신용카드 회사의 회원 개인정보가 유출된 사건이 한국사회를 뒤흔들고 있다. 사건의 원인이 최소한의 기본조차 지켜지지 않은 어처구니없는 보안수준에 있었음이 드러나면서 국민적인 분노가 확산되는 모습이다.
범인이 오랜 시간에 걸쳐서 민감한 고급정보를 USB에 담아서 열심히 빼내가는 것을 아무도 모르고 있었던 것이다. 카드정보의 부정사용을 방지하기 위한 시스템을 개발하는 업무를 맡은 외부직원이 시스템을 개발하는 동안 ‘짭짤한 과외수입’을 벌기위해서 벌인 일이라고 하니 막장도 이런 막장이 없다. 부정을 방지하는 업무를 맡은 개발자가 부정의 씨를 온 세상에 흩뿌렸다.
이미 노출된 개인정보만이 문제가 아니다. 보안 불감증이 이 정도 수준이라면 아마 시스템을 구성하고 있는 소스코드도 오래 전에 유출되었을 가능성이 높다. 그런 코드는 아마도 중국이나 우크라이나, 혹은 러시아 등지에 있는 해커들이 입수해서 심심풀이 땅콩처럼 가지고 노는 연습용 프로그래밍 대상이 되었을지 모른다.
초보적인 수준의 해커들조차 눈앞에 펼쳐진 소스코드를 읽으면서 ‘부정사용방지 시스템’을 우아하게 우회할 수 있는 프로그램을 어렵지 않게 작성할 수 있었을 것이다.
미국에서 살면서 주로 비자카드를 사용하고 있는 나는 카드회사가 사용하는 ‘부정사용방지 시스템’의 도움을 얻은 적이 두 번 정도 있었다. 한 번은 누가 영국에서 내 카드를 이용해서 공연 티켓을 사다가 시스템에 적발되었다.
카드사는 곧바로 내게 전화를 해서 확인을 했다. 내가 입은 피해는 없었다. 다른 한 번은 누가 뉴욕에서 내 카드로 아기 장난감을 샀다가 시스템에 걸렸다. 역시 피해는 없었다. 나는 찜찜해서 카드번호를 바꾸고 싶다고 말했는데, 카드사에서는 얼마든지 그렇게 하라고 하면서도 굳이 바꿔야 할 필요는 없다고 조언했다. 나는 번호를 바꾸지 않았고 지금까지 아무 문제없이 사용하고 있다.
카드번호가 유출되는 것은 사실 막기 어려운 일이다. 일례로 미국에서도 최근에 타깃이라는 잡화점과 니만 마커스라는 고급백화점이 보유하고 있던 엄청난 분량의 카드거래 내역이 해킹되어서 러시아 해커들 손에 넘어가는 사건이 있었다. 해킹에 사용된 소프트웨어는 불과 17살짜리 해커가 작성한 간단한 해킹 프로그램이었다고 한다.
컴퓨터 해커가 아니라고 해도 다른 사람의 카드번호를 손에 넣는 것은 마음만 먹으면 어려운 일이 아니다. 그렇기 때문에 문제는 카드번호가 유출되었는지 여부가 아니라, 카드가 사용되는 패턴을 모니터링 하다가 조금이라도 정상적인 패턴에서 벗어나는 것처럼 보이면 그것을 검출해서 확인하는 부정사용방지 시스템의 ‘지능’이다.
그리고 그러한 시스템을 적극적으로 활용해서 고객을 보호하려고 하는 카드회사 자체의 성의와 노력이다.
내가 이번 사태를 보면서 화가 나는 지점이 바로 여기다. 미국 카드회사의 경우에는 부정을 방지하는 시스템을 구축하기 위해서 수천, 수만 명의 박사급 엔지니어를 동원해서 데이터 분석 알고리즘, 인공지능, 유전 알고리즘 등의 최첨단 기법을 쉼 없이 연구하고 개발한다.
알고리즘이 개발되면 축적되어 있는 방대한 분량의 실제 거래 내역을 대상으로 소프트웨어를 돌려서 몇 퍼센트의 검출능력을 보이는지 확인한다. 이러한 과정은 카드가 비정상적인 방법으로 사용되는 사례를 거의 완벽에 가까운 확률로 잡아내는 것을 목적으로 한다.
