김현정> 그쪽에 얘기를 했었는데 달라진 것은 없나요?

◆ 김승주> 저희가 그런 것들을 논문으로 발표하고 나서 언론에 좀 나왔습니다. 그후에 바로 그 쪽에서 조치를 취하긴 했었는데요. 저희는 어떤 문제가 있다고만 말씀드렸고 그것이 어떻게 조치가 취해져서, 또 어떤 식으로 바뀌었는지는 사실 저희한테 자문이나 어떤 통보가 없었습니다.

◇ 김현정> 이렇게 해킹을 당하면 내 이름, 전화번호, 주소 다 새어나가는 건데, 지금 어떤 피해가 우려되는 거죠?

◆ 김승주> 1차적으로는 노출된 주소나 전화번호, 그 다음에 이메일 등을 통해서 광고성 스팸메일이 올 수가 있습니다.

◇ 김현정> 그 다음 2차적인 것은 어떤 겁니까?

◆ 김승주> 아는 사람을 사칭해서 보이스피싱, 즉 사기 전화가 올 수 있습니다. 그런데 제일 심각한 것은 만약에 주민등록번호까지 해킹에 의해서 유출이 된다고 하면 우리나라 같은 경우에는 비밀번호를 바꿨다 하더라도 실명하고 주민번호만 알면 다시 비밀번호를 찾을 수가 있습니다.

◇ 김현정> 제가 어떤 사이트에 들어가서 비밀번호 잊어버렸다고 하면 실명과 주민번호를 입력하라고 나오는 것을 말씀 하시는거죠?

◆ 김승주> 맞습니다. 그런 것들이 사실 가장 심각한 문제가 되겠습니다.

◇ 김현정> 그러면 주민번호와 실명만 알면, 또 해킹 범죄자가 마음만 먹으면 다 뚫을 수 있다는 얘기네요?

◆ 김승주> 최악의 경우 그럴 수도 있죠.

◇ 김현정> 그러면 지금 다른 사이트의 비밀번호를 다양하게 바꾸라는 캠페인과도 사실 따지고 보면 확실한 대응책이 아니라는 말씀이네요.

◆ 김승주> 그렇죠. 일단 비밀번호를 바꾸는 것은 어떤 임시방편적인 대책이고요. 근본적으로 우리나라는 주민번호를 굉장히 과다하게 요구하고, 그 다음에 그 주민번호를 이용해서 할 수 있는 서비스가 너무 많습니다. 그래서 일단 임시방편으로 주민번호를 변경하는 게 우선이지만 정부에서는 조금 중장기적인 대책을 갖고, 주민번호 사용을 줄이는 일에 착수해야 된다고 보고 있습니다.

◇ 김현정> 그런데 우리는 왜 회원가입을 할 때 꼭 이렇게 주민번호를 요구하는 거죠? 외국에는 그렇지 않다면서요?

◆ 김승주> 우리나라 경우에는 일단 주민등록번호를 이용해서 실명확인도 하지만, 주민등록번호를 이용한 비즈니스 모델이 발달 되어 있습니다. 예를 들면 일단 주민등록번호가 있으면 나이를 확인할 수가 있고요. 그 다음에 성별을 확인할 수 있습니다. 이 두 가지를 확인할 수 있으면 마일리지 서비스를 할 수 있거든요. 마일리지 서비스랑 연계된 상품들이 많기 때문에요.

◇ 김현정> 마일리지 서비스라는 것이 어떤 건지 조금만 자세하게 말씀해주시죠?

◆ 김승주> 우리 사이트에 가입한 지 몇 년 됐으면 무슨 상품을 준다든가, 아니면 오늘 생일인 사람은 선착순 10명한테 상품을 준다든가, 이런 것들이 많이 개발되어 있거든요.

◇ 김현정> 마케팅에 이용을 하는 거군요?

◆ 김승주> 그렇죠. 그러다 보니까 주민등록번호를 쉽사리 포기 안 하는 겁니다.

