한국경영정보학회 NewsLetter 2012.08

몇 개의 패스워드를 사용하고 계신가요?

 국민대학교  김남규 교수

몇 해 전 정보시스템 보안과목을 강의할 때의 일이다. 보안 과목의 특성상 이론뿐 아니라 최신 사례를 많이 소개해야 했기에, 어느 때보다도 공을 들여 수업을 준비했던 것으로 기억한다. 몇 주에 걸쳐 다소 지루한 보안의 기본 개념 및 대표적인 보안 알고리즘들을 소개한 뒤, 드디어 학생들이 보다 관심을 가질만한 개인정보 보호 및 프라이버시 침해에 대한 내용을 다루는 날이 되었다.

개인정보 유출의 다양한 사례를 한 시간 반 가량 소개하고, 쉬는 시간이 되어 연구실로 돌아와 습관적으로 핸드폰을 확인하고서는 눈을 의심하지 않을 수 없었다.

부재중 전화 47통!!!

슬픈 예감은 틀리는 일이 없다고 하던가? 뭔가 불길한 예감이 들어서 곧바로 가장 많은 부재중 전화를 남긴 매형에게 전화를 걸고 나서야 심각한 상황이 발생했음을 알 수 있었다.

‘내가 해킹을 당했구나…’

대부분의 인터넷 사용자와 마찬가지로, 나 역시 온라인 채팅 프로그램을 PC에 설치해두고 틈틈이 지인들과 간단한 대화를 즐기곤 했다. 그런데 누군가가 내 아이디로 접속을 해서, 친구 목록에 있는 사람들에게 돈을 급히 보내달라고 요청한 모양이다. 이유도 그럴듯하다. 공인인증서가 USB에 담겨있는데, 갑자기 USB가 인식되지 않아서 급히 송금할 일을 처리하지 못하고 있으니 알려준 계좌로 대신 입금을 해달라는 것이다. 저녁에 퇴근 후 곧바로 이체해 주겠다는 약속과 함께. 평소 꼬박꼬박 존댓말을 쓰던 내가 아무렇지도 않게 반말로 말을 거는 것을 이상하게 여긴 매형이, 몇 가지 유도질문 끝에 내 계정이 해킹당했음을 알고 나에게 전화를 준 것이다.  

만감이 교차했다. ‘혹시 한 사람이라도 아무 의심 없이 돈을 이체해서 피해를 입었다면 이를 어떻게 해결해야 하나…? 보상은 받을 수 있을까…? 아니면 내가 대신 갚아야 하나…?’ 급히 친구 목록에 있는 지인 중 로그인 상태에 있는 모든 사람들에게 전화를 걸어 피해 상황을 확인했다. 정말 다행스럽게도 확인한 20명 모두 송금을 하지 않았다는 답을 들었다. 이 가운데 15명은 뭔가 수상한 느낌이 들어서 돈을 보내지 않고, 대신 나에게 연락을 취했었다고 한다. 우선 미안한 마음을 전하고, 추후 조촐한 식사 자리를 마련해서 감사의 뜻을 다시 전했다. 나머지 5명은 대화의 상대가 나라는 것을 전혀 의심하지 않았지만, 아무튼 송금은 하지 않았다고 답했다. 안심은 되었지만 기분이 묘했다. ‘나라고 믿었는데 왜 송금을 하지 않았지?’ 이 분들에게는 그냥 미안한 마음만 전했다.

급한 대로 상황을 마무리한 뒤, 다시 수업을 계속하기 위해 강의실로 들어갔다. Masquerading, Session Hijacking 등 네트워크 상의 위협 요인 및 대처 방안에 대한 슬라이드가 준비되어 있었다. 내가 너무 소심한 것일까? 수업을 진행하는 동안 내가 과연 이런 내용을 강의할 자격이 있는지에 대해 의구심이 들었다. 망설임 끝에 학생들에게 이실직고하기로 결심을 했다. 가장 따끈따끈한 최근 사례를 소개한다는 명분과 함께 방금 겪은 일을 요약해서 학생들에게 전하고 나니 마음이 한결 가벼워졌다. 놀라운 사실은 학생들 중 많은 수가 이미 비슷한 경험을 했다는 것이다. 그리고 일부는 친절하게 대처 방안까지 알려주었는데, 해당 회사에 문의를 해도 뾰족한 수가 없으니 그냥 패스워드를 바꾸는 것이 최선이라는 것이다.

아무튼 준비한 내용과는 달랐지만 어떤 면에서는 오히려 더 유익했던(?) 수업을 마친 후, 분한 마음을 삭힐 수가 없어서 해당 회사에 전화를 걸어 상황을 설명했다. 고객 테이블은 어떻게 관리하는지, 패스워드는 어떻게 암호화하고 있는지 등을 물어보면서 이번 일이 발생한 원인을 함께 찾을 요량이었다. 여전히 다소 흥분된 내 목소리와 대조적으로, 전화기 건너편에서 들려오는 상담원의 음성은 지나칠 정도로 침착했다. 마치 이런 일은 늘 있는 일이라는 듯이! 상담원의 대답은, 사용자 PC에서 패스워드가 유출되었을 가능성이 크니 패스워드를 변경하고 보안 프로그램을 설치하라는 것이다.

이 일을 겪은 후 나는 몇 가지 습관을 바꾸게 되었다. 우선 해당 채팅 프로그램에서 모든 친구 목록을 지웠고, 아예 채팅 프로그램을 사용하지 않고 있다. 그리고 접속하는 사이트에 따라 5~6가지의 패스워드를 구분하여 사용하고 있다. 예를 들면 금융 업무 관련 사이트, 학교 업무 관련 사이트, 취미 활동 관련 사이트, 쿠폰 발행이나 이벤트 응모 등으로 일시적으로 가입하게 되는 사이트 등, 그 용도에 따라 별도의 패스워드를 사용하는 것이다. 하지만 이용하는 사이트가 많아지게 되니 어떤 사이트에 어떤 아이디와 패스워드로 등록했었는지 기억하는 것도 큰 일이 되어버렸다. 결국 내가 방문하는 사이트 주소, 가입 아이디, 패스워드를 엑셀 파일로 깔끔하게 정리하고 나니 이보다 더 든든하고 만족스러울 수가 없다. 작은 소망이 하나 있다면, 패스워드를 정리해 둔 파일의 패스워드를 숫자 네 자리로 설정해 두었는데, 이 패스워드가 노출되지 않기를 바랄 뿐이다.