대부분 서비스 제공자의 부주의와 무지에서 시작


먼저 한 가지 사례를 살펴보기로 한다. 최근에 모바일 운전면허 확인 서비스가 시작되었다. 관련 기관들이 내놓은 자료를 종합해 보면 이 서비스는 이동통신 3사가 경찰청 등과 협력하여 상용화한 서비스이다. 이동통신 3사가 제공하는 PASS 앱을 이용해 내 놓은 모바일 운전면허 확인 서비스는 당분간 편의점 등에서 성인 인증 활용 용도로도 사용할 수 있다. 또한 지난 1일부터는 전국의 운전면허시험장 27개소에서도 운전면허증 재발급과 국제운전면허증 발급 시 실물 신분증 대신 ‘모바일운전면허 확인 서비스’로 민원 업무를 할 수 있게 되었다. 더 나아가 앞으로는 국내선 비행기 탑승 시 신분증으로 활용될 수 있도록 추진할 계획이라고 한다.

이 서비스는 지난해 9월 과학기술정보통신부의 ICT 규제샌드박스를 통해 모바일 운전면허 확인 서비스에 대한 규제 임시 허가를 획득하여 제공되는 서비스이다. 블록체인 기술을 활용했을 뿐만 아니라 이동통신 3사와 운전면허시스템 서버 간 전용선을 구축하고, 전체 통신 구간 암호화를 적용하여 외부 공격에 대비하여 보안을 강화했다고 한다. 아울러 사용자 본인 명의의 스마트폰 1대에 1개의 이동통신사를 통해서만 등록이 가능하고, 일정 시간이 지나면 QR코드, 바코드가 초기화되고, 움직이는 화면으로 구성 및 캡처 방지 기술이 적용되어 도용을 방지할 수 있도록 설계되었다고 한다. 또한 기본 화면에는 기본 화면에는 이름, 사진, 인증용 QR코드 바코드만 보여 생년월일이나 주소 등의 정보가 노출되지 않아 개인정보도 안전하게 보호한다는 주장이다.

기술만으로는 정보보안 문제 해결 불가


‘모바일 운전면허 확인 서비스’의 사례를 살펴 본 이유는 간단하다. 이동통신 3사, 경찰청 등에서 전문가들이 다양한 기술을 활용하여 내놓은 서비스이기에 우리는 정보보안이 거의 완벽할 것이라고 여기게 되는데, 그렇지 않다는 점을 이야기하기 위해서이다. 정보보안에 대한 이동통신 3사의 주장은 대체로 일치한다. 이동통신 한 회사에서 정보보안과 관련하여 다음과 같이 언급한 내용들이 있다. 개인정보 유출에 대해서는 “PASS 모바일운전면허 확인 서비스는 블록체인 기반으로 위변작이 현실적으로 불가능하며, 개인정보는 통신사에서 저장조차 하지 않습니다. 고객의 개인 휴대폰(단말기)에만 개인정보를 저장하며, 저장할 때도 가장 안전한 휴대폰(단말기) 안전영역 WBC 암호화솔루션을 통해 저장합니다”고 주장하고 있다.

휴대폰을 분실하는 경우에 대해서는 “휴대폰을 분실하면 제일 처음 하는 행동이 분실신고인데요. 분실 신고 시 PASS 앱 접속 자체가 불가능합니다. 또한 휴대폰 분실 시 PASS 앱은 생체인증/PIN을 통해 안전하게 보안처리 되고 있어 지문 혹은 PIN을 알아야 PASS 앱 접속이 가능합니다. 마지막으로 비밀번호를 5번 이상 틀릴 경우 PASS 앱 자체가 초기화되고, 저장된 정보가 모두 삭제되니 염려하지 않으셔도 됩니다”라고 주장한다. QR이나 바코드 도용에 대하여는 “기본적으로 모바일운전면허 확인 서비스로 생성된 QR/바코드는 캡처방지솔루션이 적용되어 있어, 안드로이드, iOS 폰 모두 캡처가 불가능합니다. 또한 사진으로 옆에서 찍더라도 QR/바코드 유효시간이 있어, 실제 사용처에서 POS로 인식하는 곳까지 가져가서 도용하는 것이 현실적으로 어렵습니다”라며 도용 가능성이 없다고 이야기한다. 결론적으로는 “모바일운전면허 정보는 고객님의 휴대폰 내 안전한 영역에 암호화되어 저장되며, 보안솔루션을 통해 해킹 및 중요정보 유출에 대비하고 있습니다. 뿐만 아니라, 블록체인을 통해 데이터 위조를 방지하는 등 최신 기술을 적용하여 각종 보안 위험으로부터 안전하게 보호하기 때문에 해킹이나 도용 등의 걱정도 없습니다”라는 주장이다.

