칼럼 | 이베이 계정을 탈퇴하면서...

CIO KR
지난 5월 어느 날 ‘ Account security notice - Immediate action required’라는 제목의 메일을 받았다. 발신자는 이베이로 되어 있었다. 최근 악성코드를 포함한 스캠 메일 중 위와 같은 제목으로 사용자를 유혹하여 열어보게 만드는 경우가 많아 일단 메일의 링크를 누르지는 않고 이베이 사이트로 직접 로그인을 했다. 그런데 정말 필자의 계정이 해킹되어 악용되었으며 바로 패스워드를 변경해야 한다고 안내가 떴다. 누군가 필자의 계정 아이디와 비밀번호를 알아내 악용하려 시도한 것을 이베이가 탐지하고 계정 차단 조처를 한 뒤 안내 메일을 보낸 것이다.

얼마 전 이베이에 아주 좋은 조건의 제품 판매가 게시되어 바로 구매를 신청했다가 물건의 남은 개수가 계속 수정되는 것을 발견하고 이상한 생각이 들어 구매를 취소하고 이베이에 신고한 적이 있다. 그 후 이베이에서는 해당 판매 게시가 남의 계정을 도용한 사기 건이고 이를 신고해 준 필자에게 감사의 표시로 5달러짜리 쿠폰을 보내주어 요긴하게 사용하였다. 해커가 어떤 목적으로 악용하려 했는지는 알 수 없으나 그런 경험에 비추어 아마 필자의 계정을 해킹한 사람도 비슷한 용도로 사용하려 했을 것으로 추측한다.

이베이의 안내 메일을 받은 후 바로 패스워드를 변경하였고 별다른 피해 사실도 없는 것으로 보이긴 했지만, 왠지 이베이의 계정을 계속 유지하는 것이 내키지 않았다. 이베이의 계정은 1990년대 말 닷컴 붐이 불었을 때 그 당시 가입하였으며 그동안 여러 번 물건을 구매했던 필자였지만 20년 가까이 유지한 이베이 계정을 그날 오후 닫았다.

통계청 발표에 따르면 2018년 국내 전자상거래 시장의 규모가 100조 원이 넘었다고 한다. 또한 한 리서치 기관의 발표에 따르면 국내 상거래 금액 중 인터넷과 온라인 전자상거래가 차지하는 비율인 ‘전자상거래 침투율’은 2018년 기준으로 24.1%로 중국, 미국, 영국, 일본 등 주요 글로벌 12개국 중 1위를 차지했다. <출처: http://www.biznews.or.kr/news/article.html?no=8625 >이는 2위 국가인 중국보다 5.9%나 높은 상황이다. 국내의 주요 인터넷 상거래 사이트의 매출 증가와 함께 해외 인터넷 사이트로부터의 직구 열풍도 전자상거래 증가에 주요 동력이었을 것이다. 아울러 해외에서 국내의 사이트를 통해 상거래가 이루어진, 소위 전자상거래 수출 규모도 크게 증가하고 있다. 이제 우리나라는 세계적인 전자상거래 선도 국가이다.

하지만 한편으로는 메일이나 문자메시지를 통한 온라인 피싱 또는 보이스 피싱 피해사례가 그치지 않고 있다. 이는 인터넷 사이트를 통해 유출된 개인정보를 범죄자들이 입수하여 활용하는 사례가 여전하다는 뜻이다. 특히 전자상거래의 확대로 중장년층의 참여가 늘고 있는데 특히 이들 중장년층은 인터넷 정보 보안에 취약한 경우가 많다. 또한 피싱 사기에도 취약하기에 인터넷 사이트의 보안 강화의 중요성이 더욱더 높아지고 있다.

