"모든 정보 유출이 심각한 것은 아니야"··· 데이터 사고 '위험성 평가'가 필요한 이유

CSO
이제는 데이터 유출이 너무 흔해져 기밀 정보 10억 건이 탈취돼도 거의 보도되지 않을 정도다. 그러나 더 심각한 것은 우리의 정보와 관련된 모든 데이터 유출이 서로 혼합된다는 점이다.

사실 개인 정보는 이미 여러 번 노출된 느낌이다. 그러니 한번 (또는 열 번) 더 그런 일이 일어난다고 해서 누가 신경 쓰겠는가. 개인 정보 유출 사고가 또 일어나도 무신경한 이유다. 처음에는 데이터 유출 소식이 있을 때마다 두려워했지만 지금은 전혀 그렇지 않다.

필자는 예전에 대부분의 데이터 유출과 관련해 유용한 위험 관리 데이터가 부재하다고 지적한 바 있다. 즉, 개별적인 데이터 유출과 관련된 정보 자체가 부족해 이해 관계자가 데이터 유출의 심각성을 판단할 수 없다. 예를 들어, 병원이 사무실을 이전하면서 실수로 옛 사무실에 개인 의료정보를 남겨 두는 경우 엄밀히 말해 '데이터 유출'인 것은 맞다. 그러나 마치 범죄자가 정보를 탈취한 악성 데이터 유출 사건처럼 심각하게 취급하는 것은 과하다.

웹사이트 코딩 오류로 인해 기록이 노출되고 선량한 해커가 이를 공개하는 경우도 마찬가지다. 마치 악의적인 해커가 이 취약성을 이용해 웹사이트에 저장된 모든 기록을 빼간 것과 마찬가지로 취급된다. '기록 10억 건 노출!'이라고 대서특필되지만 결과적으로 누군가 악의적으로 기록 한 건이라도 빼냈다는 증거는 없다. '노출'은 실제 '탈취'와는 전혀 다른 위험인데도 언론에서는 이를 똑같이 다룬다.

이처럼 모든 데이터 유출은 좋지 않은 것으로 취급된다. 실제 위험은 그렇게 심각하지 않은 경우에도 마찬가지다. 그래서 필자는 데이터 유출 평가 시스템 구축을 제안한 바 있다. 마치 현재 신고된 소프트웨어 취약성에 대해 적용하는 것과 비슷한 방식이다. 수십 명의 보안 전문가가 이 제안에 동의하고 있고, 심지어는 필자가 제안한 것과 똑같은 것을 개발 중이라고 밝힌 사람도 몇 명 있었다.

유출 위험에 통찰력을 제공하는 BC 사이트
그중 하나를 살펴보자. 최근 퓨처리온(Futurion) CEO 짐 밴 다이크는 데이터 유출을 명확히 알려주는 BC(Breach Clarity)라는 새로운 베타 웹사이트를 필자에게 보여줬다. 밴 다이크는 35년이 넘는 경력의 컴퓨터 기술자 겸 분석가로 사기와 ID 관리를 전문으로 하고 있다. 디지털 기술 관련 연구회사 등 여러 회사를 창립했다. 최근 제블린 스트래터지 앤 리서치(Javelin Strategy & Research)를 매각한 후 지금은 주요 데이터 유출 사건 조사 전문가로 활동 중이다. 미국 연방 소비자금융보호국(CFPB)의 소비자자문위원회에 3년간 활동했고 미국 하원에서 증언한 적도 있다. 즉 데이터 유출 관련 경험이 많다.

이러한 그가 만든 BC사이트는 데이터 유출이 발생한 회사의 이름을 입력하면 어떤 정보가 유출됐고 이 유출의 상대적인 위험은 어느 정도인지 1~10 사이 점수로 알려 준다(10이 가장 높은 위험).
 



상대적인 순위 점수뿐만 아니라 이름, 신용카드 번호, 사회보장 번호 등 도난당한 정보의 종류를 알려주고, 그로 인해 발생할 수 있는 사기 위험의 유형을 알려 준다. ID 보호와 사기 예방을 위해 사용자가 취할 수 있는 조치도 조언한다. 이 사이트를 몇 번 사용해 본 결과 몇 개의 작은 버그가 발견됐고 점수에 동의할 수 없는 경우도 있었다. 필자는 이 점수가 어떤 알고리즘으로 결정되는지 정확히 파악할 수 없었다. 그러나, 어떤 정보가 탈취됐으며 어떤 잠재적 위험이 있는지 이렇게 간단히 확인할 수 있는 사이트는 지금까지 본 적이 없다. 매우 복잡한 문제를 해결하기 위한 좋은 출발점이다.

HaveIBeenPwnd를 보완하는 BC
필자는 이 사이트를 사용하면서 누구라도 자기 이름을 입력하면 어떤 회사로부터 언제 자신과 관련된 어떤 정보가 도난당했는지 전부 볼 수 있는 기능이 있으면 좋겠다고 생각했다. 물론 누구라도 해내기 매우 어려운 작업이다. 개인 이름별로 정보 유출을 추적하는 중앙 공용 데이터베이스는 존재하지 않기 때문이다(사설 데이터베이스도 마찬가지다). 그런 것이 있다면 성배를 찾은 것이나 다름없다.

그런데 성배와 비슷한 사이트가 있다. 트로이 헌트의 HaveIBeenPwnd 사이트다. 필자는 이 사이트에서 개인 이메일 주소가 여러 번 유출되었던 사실을 알게 돼 충격을 받았다. 이처럼 내 정보가 특정 회사로부터 유출되었다는 사실을 알게 되면 BC 사이트로 가서 어떤 정보가 유출되었는지 확인하고 상대적 위험 점수를 확인할 수 있다(참고로 헌트는 자기가 만든 이 사이트를 팔려고 내놓았다).

앞으로 우리에게 필요한 것은 BC 서비스와 HaveIBeenPwnd 서비스를 합쳐 놓은 것이다. 여기에는 어떻게 유출 심각도가 결정되는지 보여 주는 일반에 알려진 알고리즘이 필요하다. 옛 사무실에 기록을 두고 온다든지 하는 매우 낮은 위험의 '유출'은 내 개인 정보를 나쁜 사람이 가져가는 것만큼 위험하지 않다는 점을 분명히 하고 싶다. 만일 공격자의 의도가 알려져 있다면 이를 고려해야 한다.

데이터 유출의 위험 순위를 제대로 매기기 위한 노력이 진전되고 있는 것은 반갑다. 이렇게 새로 등장해 발전 중인 서비스가 아직 널리 확산하지는 않았지만 제대로 된 방향으로 가고 있다. 세상에 있는 많은 밴 다이크와 헌트 같은 사람이 더 큰 성공을 거두기를 바란다. 우리의 지지자로서 이런 사람이 필요하다. ciokr@idg.co.kr