이러한 주장들을 보면 정보보안에 대해 특이할 만한 문제는 없는 것으로 보여 진다. 그러나 조금만 주의 깊게 살펴보면 ‘모바일 운전면허 확인 서비스’는 해킹이나 도용, 불법 사용 등에 쉽게 노출될 수 있음을 알 수 있다. 더 나아가 안전하다고 주장한 발표 내용 속에 취약점이나 문제점을 그대로 드러내는 소홀함마저 보이고 있는 것이다. 그 중 눈에 띄게 심각해 보이는 것이 있다. “또한 사진으로 옆에서 찍더라도 QR/바코드 유효시간이 있어, 실제 사용처에서 POS로 인식하는 곳까지 가져가서 도용하는 것이 현실적으로 어렵습니다”라는 대목이다. 간단하게 정리하면 QR이나 바코드 사진을 찍어 사용이 가능하다는 점이다. 이 문제는 사실 심각하다. QR이나 바코드의 수명을 30초로 제약을 두고 있지만 정보통신 환경에서는 도용이나 불법 사용을 하는데 있어서는 상당히 긴 시간에 해당된다. 이러한 수준의 상태에서 비행기 탑승 시 신분증으로 활용하는 서비스에 이용하는 것은 매우 위험하다. 모바일 운전면허증의 도용 가능성이 높기 때문이다. 즉 출입 통제 목적으로는 부적합하다는 것이다. 이 점은 ‘모바일 운전면허 확인 서비스’와 같은 종류의 서비스에서 상존하는 문제이다. 그런데도 이를 해결할 만한 대안을 마련하지 않은 채 서비스를 내놓은 것이다.


소프트웨어 개발 단계에서 변화 필요


정보보안의 문제는 이렇게 잉태가 된다. 대부분 예상이 된 문제점을 간과한 데서 비롯되는 것이다. 그런데 이러한 문제점들은 위의 사례에서처럼 쉽게 노출되기도 하고 상당한 주의를 기울여야 파악할 수 있기도 한다. 다만 ‘모바일 운전면허 확인 서비스’ 사례처럼 보안에 대하여는 국내 최고 수준의 기업들과 전문가들이 내 놓은 경우에서 발생하고 있다는 점은 우리나라 보안 수준을 적나라하게 표출하고 있다는 관점에서 심각한 문제이기도 하다. 우리나라는 정보보안의 문제를 대부분 기술적인 부분에서 찾는 경향이 강하다. 좋은 기술, 안전한 기술을 사용했으므로 정보보안에 충실함을 내세운다. ‘모바일 운전면허 확인 서비스’ 사례에서도 예외는 아니다. 블록체인, 암호화솔루션, 캡처방지솔루션, 생체인증 등을 언급한다. 그러나 정보보안의 문제는 이러한 기술들을 어떻게 연결하여 사용하느냐의 부분에서도 많이 발생하다. 아울러 서비스를 사용하게 되는 사람과 그 대상인 기계간의 사용 절차에서도 발생한다. 종합적인 지식과 사고가 필요한 이유이다. 정보보호관리체계가 기술적인 분야, 물리적인 분야, 관리적인 분야를 종합적으로 다루는 배경이기도 하다.

기본적으로 정보서비스의 보안 수준을 높이기 위해서는 그 근간이 되는 기술적인 역량을 강화시켜야 한다. 이는 정보보안 인력에서 찾아서는 안 된다. 우리나라 전체 보안 인력은 과학기술정보통신부에 따르면 2020년 현재 13만5000여 명에 달한다고 한다. 이러한 인력의 규모를 2025년까지 매년 6000 명씩을 양성하여 16만5000여 명 규모로 늘릴 계획이라고 한다. 정부가 정보보호 인력을 양성하는 것은 취약한 우리나라 정보보호 수준을 세계적인 수준으로 끌어올리기 위함이다. 또한 정보보호 산업을 육성하겠다는 취지이기도 하다. 바람직한 정책 방향으로 볼 수 있다.