◇ 김현정> 저는 실명확인을 해서 나쁜 악플 다는 것을 가리려고 하는 건 줄 알았는데, 꼭 그런 이유만은 아니군요?

◆ 김승주> 제가 옛날에 정부기관에 근무했을 때도 업체들에게 주민등록번호를 포기해야 된다고 얘기를 하면, 비즈니스 모델의 영향을 받아서 곤란하다는 응답이 사실 제일 많았습니다.

◇ 김현정> 그 이유 때문이군요. 그러면 주민번호를 포기하는 그 작업이 하루아침에 바뀌진 않을 거예요. 지금 우리 인터넷현실에서 네티즌들이 할 수 있는 최대한의 해킹 예방법은 뭐가 있을까요?

◆ 김승주> 일단은 제일 간단한 것이 비밀번호 관리를 좀 신경 쓰는 겁니다. 그런데 문제는 우리가 보통 얘기할 때 가급적 복잡한 비밀번호를 사용하고, 여러 사이트에서 동일한 비밀번호를 사용하지 말라는 이런 조건들이 있거든요. 이렇게 할 경우, 기억하기가 쉽지 않다는 문제도 있습니다.

◇ 김현정> 저도 사실은 6, 7개 자리를 쓰다가 이렇게 되니까 한 10개쯤 바꿔보려고 했는데 기억이 안 나요. (웃음)

◆ 김승주> 그래서 외국 같은 경우에는 비밀번호를 쉽게 변경할 수 있는 어떤 가이드라인을 많이 알려주고는 하는데요. 짧은 문자가 아니라 문장을 기억하는 겁니다. 예를 들면 백설공주와 일곱 난장이, 이런 문구를 수정한 다음에요. 이것을 백설 플러스(+) 숫자 7 난장, 이런 식으로 변형을 합니다. 이러면 특수문자랑 숫자가 적절히 섞여져 있죠. 그 다음에 맨 뒤에다가 사이트의 이름을 붙이는 겁니다. 예를 들어서 CBS에 가입을 하려면 백설 플러스(+) 숫자 7 난장, 뒤에다 영어로 CBS, 이런 식으로 하는 겁니다. 그렇게 해 놓으면 복잡하고 사이트마다 비밀번호도 달라지고요. 이런 팁들이 조금은 있습니다.

◇ 김현정> 내가 좋아하는 동화책 하나 정해서, 소설책 하나 정해서 그것을 암호화한 다음에 뒤에다가 네이트면 네이트, CBS면 CBS 이렇게 붙여주는 방식, 이렇게 하면 얼마든지 긴 문장도 기억이 나겠어요. 그리고 네이트는 백설공주, 네이버는 신데렐라, 이런 식으로 다양하게 할 수도 있고요. 그런 방법이 있겠네요. 지금 우리나라의 개인정보보호 시스템을 보면서 정말 이것만큼은 시급하게 바뀌어야 하는 게 있다면 어떤 걸까요?

◆ 김승주> 일단 법제도 문제가 제일 시급합니다. 우리나라 같은 경우에는 법에 무슨 보안제품을 설치하라는 식으로 명시가 돼 있습니다. 그런데 법이라는 게 기술의 발전 속도를 따라 갈 수가 없거든요. 그러다 보니까 법 만들어지고 난 다음에 금세 몇 년 있다가 또다시 대형해킹사고가 발생을 하는 겁니다. 외국 같은 경우에는 각 업체가 업체 사정에 맞게 최선을 다해서 능동적으로 대책을 수립하라, 단 사고가 나면 굉장히 많은 과징금을 물리겠다라는 식으로 돼 있습니다. 그래서 이런 식으로 외국처럼 능동적으로 업체가 움직이게 하는 식으로 제도가 개선돼야 하겠습니다.

◇ 김현정> 알겠습니다. 여기까지 오늘 말씀 듣겠습니다. 귀한 시간 고맙습니다.