구멍이 작을 때 최대한 빨리 막는 것이 중요
보안에 대한 관심이 필요한 때
한국원자력연구원의 직원 정보가 누출된 사고부터 국내 아파트 월패드 해킹 후 내부 촬영 영상이 유출된 사건, 미국 통신사 T-Mobile의 대규모 개인정보 유출 사고 발생 사고까지. 해킹으로 인한 개인정보 유출 사고가 지속해서 발생하고 그 방법 역시 갈수록 치밀해지고 있다. 피해 대상 역시 기업부터 개인까지 다양하다. 한국인터넷진흥원(이하 KISA)과 개인정보보호위원회가 작성한 ‘2021 개인정보보호 실태조사’에 따르면 설문에 참여한 정보주체의 44.3%가 작년 1년간 개인정보 침해를 경험했다고 답했다. 누구든지 해킹 피해자가 될 수 있는 요즘, 모두가 경각심을 가져야 할 때다.
개인정보가 새는 구멍을 미리 막아 놓다
개인정보 유출 피해를 막기 위한 대책 중 하나는 정보보호 사전점검이다. 이는 본격적인 시스템 구축 전 시행하는 것으로 시스템 내의 위험 요소들을 찾고 제거한다. 정보보호 사전점검은 △요구사항 정의 단계 △설계 단계 △구현 단계 △테스트 단계를 거쳐 진행된다. 그중 테스트 단계에서 해당 시스템에 맞춘 체크리스트에 따라 보안점검을 시행한다. 이때 모의해킹을 통해 시스템의 취약점을 확인하고 정보 유출의 가능성을 진단할 수 있다. 버그바운티 대회는 모의해킹의 방법 중 하나로 기업 등이 자사 서비스나 제품의 보안성 강화를 위해 취약점을 찾아 신고해준 개인 혹은 단체에 보상금을 지급하는 제도다. 회사의 입장에서는 높은 보상금을 지급하더라도 정보 보안 취약점을 미리 알고 대비할 때의 이익이 더 크기에 버그바운티 대회를 주기적으로 열고 있다. 우리 학교는 국내 대학 중 유일하게 정보통신처 주관으로 2015년부터 버그바운티 대회를 개최하고 있다. 정보통신처 최형기 처장은 “버그바운티 대회에서 찾아낸 취약점들이 실질적으로 학교 사이트 보안에 도움이 됐다”며 해당 대회의 실효성을 밝혔다. 한편 정보통신처 정준호 직원은 “현재까지 5번의 대회를 통해 약 150여 건의 취약점을 발견했다”며 “취약점들을 보완해 학내 서비스의 보안을 강화했다”고 말했다.
지금 우리 학교는?
학우들이 사용하는 우리 학교 홈페이지나 킹고M 등도 해커들의 공격 대상이 될 수 있다. 최 처장은 “실제로 성적 조작 또는 학교 구성원들의 개인정보 열람을 목적으로 한 여러 해킹 시도가 발견됐다”며 “이후 추적을 통해 정보보안에 문제가 생기지 않도록 조치했다”고 밝혔다. 우리 학교는 2019년 8월 개인정보 보호를 위해 KISA가 발급하는 ISMS(Information Security Management System, 정보보호 관리체계) 인증을 획득했고 3년이 지난 올해 ISMS 갱신 신청을 할 예정이다. KISA는 구성원들의 민감한 개인정보 이용 시 체계 구축 여부 및 적합성을 심사해 인증서를 발급한다. 최 처장은 “보안 안전도와 사용자의 불편함은 반비례 관계다”라며 “정보통신처에서는 학교 보안 시스템 구축 시 둘 사이의 균형점을 찾기 위해 노력하고 있다”고 말했다. 이에 덧붙여 그는 “한 명의 학교 계정 노출이 학교 보안 시스템에 침입할 수 있는 구멍이 될 수 있다”며 “주기적으로 계정 비밀번호를 변경하는 등 보안에 대한 개개인의 인식 제고가 필요한 시점이다”고 밝혔다.