“현행 보안구조, 국민을 잠재적 범죄자 취급”

일반입력 :2011/08/16 14:51    수정: 2011/08/16 16:12

정윤희 기자

“현재 국내 보안 구조는 모든 접속자를 잠재적인 범죄자 취급하는 것과 같다.”

국내 인터넷 서비스 보안 구조의 문제점에 대한 지적이 나왔다. 최근 네이트-싸이월드의 3천500만명 개인정보가 유출된 가운데 인터넷 실명제, 전자상거래 외에도 보안 구조 자체에서 과도한 개인정보 수집을 조장한다는 주장이다.

이동산 페이게이트 이사는 16일 환경재단 레이첼카슨룸에서 열린 ‘3천500만명 개인정보 유출 사태의 원인 및 대책 마련을 위한 토론회’에서 이 같이 말했다.

이 이사는 “초기 접속시 다양한 개인정보를 요구해 확인하는 인증 방식은 이용자를 잠재적 범죄자로 취급하는 인식에 기인하는 것”이라며 “이러한 구조에서는 한 번 인증을 통과한 후에는 더 이상 자세한 통제를 하지 않는 서비스 구조를 유발한다”고 꼬집었다.

다시 말해, 보안 구조상에서 대부분의 선량한 이용자는 보호하고 비정상이용자만을 걸러내는 방식을 채택해야 함에도 불구하고 모든 접속자에 대해 과도한 인증 정보를 요구한다는 설명이다.

획일적인 보안체계 역시 문제다. 현재 우리나라 국민들의 대부분은 동일한 벤더의 운영체제를 사용하고, 동일한 브라우저를 이용하며 동일한 방식으로 보안구조가 설계된 사이트에 접속한다. 결국 해커 입장에서는 편리한 공격목표가 되는 셈이다.

이 이사는 “만약 전 국민의 본인확인 방식이 주민번호에서 아이핀으로 통일된다면, 이것 역시 구조적 취약점 중 하나가 될 것”이라고 지적했다.

지나치게 상세하게 명시된 보안 규정도 오히려 개인정보 보호의 발목을 잡는다. 현행 전자금융거래법 시행세칙에는 인터넷 뱅킹이나 전자상거래 지급결제시 이용자 PC에 키보드보안 프로그램이나 안티바이러스 소프트웨어를 접속시 우선적으로 설치하도록 강제한다. 이미 안티바이러스를 사용 중인 이용자도 예외 없이 은행에서 제공하는 안티바이러스를 깔아야 한다.

문제는 과도하게 상세한 규정이 보안기술의 발전을 따라잡지 못한다는 점이다. 이 이사는 “법규정에서 상세한 보안구성을 강제하는 것은 좋지만, 시간이 지나면서 새로운 창조적, 기술적으로 뛰어난 서비스가 나오는 것을 방해하는 요소가 된다”며 “보안규정은 신기술이 탄생하면 발 빠르게 업데이트 돼야하지만, 현실적으로는 쉽지 않다”고 말했다.

부처간 협업의 부재도 문제점으로 지적됐다. 이 이사는 “방송통신위원회와 금융감독위원회 2개 기관이 상호 협력해야 하는데, 부처간 업무영역을 구분해서 접근하는 것 자체가 넌센스”라고 말했다.

이러한 보안구조 문제점을 개선하기 위한 대안으로는 다양성 확보, 보안 컴프라이언스, 웹표준과 계몽 등이 제시됐다. 보안구조와 이용 환경을 다양화 하고, 실질적인 보안 감사 및 보증은 민간차원에서 실시해 다양하고 창의적인 서비스를 해야한다는 주장이다.

관련기사

또 별도 프로그램을 설치하지 않아도 사용 가능한 웹표준 기반의 서비스를 설계하고, 이용자가 프로그램 설치시 무조건 ‘예’를 클릭하지 않도록 하는 홍보의 필요성이 제기됐다.

이 이사는 “현재 국내 보안 구조는 국민을 멍청하고 피동적이며 잠재적 범죄자임을 전제로 구성됐다”며 “그러나 실제로는 국민은 선량하고, 우리가 생각하는 것보다 훨씬 똑똑하고 능동적”이라고 말했다.