그동안 셀 수도 없을 만큼 인터넷 사이트의 개인정보 유출 사고가 있었다. 그리고 당시 유출된 개인정보를 이용하여 여전히 범죄자들이 사용하고 있을 것이다. 하지만 인터넷 비즈니스를 수행하는 기업 입장에서 사용자들에게 강력한 패스워드의 설정과 주기적인 패스워드 변경을 권고하는 것 이외에 얼마나 철저한 대응책을 준비했는지 모르겠다. 물론 앞서 이야기한 이베이의 경우 시스템에서 자동으로 의심되는 거래에 대한 탐지 기능을 통해 이상징후를 발견하였기에 필자에게 안내 메일을 보냈을 것이니 나름대로 대비를 하였다고 볼 수 있다. 하지만 이런 경험을 고객에게 주는 것은 인터넷 비즈니스에서 치명적인 문제다. 또한 유출된 개인정보의 유통 및 제3자에 의해 활용되는 상황에 대해서는 현재 파악조차 어려운 상황이다.

아마 가입한 인터넷 사이트의 아이디와 패스워드를 모두 기억하지 못하는 사람들이 많을 것이다. 또한 동일한 패스워드를 여러 사이트에 사용하는 경우도 많다. 대부분의 전자상거래 사이트에서는 결재 시 별도의 보안 시스템을 통해 결재 정보를 처리하므로 비록 아이디와 패스워드가 유출되어도 직접적인 금전 피해는 발생하지 않지만 자신의 개인정보와 구매내역 등을 이용한 피싱 범죄에 사용될 가능성은 여전하다. 따라서 패스워드 이상의 강력한 보안 인증체계의 도입이 필요하다. 최근 전자상거래 중 80% 이상이 모바일을 통한 거래가 차지하고 있는 상황에서 모바일 기기의 진보된 생체인증 기능을 전자상거래의 본인 인증 수단으로 적극적으로 도입하여야 한다. 또한 PC를 이용하는 경우에도 생체인증 도입이 필요하다. 이미 윈도우10은 FIDO 인증 등을 통해 지문 인식을 도입하는 사례가 늘고 있으나 아직 활성화되어 있지 않다. 더 나아가 PC에서도 모바일 폰과 같이 지문 인식 이외의 좀 더 강력한 생체인증 기능의 도입이 필요하다. 이런 배경으로 생체인증 관련 시장은 매년 25%의 성장률을 보여주고 있고 향후 더 성장할 것으로 전망된다.
 
---------------------------------------------------------------
정철환 칼럼
-> 칼럼 | CPU와 메모리 그리고 SSD
-> 칼럼 | IT리더의 두 가지 유형
-> 칼럼 | 한미 FTA와 소프트웨어 저작권
-> 칼럼 | SW 발전의 원동력 벤처, 왜 국내에서는 힘을 못 쓸까?
->칼럼 | 일기예보와 경영예측
->칼럼 | 국내 소프트웨어 산업에 대한 소고(小考)
->칼럼 | 개인정보보호법에 대한 단상(斷想)
->칼럼 | 소프트웨어 개발자, 미래는 치킨집?
---------------------------------------------------------------

만약 어떤 전자상거래 사이트에서 치명적인 정보 유출로 인한 보안 사고가 발생한다면 이는 한참 성장하고 있는 전자상거래 시장에 찬물을 끼얹을 뿐만 아니라 해당 사고가 발생한 기업에게는 치명적인 이슈가 될 것이다. 전자상거래 기업은 고객 확보에 엄청난 마케팅 비용을 투자한다. 시장 1위 업체가 되는 것에 큰 의미를 부여하기 때문이다. 하지만 ‘열 장정이 한 도둑을 막지 못한다’라는 속담이 있듯이 정보 보안은 쉬운 일이 아니다. 또한 치명적인 보안 사고로 그동안 쌓은 공든 탑이 하루 만에 무너질 수 있다. 전자상거래 기업이 성장에만 열중할 것이 아니라 최신 생체인증 기술을 기반으로 사용자 정보 보안에 더욱더 노력해야 하는 이유다.

*정철환 팀장은 삼성SDS, 한양대학교 겸임교수를 거쳐 현재 동부제철 IT기획팀장이다. 저서로는 ‘SI 프로젝트 전문가로 가는 길’이 있으며 삼성SDS 사보에 1년 동안 원고를 쓴 경력이 있다. 한국IDG가 주관하는 CIO 어워드 2012에서 올해의 CIO로 선정됐다. ciokr@idg.co.kr