정치 사안의 한 부분으로 편입되어 시급하게 다루어져야
[보안뉴스 문가용] 대선으로 미국 정치계가 하도 시끄러워서 가뜩이나 인기 없는 정보보안이라는 주제가 사람들의 기억 속에서 빠르게 사라지고 있는 것처럼 느껴진다. 이는 조금 이상한 일이다. 정치계와 정보보안 업계가 겹치는 사안도 꽤나 등장했기 때문이다. 이는 다음과 같다.
- 약 1억 9천 1백만 명의 미국 유권자들의 기록이 다크넷에서 판매되고 있다. 가격은 330불 정도.
- 6월에는 민주당 국가위원회의 서버가 해킹 당했다. 톰 행크스, 스티븐 스필버그 등 이 위원회에 후원을 해주던 유명인사들의 명단이 공개되었다.
- 클리브랜드 근처에서 공화당 지지자들을 노리고 와이파이 네트워크의 보안 세팅을 보안 업체에서 허술하게 조작하기도 했다. 그 결과 많은 이들의 신원이 노출되었다.
이중 다크넷에서 판매되고 있다는 유권자들의 정보는 이미 지난 해부터 범죄자들 손에 들어간 것으로 보인다. 똑같은 기록이 다크넷의 시장 중 하나인 리얼 딜 마켓플레이스(The Real Deal Marketplace)에서 데이터다이렉트(DataDirect)라는 사용자를 통해 거래되고 있는 것이 이미 적발된 바 있기 때문이다. 해당 데이터에는 풀 네임, 생년월일, 주소, 여태까지 투표한 내역 등이 전부 포함되어 있었다.
하지만 사법기관은 이런 사건을 그리 심각하게 여기지 않는다. 왜냐하면 전화번호나 주소 등은 전화부에 이미 나와 있는 것이기 때문이라는 것이 한 경찰관이 실제로 한 말이다. 하지만 다크넷 정보들엔 생년월일과 같은 민감한 정보도 포함된다. 이는 다른 정보들과 합쳐졌을 때 인증에도 사용될 정도로 강력한 정보가 된다.
또 하나 주목해야 할 것은 투표 이력마저 팔리고 있다는 것이다. 위치정보도 마찬가지다. 이 두 가지 정보가 이메일 정보와 결합되면? 굉장히 그럴듯한 피싱 메일을 작성할 수 있다. 사용자 보기에 전혀 이상 없어 보이는 메일이 도착하고, 실제로 공격 성공률도 높은 것으로 알려졌다.
그러면 작년에 유권자들의 정보를 다크넷에서 처음 발견했을 때 왜 아무런 조치를 취할 수 없었을까? 주법이나 연방법에 법적 제도가 마련되어 있지 않았기 때문이다. 그런 면에서는 차라리 멕시코가 나았다. 멕시코는 유권자 등록정보 파일을 인터넷에 업로드 하거나, 그런 정보를 가지고 국경을 넘거나, 사적인 이득을 취하는 것이 금지되어 있다. 놀랍지 않은가? 미국의 법에는 이런 행위를 막을 근거가 없다니.
그러니 작년에 판매되던 유권자 정보가 올해 또 똑같이 등장해 판매되고 있는 것이다. 최초에 유권자 정보를 수집, 보관했던 모든 기관들의 해이 또한 지적해야 할 부분이다. 무려 민주사회의 근간이라고 하는 ‘유권자’들의 정보인데, 이것이 아무런 보호를 받지 못하고 암시장에서만 반복적으로 거래되고 있다니, 빠른 조치가 필요한 부분이 아닐 수 없다.
정부 기관들은 민간 사업자 및 단체들과 사업을 여러 가지로 벌이는데, 이때 민간 사업자들이 해당 프로젝트용 서버를 공공 클라우드에 구축하거나 노출시키는 일이 흔히 일어난다. 이는 충분히 정책 및 규율 마련으로 해결할 수 있는 문제다.
여기에 정부 관련 웹사이트에 접속해야 할 때 개인정보를 과도하게 요청하는 경우도 많다. 솔직히 정보를 잘 간수도 못하는 곳에서 정보를 요구한다는 것도 불편하고, 개인정보에 대한 정부의 과도한 수집에 대한 논의 자체도 새롭게 이루어져야 할 것으로 보인다.
정보보안, 충분히 정치적인 문제다. 그리고 꽤나 시급하게 여러 정당 및 후보자들에 의해 다뤄져야 할 부분이다. 정치 때문에 묻히는 지금 현상이 잘 이해가 가지 않는다.
글 : 테리 스위니(Terry Sweeney)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>