국내 1호 전산학 박사이자 데이터베이스(DB) 아키텍처 분야의 최고 권위자인 문송천 카이스트 경영대학원 명예교수가 개인정보보호 문제에 대한 진단과 해법을 제시했다. /사진=카이스트

"도둑이 들었다고 칩시다. 출입문(네트워크)을 못 들어오게 막는 것도 중요하지만, 들어왔어도 금고(DB)를 못 열게 하는 게 진짜 보안 아닙니까. 한국 정부와 기업은 대문 단속만 하느라 정작 안방 금고 문은 활짝 열어뒀습니다. 이번 쿠팡 사태는 기술적 해킹이 아니라 근본 설계가 잘못돼서 벌어진 일입니다."

26일 국내 1호 전산학 박사이자 데이터베이스(DB) 아키텍처 분야의 최고 권위자인 문송천 카이스트(KAIST) 경영대학원 명예교수는 머니S와의 인터뷰에서 이번 사태를 ▲데이터 설계 철학의 부재 ▲1차원적 평면 보안 ▲주민등록번호 시스템의 한계라는 3가지 관점에서 입체적으로 진단했다.


범인 검거와 재발 방지 대책이 논의되고 있지만 정작 3370만명의 민감 정보가 내부자에게 통째로 노출될 수밖에 없었던 '데이터 설계의 부실'은 외면받고 있다는 설명이다.

문 교수는 이번 사태의 본질이 '정보보호'와 'DB 보안' 개념의 혼동에 있다고 봤다. 그는 "출입문 정보보호는 문 열고 들어오지 못하게 하는 것이고, DB 보안은 금고까지 접근했을 때 이걸 열게 할 거냐 말 거냐의 문제"라고 정의했다. 이어 "DB 보안은 금고를 열어서 보물을 봤더라도 못 가져나가게 하는 심층 보안인데, 한국은 출입문 얘기만 하고 있다"고 지적했다.

그는 "3370만건이 털릴 때까지 몰랐다는 건 다단계 보안, 권한 분리, 접근 통제 같은 개념이 유치원 수준에도 못 미친다는 증거"라며 "기업들이 성능 저하와 비용을 핑계로 DB 자체 암호화를 기피하는 관행과 정부의 허술한 규제가 이번 참사를 불렀다"고 비판했다.


그러면서 "현재 정부 정책과 기업 투자는 방화벽, 백신, 침입 탐지 등 외부 공격을 막는 '정보보호'에만 90% 이상 쏠려 있다"며 "하지만 성벽이 뚫리거나 합법적 권한을 가진 내부자가 마음을 먹으면 DB를 얼마든지 털어갈 수 있는 속수무책 구조"라고 설명했다.

"1960년대 도로 그대로 쓰면서 아스팔트만 깐다"

문 교수는 정부의 데이터 관리 실태를 '도로 건설'에 비유했다. 국가 데이터 시스템 개편 때마다 근본적인 설계도(도로 교통 지도)는 그대로 둔 채, 코딩(망치질)이나 포장만 새로 하는 식이라는 것이다. 그는 "지금 국가 데이터는 1960년대 수준에 머물러 있다. 애초에 길이 요즘 상황에 안 맞는데 아스팔트 포장만 새로 깐다고 교통 체증이 해결되겠느냐"고 반문했다.

행정안전부 데이터조차 통합되지 않고 800~900개로 산발적으로 쪼개져 있다는 것이 문 교수의 진단이다. 그는 "이런 부실한 설계 탓에 행정망 마비가 오고, 내 등본을 떼는데 남의 서류가 나오는 황당한 일이 벌어지는 것"이라고 질타했다.

선진국과의 보안 수준 격차도 심각하다. 문 교수에 따르면 미 국방부는 30년 전부터 데이터 접근 권한을 1급부터 20급까지 세분화한 '다등급 보안'을 운용하고 있다.

최고 권한인 20등급은 미 대통령조차 국가안보국(NSA)의 특정 기밀 데이터에 접근할 수 없을 만큼 권한 분리가 철저하다는 설명이다. 반면 한국은 1급, 2급, 3급 정도로 보안 등급이 적은 데다 사실상 '1층짜리 평면 보안'이라는 것이다. 관리자 ID 하나면 모든 데이터를 다 볼 수 있다는 뜻이다.

그는 "청와대, 국방부, 심지어 원자력발전소가 해킹당한 나라는 전 세계에서 한국밖에 없다"며 "이는 주민등록번호를 통해 서버 관리자 한명이 털리면 조직 전체가 무너지는 구조적 취약점 때문"이라고 말했다. 이어 "국정원이 2026년부터 다등급 보안 도입을 검토한다지만, 강제성이 없는 한 비용에 민감한 민간 기업들은 움직이지 않을 것"이라고 경고했다.

"보안이 허술하니 국민만 '인증 고문' 당해"

한국 사회의 과도한 인증 절차 역시 '보안 후진국의 그늘'이라고 해석했다. 인터넷 결제나 가입 시 요구되는 각종 복잡한 인증 절차와 보안 프로그램 설치는 역설적으로 기관들이 내부 보안에 자신이 없음을 자인하는 꼴이라는 논리다. 데이터 관리가 부실한 탓에 1단계로 끝날 절차를 복잡하게 만들어 국민에게 책임을 전가하고 있다는 것이다.

문 교수는 "미국이나 영국은 휴대전화 문자 한번이면 끝나는데, 우리는 내가 나임을 증명하기 위해 온갖 고문을 당하는 '인증 공화국'이 됐다"고 한탄했다.

문 교수는 해킹 피해의 확산을 막기 위한 근본 해법으로 '주민등록번호 개혁'을 제시했다. 미국 등 선진국은 신용카드 번호 유출 시 재발급으로 피해가 종료되지만, 한국은 변경 불가능한 주민등록번호가 유출돼 해커들의 먹잇감이 된다는 설명이다.

그는 "이 번호가 해커들에게는 흩어진 정보를 연결하는 '연결 고리'(Linker)가 돼 보이스피싱 같은 2차 피해를 낳는다"고 분석하며 주민등록번호 하나면 타깃의 생활 정보를 여러 건 입수할 수 있어 '작살 피싱'(정밀 티깃팅 사기)이 가능해지는 것이라고 했다.

문 교수는 "영국과 일본도 행정편의를 위해 한국식 번호 도입을 검토하다 부작용 때문에 주춤하고 있다"며 "지금이라도 주민등록번호 뒷자리 7개를 랜덤 난수(무작위 번호)로 바꾸고, 민간 기업에서는 사용을 금지하고 경찰 등 수사기관만 쓰게 해야 한다"고 촉구했다.

정부의 보안 정책이 겉도는 원인으로 문 교수는 '자문 인력의 불균형'을 지목했다. 과학기술정보방송통신위원회, 과학기술정보통신부 등 국회나 정부의 보안 논의가 주로 암호 알고리즘을 연구하는 이론가들에게 의존하고 있다는 것이다.

문 교수는 "현장과 이론의 불균형이 현실과 동떨어진 '서류상 보안'만 양산하고 있다"며 "실제 거대한 시스템 속에서 데이터가 어떻게 저장되고 흐르는지 설계를 꿰뚫고 있는 전산 전문가들의 목소리가 필요하다"고 강조했다.