컴퓨터 시스템의 지능만이 문제가 아니다. 설령 부정한 사용이 소프트웨어에 의해서 미리 적발되지 않는다고 해도 카드주인이 카드를 사용한 내역을 꼼꼼하게 확인하다가 의심이 가는 부분에 대해서 일정한 시간 이내에 이의를 제기하면 카드회사는 아무런 불편 없이 곧바로 해결을 해준다.
오히려 걱정을 끼친데 대해서 사과를 하며 미안해할 정도다. 이렇게 첨단 소프트웨어와 철저한 고객서비스라는 두 개의 축으로 이루어진 부정사용방지 시스템이 체계적으로 작동을 하기 때문에 나는 별다른 걱정 없이 신용카드를 사용한다.
그런데 국민, 롯데, 농협의 경우에는 부정사용방지 시스템을 개발하는 개발자 본인이 고급정보를 유출했고, 회사의 책임자들은 사용자들에게 앞으로 각별히 ‘주의’를 하라며 꾸벅 인사를 하는 것으로 책임을 갈음하려고 한다. 소프트웨어는 우리를 배신했고, 고객서비스는 우리를 능멸했다.
신용카드 회사는 아니지만 월스트리트의 여러 투자은행에서 근무해본 나는 이러한 회사들이 내부의 데이터를 어떤 식으로 다루는 지에 대해서 경험한 바가 많다. 내부의 직원들이 민감한 데이터에 접근할 때 넘어야 하는 보안과 인증의 산은 높고도 험하며, 자기 업무와 직접 관련이 있는 분야가 아니라면 아예 데이터를 볼 수조차 없다. 데이터가 업무분야에 따라서 철저하게 구분이 되어 있고, 그 사이에는 “차이나월China Wall”이라는 장벽이 있어서 직위가 높은 사람도 마음대로 벽을 넘을 수 없다.
예를 들어서 내가 근무하는 부서에서는 여러 헤지펀드들이 거래를 수행한 내역을 확인할 수 있는 데이터를 다루고 있다. 하지만 은행 내부에서 직접 거래를 수행하는 부서의 사람들은 결코 그러한 데이터를 볼 수 없고, 보아서도 안 된다.
만약 내가 속한 부서의 사람이 그러한 데이터를 실수로라도 거래를 수행하는 부서의 사람에게 노출시키면 엄중한 문책을 받게 되므로 주의를 기울이기 마련이다. 그런 데이터를 이메일로 회사외부로 유출시키거나 USB와 같은 외부저장 장치로 옮기면 회사 내부에서 모니터링 시스템을 가동시키고 있는 보안팀이 즉각 출동한다.
이번에 발생한 사태에 대한 기사를 읽으면서 나는 신용카드 거래내역처럼 민감하고 중요한 데이터를 다루는 회사들이 데이터 사이에 ‘차이나월’은 고사하고 조그만 울타리조차 구축하지 않고 있음을 확인하게 되어 입맛이 썼다. 범인이 시스템을 개발하는 동안 모든 민감한 데이터에 아무런 장애가 없이 접근할 수 있었다고 하니 어이가 없을 뿐이다.
신용카드 회사에게 있어 부정사용방지 시스템이란 구글에게 있어서 검색엔진, 마이크로소프트에게 있어서 윈도 운영체제, 월가의 은행들에게 있어서 금융거래 시스템에 해당하는 핵심 자산이다. 고객의 신뢰를 통해서 경쟁력을 구축할 수 있도록 해주는 가장 중요한 업무분야인 것이다.
관련기사
- 카드3사 대규모 정보유출에 집단소송 진행2014.01.21
- "사이버 보안 위협 2000년 이후 최고 수준"2014.01.21
- 유출 정보 위변조 카드 대란 가능성 없나?2014.01.21
- 카드정보 유출방지 대책 "안심이 안되네"2014.01.21
그러한 핵심 자산을 개발하는 업무를 외부의 회사에게 맡겼다는 것부터 나는 이해가 되지 않는다. 그렇게 하면 개발비용이 줄어들기 때문이었을까? 그렇다면 신용카드 회사가 ‘부정사용방지’라는 업무를 핵심이 아닌 곁가지업무로 생각하고 있음을 반증하는 것이다. 그들을 신용카드 회사가 아니라 불신카드 회사로 불러야 마땅한 이유다.
데이터, 보안, 부정사용방지 시스템 등에 대한 이러한 회사들의 인식, 더 나아가서 소프트웨어 개발 일반에 대한 세간의 인식이 근본적으로 혁신되지 않는다면 이번에 벌어진 사태는 앞으로 일어나게 될 본격적인 아마겟돈의 서막에 불과할 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.