최악의 카드 보안사고..."동의했지 않느냐"고?

신용카드 고객정보 유출 사건을 지켜보기만 했는데 답답해서 짚고 넘어갈까 합니다. 부총리가 했다는 말... “우리가 다 정보 제공에 동의해줬지 않느냐"고 했다는데, 대체 이게 무슨 말인가요? 대한민국 부총리 맞나요? 앞뒤 정황을 모르는 바는 아니지만 지금은 결코 이런 말이 나와선 안되지요. 사태의 심각성을 제대로 모르고 있는 게 아닌가 싶습니다.

저는 이번 사고가 밝혀진 후 최고수 해커와 자정이 넘도록 얘기를 나눴습니다. 해킹 또는 시큐리티와 관련해 자문해주는 사부이자 친구입니다. 이 친구 얘기를 듣고 많이 놀랐는데 신문에는 쓰지 않았습니다. 보안사고/해킹 사고는 기사 쓰기가 고약합니다. 기자가 현장을 직접 들여다볼 수도 없고, 해커가 들려준 얘기를 그대로 쓰기도 그렇고….



비유로 이야기를 시작하겠습니다. 파출소 무기고가 털렸습니다. 강도들이 총과 탄약을 모두 가져갔습니다. 그로부터 1년 후 경찰은 "무기고가 털렸는데 무기를 모두 회수했다"고 발표합니다. 한달쯤 후엔 "다시는 털리지 않게 하겠다"며 대책도 내놓고... 국민들은 '회수됐다니 다행'이라고 생각하겠죠. 이번 사고도 이렇게 마무리되면 좋겠습니다. 그래야죠.

하지만 의혹은 풀리지 않았습니다. 파출소에서 털린 총기라면 1년 뒤에도 100% 회수하는 게 가능하죠. 그러나 USB에 담아서 넘긴 디지털 파일은 다릅니다. 컴퓨터에 꽂자마자 복제할 수 있습니다. 더구나 맘씨 좋은 사람한테 넘어간 것 같지도 않고... 도대체 "전부 회수했다"고 말하는 근거가 뭔가요? 파일이 전혀 복제되지 않았다는 증거가 있나요?

제발 복제 파일까지 100% 회수됐길 바랍니다. 만약 1%라도 회수되지 않았다면 두고두고 문제가 됩니다. 제가 만난 해커는 “최악의 사고”라고 말했습니다. 유출된 19가지 정보에는 카드 번호, 카드 유효기간, 결제계좌, 이메일도 포함됐죠. 그렇다면 남의 이름으로 사이트에 가입하고, 대포폰 만들어 본인인증도 하고, 돈을 빼갈 수도 있다는 겁니다.



아직 2차 피해는 없다? 누가 이런 말을 했답니까? 파출소 털렸다고 사방에 군경이 깔렸는데 어떤 바보가 총 들고 은행 털러 나타납니까? 제가 만난 해커는 “3, 4년은 묵혀놓지 않겠느냐"고 하더군요. 까맣게 잊혀질 무렵부터 입수한 데이터로 못된 짓을 시작할 거라고. 구글플레이에서 앱을 사는 바람에 들통난 걸로 봐서는 하수로 보이긴 합니다만…

고객정보를 KCB에서 빼간 게 아니고 카드사에서 빼갔다는 말도 믿기 어렵습니다. 카드사는 고객정보를 암호화해야 하는 반면 KCB는 암호화가 의무사항은 아닙니다. 굳이 카드사까지 가서 암호화된 데이터를 훔쳐갈 이유가 있을까요? 민감한 데이터에 아무나 접근할 수 있고 USB에 담을 수 있다는 것도 코미디죠. 암호화조차 안한 게 아닐까요?

유출된 정보가 어떻게 악용될 수 있는지는 자세히 쓰지 않겠습니다. 제가 만난 해커는 한꺼번에 수억원을 빼가는 대형 사고보다는 낌새 채지 못하게 여러 사람한테 소액씩 지속적으로 빼가는 사태를 우려했습니다. 많은 사람이 피해자가 될 수 있겠죠. 특정인, 특정조직을 겨냥한 ‘타깃 공격’에 악용될 수도 있습니다. 국가기밀 산업기밀이 위험해집니다.



제가 만난 해커는 “최악의 보안사고"라고 했습니다. “대책이 없다"고 했습니다. 어떤 대책을 내놔도 19가지 정보를 쥐고 있으면 얼마든지 못된 짓을 할 수 있다는 겁니다. 그래서 정부 말대로 100% 회수됐길 간절히 바랍니다. 저도 이번에 털려서 화가 납니다. 누가 옆에서 “정보 제공에 동의했지 않느냐"고 말하면 주먹부터 날아갈 것 같습니다. [광파리]

                                                                 

미국은 “화웨이 못믿겠다", 중국은 “시스코 못믿겠다"

중국 화웨이가 최근 노키아를 인수하고 싶다는 의사를 밝혀 화제가 되고 있습니다. 화웨이가 노키아를 인수하면 삼성전자한테 큰 위협이 될 수 있습니다. 중국 레노버의 경우 2005년 IBM의 PC사업부문을 인수해 세계 2위 PC 메이커로 도약했고, 올해는 HP를 제치고 세계 1위가 될 수도 있습니다. 화웨이가 노키아를 인수해 노키아의 휴대폰 기술과 유통망을 손에 넣으면 스마트폰 시장에서 위협적인 존재가 될 수 있습니다.

