2014.02.24

은행·유통·소비자가 함께하는 4가지 데이터 유출 방지법

Bill Snyder | CIO
CIO닷컴 블로거 빌 스나이더에 따르면, 온라인 데이터 유출 문제는 통제할 수 없는 단계에 이르렀기 때문에 무언가를 수행해야 한다고 한다. 스나이더는 은행, 유통, 소비자가 이 문제를 해결하기 위해 함께 할 수 있는 4가지 방법을 소개했다.

데이터 유출 사고가 또 다시 발생했다. 온라인 사업하는 회사가 해킹됐고 고객 개인 정보를 도난 당했다.

이번 희생양은 신생벤처들을 위한 투자 자금을 운영하는 킥스타터였다. 지난해 12월 미국 유통사인 타겟 고객 4,000만 명의 개인 금융 데이터가 유출됐고, 미국 내 21개 주에서 168개의 호텔을 운영하는 화이트 로징 서비스 코퍼레이션(White Lodging Services Corporation)이 데이터 유출을 조사하고 있다고 밝혔다.

이대로는 안된다. 은행, 신용카드사, 유통사, 이들의 고객들, 심지어 전통적인 굴뚝기업까지도 온라인에서 벌어지는 정보 유출 문제를 해결하기 위해 함께 나서야 할 때다. 여기 필자가 소개하는 4단계 계획이 있다.

1) 신용카드와 직불카드를 대체할 적극적인 수단을 찾아야 한다. 신용카드와 직불카드는 쉽게 해킹되는 마그네틱 선을 사용하는데 이를 보안 칩과 PIN 카드로 교체해야 한다. 이 카드에는 정보를 저장하고 정보 접근에 핀을 필요로 하는 내장 칩이 들어있다. 최근 유럽을 여행한 적이 있다면, 이러한 카드를 본 적 있으며 영국의 경우 이 카드를 도입하고 나서 카드 사기가 34%나 줄어들었다는 얘기도 들어봤을 것이다. 타겟의 데이터 유출 사건은 이 문제를 수면위로 올려 놓았으며 미국에서는 칩인핀(chip-in-pin)을 2015년 10얼에 구현한다는 목표가 생겼다. 금융 업계와 대형 유통사들이 실제로 이를 따를 지 여부는 두고 볼 일이다.

물론, 카드를 교체하는 데에는 비용이 들 것이다. 가맹점들은 이를 인식할 수 있는 새로운 POS 기기를 들여놔야 하고 카드사들은 새 카드를 만들어 공급해야 할 것이다. 칩인핀 카드보다 마그네틱 카드에서 마케팅 데이터를 쉽게 확보할 수 있기 때문에 유통사들의 저항도 있을 수 있다. 하지만 필자는, 그런 것들은 과도기적인 현상이며 변화는 빠를수록 좋다고 말하고 싶다.

2) 그렇다면, 비용은 누가 내야 할까? 모두가 내야 한다! 필자는 소비자가 일부 부담하고 신용카드사가 가맹점들에게 지불하게 할 일정 금액의 임시 거래 수수료로 일부를 충당하는 게 공평하다고 생각한다. 이는 특히 소기업들에게 중요하다. 소기업들이 온라인 사기에 무방비 상태에 놓여 많은 벌금을 내게 되면, 이들 기업은 온라인 거래로 벌어들인 돈을 신용카드사에게 고스란히 넘겨줘야 하기 때문이다. 대안은 모두에게 비싼 비용을 내게 하는 것이다.

3) 유통사가 더 많은 책임을 져야 한다. 은행은 현재 신용카드 사기와 관련된 비용에 정면으로 맞서고 있다. 사기가 늘어날 경우, 카드사가 거래 당 더 많은 책임을 지기 때문에 유통사는 일부 책임만 지게 된다. 하지만 이 비용은 적고 방어벽 역할을 할만큼 크지 않다. 그래서 적어도, 그리고 이것이 의회에서 다소 마찰이 있는 아이디어기 때문에 유통사들은 즉시 고객들에게 데이터 유출 사실을 공지해야 한다. 몇몇 주들은 이미 고객들에게 즉시 알리도록 했지만 나머지 주들은 그렇지 않다. 유출 사실 공지를 해결할 동일한 법률이 있어야 한다. 유통사들은 데이터 유출이 있을 경우 타겟이 그랬던 것처럼 고객들에게 신용 감시 서비스를 무료로 제공해야 한다.

4) 소비자에게 보안의 중요성을 강제해야 한다. ‘password’라는 단어와 ‘1, 2, 3, 4’ 등이 가장 일반적으로 사용되는 암호라는 얘기를 들어본 적이 있을 것이다. 신용카드사를 포함하여 온라인 상거래 사이트는 소비자들에게 적어도 1년에 한 번 이상은 암호를 바꾸라고 권고하고 있다. 그렇지 않을 경우, 사이트에 대한 접근이 차단되거나 취소돼야 한다. 이는 어떤 소비자들에게 귀찮은 일일 수도 있지만 소중한 개인정보를 도난 당하는 것보다는 훨씬 나은 일이다.

