보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

정보보안, 신용카드 업계로부터 배울 것이 있다

수상한 거래 시도에 고객에게 직접 연락...사기의 사전 방지

보안과 프라이버시, 상충하는 개념 아니야


에퀴팩스(Equifax) 해킹 사건의 영향은 2018년도까지 이어질 것으로 보인다. 대량의 정보를 훔쳐갔으니, 그 훔친 정보를 활용할 차례이기 때문이다. 이미 데이터 침해 사고의 81%가 도난당한 크리덴셜로부터 시작된다고 하니, 2018년의 일은 불을 보듯 뻔한 일이다. 작년의 야후와 올해의 에퀴팩스 때문에 수천만~수억 명이 현재 잠재적 공격 대상인채로 살아가고 있다.

[이미지 = iclickart]


공격자들이 압도적인 물량을 확보한 상황인데, 기업들이 ‘단 한 차례의 침투도 허용치 않겠다’는 방식으로 보안에 접근하는 건 현실적이지 않다. ‘들어오기만 해봐라, 단숨에 잡아주겠다’는 마음으로 덫을 놓는 게 더 나은 자세다. 이런 식의 마인드로 방어를 수년 간 해온 곳이 있으니 바로 신용카드 산업이다. 

잠깐 개인적인 경험을 나누고자 한다. 얼마 전 필자는 신용카드 회사로부터 전화를 한 통 받았다. 최근 과테말라에서 주유소를 활용한 적이 있냐는 문의였다. 당연히 아니었고, 회사 측은 관련 계정을 동결시켰다. 고객으로서 이 일련의 과정이 부드럽고 정확하다고 느꼈다. 내가 입은 피해는 거의 없었다. 또 언젠가는 다른 지방에서 가족 모임이 있었는데, 신용카드 회사가 문자 메시지를 보냈다. 주유를 했냐는 내용이었고, 난 Yes라고 답했다. 역시 나에겐 아무런 영향이나 피해가 없었다. 

이런 경험이 나만 있을까? 아니다. 수백~수천만에 달하는 신용카드 고객들이라면 누구나 이런 전화나 문자를 한 번쯤 받아봤을 것이다. 신용카드 사기가 하도 일어나니, 신용카드 산업 자체가 사기 탐지 및 방지에 면역이 된 것이다. 그래서 지금 신용카드 고객들은 이상한 장소에서 비장상적인 거래가 발생했을 때 신용카드 회사가 알려줄 것이라고 믿고 있다. 

사이버 보안 업계는 신용카드 회사들로부터 이런 점을 배워야 한다. 고객들의 카드 사용 현황을 모니터링하고 행동을 분석해 미리 경고하고 사고를 미연에 방지하는 것 말이다. 누군가 내 회사 계정으로 로그인 해서 보통은 하지 않는 행동을 할 때 회사에서 이를 나에게 알려주면 얼마나 좋을까? 이는 회사 차원에서 큰 도움이 될 것도 분명하다. 

하지만 이런 회사가 있다는 이야기는 들어보지 못했다. 기술과 비용의 측면에서 커다란 부담이 되기도 하지만, 이런 식으로 직원의 계정에서 이뤄지는 행동을 전부 감시한다는 것에 대한 전반적인 거부감도 크게 작용한다. 이러한 행위를 대부분 사생활 침해의 노선에서 바라보는 게 일방적이다.

하지만 프라이버시와 보안이 상충되는 것만은 아니다. 아니, 오히려 둘은 같은 편이다. 간단히 말하면, 사생활을 지키기 위해 보안이 필요하기 때문이다. 보안 사고가 무엇인가? 우리가 사용하는 비밀번호를 알고, 우리의 ID나 행동 패턴, 다니는 회사를 아는 공격자들이 각종 개인정보를 파악해내어 다양한 형태의 피해를 끼치는 것이다. 보안 사고가 일어나는 건, 많은 경우 그들이 우리의 사생활 정보를 너무나 샅샅이 알고 있기에 가능하다고도 볼 수 있다. 사생활이 지켜지면 많은 보안 사고를 막을 수 있다. 이 관계를 증명하고 있는 게 신용카드 업계다.

보안 업계가 배울 수 있는 것은 또 있다. 의심스러운 걸 다 막으려고 애쓰지 말고, 카드 소유주와 최대한 빨리, 능동적으로 소통하여 방어를 효율적으로 한다는 것이다. 앞서 가족 여행 때 먼 지역에서 주유한 것 때문에 카드사로부터 연락을 받았다는 이야기를 했다. 난 그 연락 이후로 다시는 카드사로부터 비슷한 일로 연락을 받은 적이 없다. 그들이 뭘 했던 고객은 내 입장에선 매우 조용했고, 난 안전했다. 다 막으려고 하다가 노이즈가 대량 발생한다는 걸 보안 업계는 인지해야 한다. 그리고 이 노이즈 때문에 오탐이 생기고 쓸데없는 지출만 늘어난다.

예를 들어 회사 직원이 어떤 애플리케이션을 통해 데이터베이스에 접근하려 한다는 걸 탐지해냈다고 하자. 그런데 이 직원으로서는 해당 데이터베이스에 접근할 일이 없는 게 정상이다. 이 때 이를 탐지해 낸 부서나 담당자는 데이터베이스 담당자에게 이러한 사실을 알리고 이러한 행위가 정상적인지, 어떤 과정을 통해 인증이 이뤄지고 있는지 문의할 수 있는 시스템이 있어야 한다. 

그러면 해당 애플리케이션 담당자나 데이터베이스 담당자가 “이러이러한 예외적인 이유로 접근 문의가 있어서 허가했다”라고 답을 해준다거나 “알 수 없는 일이니 막아달라”고 요청할 수 있다. 전자의 경우, 해당 직원의 행동은 화이트리스트 처리 되어 그러한 행위에 대한 모니터링이 덜 엄격하게 진행된다. 보안도 살고 프라이버시도 산다. 

신용카드의 현 안전 체제는 하루아침에 이뤄진 것이 아니다. 보안 업계가 모든 면에서 신용카드 회사처럼 움직여야 한다는 것도 아니다. 하지만 신용카드 업계의 사기 탐지나 범죄 방지가 잘 이뤄지고 있다면, 그렇지 못한 보안 업계가 배워야 할 것이 있다는 건 분명하다. 기업들이 보안을 위해 직원 한 사람 한 사람을 신용카드 고객 대하듯 하면, 우리 사이버 환경은 얼마나 단단해진 상태일까? 즐겁게 상상해본다.