예고된 해킹 사고…‘보안 땜질’만 할건가

[김재섭 기자의 뒤집어보기] 구멍 뚫린 ‘공공 아이핀 시스템’

“결국 터졌네요.”

‘공공 아이핀(i-PIN) 시스템’이 해킹 당해 아이핀 75만건이 부정 발급됐다는 정부 발표에 대한 시민단체 쪽의 반응이다. 한결같이 “처음부터 예상됐던 것”이라고 했다. “민간 아이핀 시스템은 안전하다”는 미래창조과학부 쪽의 해명에 대해서도 “시간문제일뿐”이라고 일축한다.

정부는 이번 사고의 원인을 ‘해킹’ 탓으로 몰아가는 모습이다. 진보네트워크센터 같은 시민단체들은 주민등록번호 유출 및 도용을 막기 위해 온라인 본인 확인 수단을 아이핀으로 바꾼다는 정부 방침이 나왔을 때부터 ‘파출소 피하려다 경찰서 만나는 꼴’을 당할 수 있다고 비판했다. 아이핀 발급 및 관리 과정에서 주민등록번호가 축적돼 더 큰 재앙을 부를 수 있다며, 유출된 주민등록번호 교체 허용과 온라인 본인 확인 절차 삭제가 대안이라고 지적했다.

정보화의 첫 단계이자 가장 중요한 부분은 ‘업무 처리 절차 재설계’(BPR)이다. 정보기술 접목에 앞서 정보화 사회에 맞춰 업무 방식을 재설계해야 한다. 이 작업을 제대로 하면 온라인 본인 확인 절차는 존재할 수 없다. 예를 들어 신용카드를 선불카드로 바꾸고, 후불제로 돼 있는 이동통신 요금의 징수 방식을 선불제로 바꾼다면, 엄격한 본인 확인 절차가 필요없어진다. 남을 사칭해서 얻을 게 없고, 사칭을 당해도 피해가 크지 않기 때문이다. 인터넷 간편 결제가 대표적이다.

하지만 우리나라 정부는 정보화 효과의 우선 순위를 정보기술(IT) 시장 창출을 통한 산업 육성에 뒀고, ‘산업화는 늦었지만 정보화는 앞서가자’며 추진 속도를 강조한 나머지 업무 방식 재설계 작업이 제대로 되지 못했다. 그 결과 정보화 뒤에도 업무 방식은 크게 달라지지 않았고, 창구 등에서 얼굴을 보며 하던 본인 확인 절차 역시 그대로 온라인으로 옮겨졌다. 그 대가는 해킹과 정보인권 침해 등으로 치러지고 있다. 개인정보 유출 및 도용 사태와 이번 아이핀 시스템 해킹 등도 거기에 포함된다.

전문가들은 공공 아이핀 시스템 해킹 사고 뒷처리와 사물인터넷·빅데이터 정책을 펼 때 이 부분을 명심하고 또 명심해야 한다고 지적한다. 만약 인터넷 보안을 책임지고 있거나 실무를 담당하는 누군가가 시민단체 쪽의 충고를 ‘조롱’ 내지 ‘잔소리’로 들어 귓등으로 흘린다면, 그가 몸담고 있는 정부기관이나 기업의 보안은 이미 언제든지 해킹을 당해 뚫릴 수 있는 상태에 놓여있다고 해도 크게 틀리지 않는다.

해킹과 보안의 관계는 창과 방패 사이와 같다. 해킹이 보안 기술을 높이고, 보안이 해킹 기술을 발전시킨다. 또한 세상에 존재하는 보안시스템 가운데 해킹에 뚫리지 않는 것은 없다. 시간과 여건만 충족되면 다 뚫린다. 세계 최고 수준의 보안 상태로 평가되거나 해킹 결과가 사회적으로 큰 파장을 일으킬 것으로 예상되는 순간, 해커는 노리고 곧 뚫리게 마련이다.

김재섭 기자

하지만 정부는 아이핀 시스템 해킹 사고에 대한 대응 방안으로 여전히 ‘보안 땜질’을 앞세우고 있다. 진보네트워크센터와 경실련 등이 잇따라 성명을 내어 업무 방식의 재설계를 통해 온라인 본인 확인 절차가 필요없게 하는 게 최선책이라고 울부짓다시피하고 있지만, 아랑곳하지 않는 모습이다.

김재섭 기자 jskim@hani.co.kr