[뉴시스 인터뷰]문송천 카이스트 교수 "주민번호 안 바꾸면 국방도 위험"
등록 2014.03.18 07:17:28수정 2016.12.28 12:27:36
【서울=뉴시스】박주연 기자 = "카드사에서 1억400만건의 고객정보가 유출된 것으로 드러난 후 2차로 팔려 나간 개인정보가 무려 9000만건에 달한 것으로 밝혀졌습니다. 지금까지 유출된 주민번호만 무려 4억건이 넘습니다. 드러난 것은 빙산의 일각이죠. 유출된 정보 가운데 10분의 1만 적발된다고 봐야 합니다. 적발된 건이 4억건이라면 40억건은 유출된 셈이죠. 주민번호는 쓸데없는 번호로 전락한 지 오래됐습니다. 정신차리고 이 문제를 제대로 해결하지 못하면 국가가 휘청일 수 밖에 없습니다. 국방까지 위험한 상황입니다."
국내 보안·데이터베이스(DB) 분야에서 최고 전문가로 꼽히는 문송천 카이스트 경영학과 교수는 느슨한 정보 관리가 나라까지 결딴낼 수 있다고 우려를 표시했다. 문 교수는 "정부 고위 관계자들이 개인정보 유출 문제를 근원적으로 해결할 생각은 하지 않고 사태를 축소하는데만 급급하다"고 비판했다. 그는 정부가 제대로 된 전문가를 기용해 주민번호를 재부여 하는 등 근원적으로 문제를 해결해야 한다고 주장했다.
문 교수는 우리나라 최초의 전산학과 박사이자 보안과 DB분야의 최고전문가다. 1990년 세계에서 다섯번째, 아시아에서 최초로 관계형 데이터베이스엔진인 'IM'을 개발했고, 1992년에는 아시아 최초로 분산 엔진인 'DIME'을 개발했다.
다음은 문 교수와의 일문일답.
- 최근 카드 3사의 개인정보 유출 사태에 대한 정부 발표가 오락가락하는 바람에 불안감이 증폭되고 있는데….
"개인정보를 사는 업자들은 수십, 수백 곳에 이른다. 이번에 적발된 것만 유통망이라고 생각해서는 안 된다. 코리아크레딧뷰로 직원 박모씨가 카드3사로부터 유출한 고객정보를 산 광고대행업체 대표 조모씨는 이를 통해 수십억원도 벌 수 있었다. 하지만 아직 1억원 밖에 안나왔다.
근본적으로 말이 안 되는 것은 박씨가 (본인이 맡았던) 삼성·신한카드의 정보는 안 빼냈다고 주장하고, 경찰도 이를 믿는다는 것이다. 나도 보안·IT 전문가로 있으면서 보안에 강하다는 기업에 무수히 드나들었는데, 휴대용저장장치(USB)를 들고 마음대로 왔다갔다했다. 어느 하청업체 직원이 드나들어도 들고 나올 수 있다. 현장에서는 규정이 생각처럼 지켜지지 않는다. 안 가지고 나왔다는 믿음은 '배부른 고양이한테 생선을 맡겼으니 안 먹겠지'라고 생각하는 것과 다를 것이 없다. 그게 어떻게 말이 되나. 유유히 가지고 나왔을 것이다."
- 고객 개인정보 유출 사건이 끊임없이 반복되고 있다. 근본 원인은 무엇인가.
"관행처럼 굳어진 금융사들의 IT업무 외주화가 문제다. 협력업체들이 들어가서 다 보는거다. '유통시키느냐, 아니냐'는 협력업체 직원의 양심에 달린 것이지만, 쉽게 빼낼 수 있다는 것은 사실이다. 그 업무를 맡는 사람은 DB에 대한 최고권한을 갖는다. 삼성·신한카드의 개인정보를 다 보고서도 회사 규정이 까다로워서 못 빼냈다는 것은 말이 안 된다. DB가 암호화돼있다고 해도 그것은 아무 것도 아니다. 오라클 프로그램을 못 푼다는 것은 새빨간 거짓말이다."
- 외주 관행을 없애야 한다고 보나.
"기업이 자체적으로 IT·보안 인력을 따로 뽑고, 훈련시켜 해커들과 맞설 수 있는 실력을 갖게 해야 한다. 아웃소싱이 아니라 철저히 내부에서 인소싱(In-sourcing)을 해야 한다. 조금만 노력하면 된다. 아웃소싱 영역이 있고 아닌 것이 있다. 보안같이 중요한 일을 어떻게 외주에 맡기나. 그런데 우리 기업들은 전혀 노력하고 있지 않다. 기업들이 보안을 도외시하니 보안인력들의 몸값이 높아지지 않고, 보안 관련 기업들의 경영도 어렵다. 이런 식으로는 보안 시스템이 업그레이드되기 힘들다. IT업무를 외주화하는 것은 "돈이 많이 드니 국방을 중국에 넘기자"라고 하는 것과 똑같다."
