더북(TheBook)

마치는 글

 

보안은 시스템 전반을 고려해서 체계적으로 해야 합니다. 그러려면 전체 시스템 구조에 적용하는 각 기술의 기능과 한계를 정확하게 이해할 필요가 있습니다. 이런 관점에서 이 책의 목표는 IT 보안의 핵심인 암호 기술이 어떤 역할을 하는지 명확히 전달하는 것이었습니다.

우리나라는 짧은 시간에 기술이 눈부시게 발전하면서 IT 강국으로 우뚝 섰습니다. 하지만 그 과정에서 주먹구구식으로 정보보호를 운영한 것도 부인할 수 없는 사실입니다. 그것은 세부적인 기술을 이해하지 못해서가 아닙니다. 보안을 바라보는 근시안적인 관점 때문입니다. 이와 관련하여 최근 일본이 도입한 ‘마이넘버’의 보안성 논쟁은 시사하는 바가 크다고 생각합니다. 보안을 수행하는 바람직한 관점을 지니게 하려고 해당 논쟁을 간략히 언급하면서 이 책을 마칩니다.

일본은 2015년 10월부터 마이넘버를 발급하여 2016년부터 마이넘버 제도를 시행했습니다. 이는 우리나라의 주민등록번호처럼 국민 모두에게 고유 번호를 부여하여 활용하는 제도입니다. 당시 국내에서는 유출 사고 문제로 주민등록번호의 수집을 금지하거나 아이핀 같은 대체 수단을 찾는 상황이었습니다. 당연히 일본의 마이넘버 제도가 보안상 큰 문제가 있을 것이라는 주장이 고개를 들 수밖에 없었지요.

하지만 주민등록번호와 마이넘버는 개념부터 다릅니다. 이를 이해하려면 보안에서 식별(Identification)과 인증(Authentication)의 차이를 인식해야 합니다. 그 과정에서 우리나라의 주민등록번호에 보안상 어떤 문제가 있는지도 자연스럽게 알 수 있습니다.

식별은 다른 사람과 구별하여 ‘자신이 누구인지 알 수 있도록’ 하는 것입니다. 흔히 사용하는 아이디(ID)가 식별 정보이지요. 반면에 인증은 ‘내가 그 사람이 확실함’을 증명하는 것으로 개인마다 고유한 인증 정보가 필요합니다. 아이디에 대응하는 패스워드(Password)가 인증 정보 중 하나이지요. 아이디는 공개해도 되지만, 패스워드는 공개하지 않아야 하는 것처럼 식별과 인증은 보안에서 완전히 차원이 다른 문제입니다. 따라서 식별을 하는 정보와 인증을 하는 정보는 반드시 구별하여 사용하고 관리해야 합니다.

일본의 마이넘버는 아이디 같은 식별 정보로 도입한 것입니다. 마이넘버에는 소유자와 관련된 어떠한 개인정보도 들어 있지 않습니다. 반면 주민등록번호는 그 자체로 개인의 고유한 정보이고, 식별 정보이자 인증 정보로 혼용되어 왔기에 커다란 보안 문제가 발생한 것입니다.

주민등록번호는 1968년 도입 당시 간첩을 식별할 목적도 있었다고 합니다. 따라서 앞자리는 생년월일 숫자 여섯 개로 구성하고, 뒷자리는 출생 지역과 성별 등 개인의 고유한 정보를 조합하여 일곱 개로 구성했습니다. 이처럼 주민등록번호에 개인의 고유한 정보를 포함하다 보니 IT 시스템 초창기에는 주민등록번호를 식별 정보가 아닌 인증 정보로 사용했습니다. 바로 이것이 정보 유출 사고의 근본적인 원인 중 하나입니다. 특정한 문자열을 어떨 때는 아이디로, 어떨 때는 패스워드로 사용하는 상황이었던 것이지요. 주민등록번호를 인증 정보가 아닌 식별 정보로 사용할 때도 주민등록번호 그 자체가 개인의 고유한 정보를 포함하기에 여전히 어려운 문제가 있습니다.

공인인증서를 무분별하게 사용하는 것은 인증과 부인 방지 개념을 명확히 구별하지 않았기 때문이라고 앞서 설명했습니다. 마찬가지로 식별과 인증도 정확히 구별하여 수행할 때 더욱 체계적이고 안전하게 보안을 수행할 수 있습니다. 물론 여기서 가장 중요한 것은 인증 정보의 보호입니다. 인증 정보는 개인의 소유물이지만, 지식이나 생체 특징을 활용하므로 식별 정보와는 엄격히 분리하여 암호화를 관리해야 합니다.

우리나라는 IT 시스템이 발전하는 과정에서 엄격하게 정보를 분류하지 못했습니다. 일반 정보인지 중요 정보인지, 식별 정보인지 인증 정보인지, 공개 정보인지 비밀 정보인지 구분하여 데이터베이스를 설계하고 체계적으로 관리하는 것이 보안의 시작인데도 대다수 시스템에서 데이터를 뒤섞어 관리하고 있었습니다. 이론적으로는 정보를 분류하여 보안 등급에 따라 관리하라는 지침이 있었지만, 현실 속 IT 환경에서 이는 요원한 일이었습니다. 시기적으로도 보안이 큰 이슈가 아니었고, 국가 행정적으로 활용하는 식별 정보 시스템의 운영에서도 보안을 체계적으로 수행하지 못했습니다. 이는 분명 빠르게 발전한 IT 기술 뒤의 어두운 부분입니다.

특정 정보의 암호화를 의무화한 법제는 데이터 분류를 실질적으로 수행하게 했다는 점에서 중요한 의미가 있습니다. 암호화 대상을 별도로 관리해야 하다 보니 시스템을 설계할 때부터 데이터를 분류하지 않을 수 없었기 때문입니다. 보안 인식 정상화와 함께 암호화는 ‘보안을 고려한 IT 시스템 설계’ 문화를 정착시키는 역할을 합니다.

여러 번의 정보 유출 사고와 개인정보보호법 제정을 계기로 보안에 관심이 높아졌습니다. 하지만 여전히 숲과 나무를 함께 보는 체계적인 보안 교육은 활성화되지 못했습니다. 이 책으로 더욱더 많은 사람이 ‘암호화’를 정확히 이해하고 올바른 시각에서 ‘보안’을 바라볼 수 있게 되기를 바랍니다.

신간 소식 구독하기
뉴스레터에 가입하시고 이메일로 신간 소식을 받아 보세요.