그러나 더 중요한 것은 소프트웨어를 개발하는 인력이 정보보호 등을 함께 다루도록 하는 것이 우선이다. 소프트웨어를 전공하는 인력들이 정보보호에 보다 많은 관심을 갖도록 유도하는 것이 필요하다. 소프트웨어나 인공지능 분야의 인재양성 등 다양한 영역에 정보보호가 내재화될 수 있도록 정보보호 교육 확대하겠다는 정부의 정책 방향을 보다 강화해 나가야 한다. 정보보안에 취약한 개발 인력이 만들어 내는 소프트웨어로는 아무리 많은 정보보호 인력이 있다 하더라도 대처하기 힘들다. 기초가 부실한 상태에서는 할 수 있는 것이 많지 않게 때문이다. 수많은 소프트웨어 개발 기업들의 문제도 심각하다. 보안을 무시한 채로 양산해 내는 서비스는 그 서비스 규모가 확대될수록 더 큰 문제를 야기하는 것이다. 정부가 이러한 중소기업들에게 정보보안 교육 등과 같은 지원을 강화해야 한다.

정부의 시장 개입을 줄여야


다음으로 서비스를 시장에 내놓기 전에 정보보안에 대한 종합적인 점검을 반드시 하도록 하는 분위기 조성이 필요하다. 서비스 시장에서 제품에 대한 점검은 반드시 전문가들의 손을 거쳐야 한다. 민간 시장에서 자율적인 정보보안 제품 인증제도가 만들어져야 한다. 지나친 정부주도의 인증 체계는 시장을 위해 바람직하지 않다. 과학기술정보통신부 등이 운영하는 정보보호관리체계 인증 등의 업무도 과감하게 민간에 맡겨야 한다.

우리나라 정보보안은 지난 30여 년간을 정부주도로 이끌어 왔다고 해도 과언이 아니다. 정부에서 제시하는 각종 제도 속에서 안주해 온 것이다. 각종 고시나 가이드라인 등으로 표출되었고 서비스 기업들은 이러한 제도나 가이드라인을 준수하는 것으로 각종 사고의 책임에서 벗어나는 발판을 삼아 안주하기도 했다. 금융 분야를 비롯하여 각종 정보통신 서비스 사업자들에게는 그러한 제도들이 오히려 정보보안 수준을 강화하는데 걸림돌이 되었음은 자명한 일이다. 개인정보 유출이나 크고 작은 해킹 사건이 발생해도 크게 책임질 일이 거의 없었다. 그러한 피해는 고스란히 서비스 이용자에게 전가되었다. 개인정보 해킹으로 인하여 보이스 피싱 등 각종 2차 피해를 당하는 것도 여기에 해당된다.

끝으로 정보보안에 대한 사회적 인식의 변화가 필요하다. 정보보안에 대한 개념도 바뀌어야 한다. 정보보안 사고 그 자체를 다루기 힘든 사안으로 여겨서는 안 된다. 정보보안에 대한 문제 발생은 한 마디로 제품의 하자이다. 부실한 서비스가 되는 것이다. 이용자가 일일이 정보보안에 대하여 알 필요마저도 없을 정도가 되어야 한다. 보안 사고라는 모호한 표현을 사용함으로써 정보 기술에 익숙하지 않은 소비자를 기망하는 행위일 수도 있다. 정보보호 사고가 나면 알 수 없는 원인을 파악하는 데 모든 초점이 모아지는 경향도 문제이다. 각종 분야에서 진행되고 있는 정보서비스가 우리의 일상으로 변한지 오래이다. 마찬가지로 정보보안도 이용자에게는 그렇게 여겨져야 한다. 세부적인 내용은 전문가에게 맡겨져야 한다.

정보 서비스에서 정보보안 문제가 발생하지 않도록 하는데 우선 초점을 두어야 한다. 기업의 몫이다. 이제는 정부가 시장에 개입하는 것은 대폭 줄여야 한다. 시장에서 발생하는 문제는 전문가에게 맡겨야 한다. 그래야 정보보호 산업이 활성화되고 서비스의 품질도 올라가게 된다는 점을 모두가 인식해야 한다.



● 한호현 (테크칼럼니스트·공학박사)

- 한호현은 정보통신분야 공학박사로 국회 4차산업혁명특별위원회 위원, 금융위원회 금융발전심의회 위원 등 다수의 기관에서 전문가로 활동하고 있다. 또한 정보통신산업진흥원 총괄본부장을 역임하였으며, 정보통신부, 현대정보기술 등 공공, 기업 등 다양한 분야에서 정보통신 관련 다양한 실무 경험도 갖고 있다.



주간한국