화웨이가 노키아를 인수하려고 나서면 삼성 뿐만 아니라 미국도 상당히 긴장하지 않을까 생각합니다. 미국은 8년 전 레노버한테 IBM PC 사업이 넘어간 뒤 어떻게 됐는지 잘 알 테고... 수년 전 캐나다 통신장비 업체 노텔이 망해 매물로 나왔을 때 화웨이가 인수하지 못하게 은밀하게 방해했다고 알려지기도 했습니다. 화웨이가 미국 통신장비 시장에 진출하려고 의회 청문회에도 참석해 해명 했지만 번번이 고배를 마시곤 했습니다.

미국이 화웨이를 경계하는 이유를 저는 잘 모릅니다. 화웨이가 무슨 짓을 할지 의심스럽기 때문이라고 하는데… 국가 신경망인 통신망 구축을 중국 업체한테 맡길 수는 없다, 더구나 화웨이 배후엔 중국 인민해방군이 있다고 하지 않느냐… 이런 얘기입니다. 물론 화웨이 측은 펄쩍 뜁니다. 창업자가 인민해방군 정보장교 출신인 것은 맞지만 현재는 전혀 관계가 없다고 주장합니다. 그래도 미국은 화웨이에 대한 경계를 늦추지 않습니다.

화웨이는 서울올림픽 해인 1988년 광동성 선전에서 출발한 업체로 지금은 통신장비는 물론 스마트폰 시장에서도 ‘빅3’에 꼽힙니다. 최근에는 스마트폰 사업을 대대적으로 강화하고 있죠. 통신장비 시장에서는 무차별적인 저가 공세로 경쟁사들을 위협했고 결국 캐나다 노텔이 손을 들고 말았습니다. 노키아지멘스 등 경쟁사들은 고전하고 있죠. 바로 이 “괴물" 화웨이가 노키아를 인수해 스마트폰 사업을 더욱 강화하겠다는 겁니다.

그런데 어제는 새로운 얘기가 나왔습니다. 중국이 미국 통신장비 업체 시스코를 경계한다는 얘기입니다. 미국이 화웨이를 경계하기 시작할 무렵부터라고 하니 우연이 아니라고 합니다. 최근에는 중국 언론이 미국 테크(IT) 기업들을 경계해야 한다는 식으로 펌프질을 해대는가 봅니다. 짜고 치는 고스톱 같아 보이긴 한데... 자세한 내막은 모르겠지만 미국의 화웨이 경계에 대해 중국이 조직적으로 반발하는 듯한 양상입니다.

얘기는 이렇습니다. 미국 국가안보국(NSA) 요원인 에드워드 스노든은 최근 NSA가 구글 페이스북 애플 야후 등 미국 테크 기업들로부터 사용자 개인정보를 수집했고 조직적으로 외국 해킹을 했다고 폭로했습니다. '프리즘(PRISM) 스캔들'입니다. 그런데 NSA가 중국 네트워크에 침입할 때 시스코가 도왔다고 하고 스노든이 중국 정부에 폭로했다고 합니다. (링크) 시스코가 NSA의 스파이 활동을 도왔다면 중국만의 문제도 아닙니다.

스노든이 중국 정부에 이런 얘기를 폭로했는지 여부는 알 길이 없습니다. 중국 언론이 NSA-시스코 커넥션 기사를 쏟아내 알려졌을 따름입니다. (차이나타임스 기사). 테크인아시아 기사를 보면 서방 언론은 이런 기사를 거의 쓰지 않았다고 하고, 중국 언론은 작년에도 안티-시스코 기사를 쏟아냈다고 합니다. 중국 언론 보도 내용이 사실이든 아니든 미국 테크 기업들이 중국에서 사업 하기가 더욱 어려워질 것 같습니다.

따지고 보면 미국-중국만의 문제는 아닙니다. 인도 역시 중국 테크(IT) 기업들에 대해 까다롭게 따진다고 합니다. (링크) 이유는 미국이 화웨이를 의심하는 것과 같습니다. 사실 여부를 떠나 스노든이 NSA 기밀을 폭로하고 중국 정부와 언론이 NSA-시스코 커넥션을 폭로함에 따라 테크 기업에 대한 불신은 더 커지게 됐습니다. 이처럼 네트워크 보안은 갈수록 중요해지는데 국내에서는 '보안불감증'이 심각한 것 같아 걱정스럽습니다. (끝)

(추가, 6/23) 중국 차이나유니콤이 시스코 장비를 자국 장비로 교체했다고 합니다.