*Bill Snyder는 비즈니스와 IT에 대한 칼럼을 쓰는 저널리스트다. ciokr@idg.co.kr



2014.02.24

은행·유통·소비자가 함께하는 4가지 데이터 유출 방지법

Bill Snyder | CIO
CIO닷컴 블로거 빌 스나이더에 따르면, 온라인 데이터 유출 문제는 통제할 수 없는 단계에 이르렀기 때문에 무언가를 수행해야 한다고 한다. 스나이더는 은행, 유통, 소비자가 이 문제를 해결하기 위해 함께 할 수 있는 4가지 방법을 소개했다.

데이터 유출 사고가 또 다시 발생했다. 온라인 사업하는 회사가 해킹됐고 고객 개인 정보를 도난 당했다.

이번 희생양은 신생벤처들을 위한 투자 자금을 운영하는 킥스타터였다. 지난해 12월 미국 유통사인 타겟 고객 4,000만 명의 개인 금융 데이터가 유출됐고, 미국 내 21개 주에서 168개의 호텔을 운영하는 화이트 로징 서비스 코퍼레이션(White Lodging Services Corporation)이 데이터 유출을 조사하고 있다고 밝혔다.

이대로는 안된다. 은행, 신용카드사, 유통사, 이들의 고객들, 심지어 전통적인 굴뚝기업까지도 온라인에서 벌어지는 정보 유출 문제를 해결하기 위해 함께 나서야 할 때다. 여기 필자가 소개하는 4단계 계획이 있다.

1) 신용카드와 직불카드를 대체할 적극적인 수단을 찾아야 한다. 신용카드와 직불카드는 쉽게 해킹되는 마그네틱 선을 사용하는데 이를 보안 칩과 PIN 카드로 교체해야 한다. 이 카드에는 정보를 저장하고 정보 접근에 핀을 필요로 하는 내장 칩이 들어있다. 최근 유럽을 여행한 적이 있다면, 이러한 카드를 본 적 있으며 영국의 경우 이 카드를 도입하고 나서 카드 사기가 34%나 줄어들었다는 얘기도 들어봤을 것이다. 타겟의 데이터 유출 사건은 이 문제를 수면위로 올려 놓았으며 미국에서는 칩인핀(chip-in-pin)을 2015년 10얼에 구현한다는 목표가 생겼다. 금융 업계와 대형 유통사들이 실제로 이를 따를 지 여부는 두고 볼 일이다.

물론, 카드를 교체하는 데에는 비용이 들 것이다. 가맹점들은 이를 인식할 수 있는 새로운 POS 기기를 들여놔야 하고 카드사들은 새 카드를 만들어 공급해야 할 것이다. 칩인핀 카드보다 마그네틱 카드에서 마케팅 데이터를 쉽게 확보할 수 있기 때문에 유통사들의 저항도 있을 수 있다. 하지만 필자는, 그런 것들은 과도기적인 현상이며 변화는 빠를수록 좋다고 말하고 싶다.

2) 그렇다면, 비용은 누가 내야 할까? 모두가 내야 한다! 필자는 소비자가 일부 부담하고 신용카드사가 가맹점들에게 지불하게 할 일정 금액의 임시 거래 수수료로 일부를 충당하는 게 공평하다고 생각한다. 이는 특히 소기업들에게 중요하다. 소기업들이 온라인 사기에 무방비 상태에 놓여 많은 벌금을 내게 되면, 이들 기업은 온라인 거래로 벌어들인 돈을 신용카드사에게 고스란히 넘겨줘야 하기 때문이다. 대안은 모두에게 비싼 비용을 내게 하는 것이다.

3) 유통사가 더 많은 책임을 져야 한다. 은행은 현재 신용카드 사기와 관련된 비용에 정면으로 맞서고 있다. 사기가 늘어날 경우, 카드사가 거래 당 더 많은 책임을 지기 때문에 유통사는 일부 책임만 지게 된다. 하지만 이 비용은 적고 방어벽 역할을 할만큼 크지 않다. 그래서 적어도, 그리고 이것이 의회에서 다소 마찰이 있는 아이디어기 때문에 유통사들은 즉시 고객들에게 데이터 유출 사실을 공지해야 한다. 몇몇 주들은 이미 고객들에게 즉시 알리도록 했지만 나머지 주들은 그렇지 않다. 유출 사실 공지를 해결할 동일한 법률이 있어야 한다. 유통사들은 데이터 유출이 있을 경우 타겟이 그랬던 것처럼 고객들에게 신용 감시 서비스를 무료로 제공해야 한다.

4) 소비자에게 보안의 중요성을 강제해야 한다. ‘password’라는 단어와 ‘1, 2, 3, 4’ 등이 가장 일반적으로 사용되는 암호라는 얘기를 들어본 적이 있을 것이다. 신용카드사를 포함하여 온라인 상거래 사이트는 소비자들에게 적어도 1년에 한 번 이상은 암호를 바꾸라고 권고하고 있다. 그렇지 않을 경우, 사이트에 대한 접근이 차단되거나 취소돼야 한다. 이는 어떤 소비자들에게 귀찮은 일일 수도 있지만 소중한 개인정보를 도난 당하는 것보다는 훨씬 나은 일이다.

*Bill Snyder는 비즈니스와 IT에 대한 칼럼을 쓰는 저널리스트다. ciokr@idg.co.kr

X