- 이미 개인정보가 대규모로 여러 차례 유출됐다. 주민번호 등 핵심 정보도 다 빠져나갔고, 일부는 중국 등 암거래 시장에서 유통되고 있다. 어떻게 대처해야 하나.
"주민번호를 재부여하지 않으면 국가가 혼란에 빠지게 된다. 재부여 비용이 많이 든다고 하지만 내가 봤을 때 비용은 300~400억원이면 된다. 바꾸는 순간 기업은 주민번호를 못쓰게 해야 한다. 영국의 경우 기업은 고객 인증을 위해 운전면허 아니면 여권만 쓰게 한다. 그건 바꿀 수 있는 번호다. 정부가 주민번호를 바꾸지 않기 때문에 해커들이 날뛰는 것이다. 해커들의 먹잇감은 카드가 아니라 주민번호다. 주민번호를 못바꾸기 때문에 해커에게 발목이 잡혀있는 것이다. 다른 것은 근본적인 해법이 안 된다."
- 주민번호를 재부여 하지 않으면 국방도 위협을 받는다고 주장했는데 그 이유는.
"국민들의 개인정보가 주민번호로 엮이고 엮여서 유리알처럼 공개돼있다. 얼마나 많이 도용당하고 사는가. 카이스트 학생들에게 각자 한국인터넷진흥원 클린서비스에 들어가 자신의 개인정보 도용이 몇건씩 나왔나 찾아오라고 했다. 평균 300건이었다. 못 믿겠으면 클린서비스에 들어가서 한 번 검색해봐라. 중국 해커집단이 우리나라 전 국민의 DB를 다 가지고 있다는 것을 알고 있는가. 우리나라 국민의 개인정보는 안전행정부가 1부, 중국 해커집단이 1부 가지고 있다고 생각하면 된다. 국방도 당연히 흔들린다. 요즘 전쟁은 사이버전쟁 아닌가. 최고관리자의 개인정보가 뚫리면 다른 부분도 다 뚫린다. 개인정보가 다 뚫리면 전쟁에서도 승산이 없다. 변경할 수 없는 주민번호는 국방에도 치명적이다."
- 정책 집행자들 중 보안 전문가가 없는 것이 문제라고 보는가.
"기업들의 최고정보관리책임자(CIO)가 대부분 경영전문가들이다. IT·보안 전문가들은 잘 없다. IT전문가들이 경영이나 현장 업무를 잘 모르는 것이 원인이다. IT전문가들은 직종의 특성상 고위직에 못올라간다. 임원이 될 수 없는 구조다. DB관리자가 경험을 갖춰 CIO가 돼야 하는데, 기술자로만 부려먹고 기회를 봉쇄당하는 것이 현실이다. 어느 기업이든 DB 최고관리자인 과장급을 한 번 만나봐라. 아마 갑갑해할거다. 자기가 다 아는데 중요한 것은 다른 사람이 다 하고 있다. 그러니 죽어 지내는 것이다. 그런 사람들이 기업마다 다 있다. 삼성도 똑같다. 삼성의 어떤 DB전문가가 임원이 된 적이 있나. 한 명도 없다. 다른 기업은 따질 것도 없다."
- 정부에 제대로 된 컨트롤타워가 없기 때문에 범인의 말만 믿고 "2차 유포가 없다"며 사태를 축소했다는 지적도 나온다. 어떻게 보는가.
"책임질 사람이 없는 것이 사실이다. 청와대·안전행정부·미래부·금융위원회·검찰 등이 있지만, 전적으로 책임질 기관은 없다. 개인정보보호위원회가 있지만 무슨 권력이 있느냐. 허수아비나 다름 없다. 다들 "우리만의 잘못은 아니다"라고 주장한다. 바꿔 말하면 아무도 책임지고 일하지 않는 것이다. 검찰에 수사권이 있다지만 검경의 사이버범죄 최고 책임자의 직급은 형편없다. 그게 현실이다. 제대로 된 기관이 '수사권'을 가지고 책임지고 일하는 시스템이 필요하다.
인사도 문제다. IT분야에 기용된 인물들을 보면 전문성이 떨어진다. 선거 캠프 출신이거나 데이터의 '데'자도 모르는 사람들이다. 멀리 갈 것도 없다. 안전행정부 장관만 봐도 그렇다. 주민번호 폐지까지 검토하겠다더니 헌신짝처럼 던지고 지방자치단체장 선거에 나섰다. 제대로 된 사람이 수사권 있는 조직을 이끌면서 해커들한테 선전포고를 해야 한다. 지금 정부는 무능하다. 책임도 안 지려고 하고, 기업과 국민을 안심시키려고 하지도 않는다. 전문가들이 널려있는데도 기용할 생각도, 제대로 자문받을 생각도 없는 것 같다. 내가 하는 말을 정치권 금융권에서 들으면 분명히 '좋은 의견이지만 당장 도입하기는 어렵다'고 할 거다. 굉장히 어려운 말로 받아들이니 미칠 노릇이다. 정책 결정자 중 전문가들이 없으니 알아듣지도 못한다."
[email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
