최근 미국 건강보험사가 해킹당해 좀더 강력한 보안 조치가 요구되는 가운데, 이 사고의 피해 규모가 유통, 은행의 사고보다 훨씬 더 클 수 있다는
미국 최대 규모의 건강보험사인 앤썸(Anthem)의 해킹 사태로 8,000만 명에 달하는 고객 정보가 유출됐다. 여기에는 사회보장 번호도 포함돼 있었다. 이번 데이터 유출 사건은 소비자들이 지게 되는 위험이 얼마나 크고 해커들이 얼마나 개인 정보를 쉽게 약탈할 수 있는지를 여실히 보여주었다. 그 중에서도 특히 건강 관련 데이터가 매우 취약한 것으로 나타났다.
해커들이 건강보험사를 노리는 이유는 단순히 중요한 정보가 많아서가 아니라 이들 회사의 보안 수준이 낮기 때문이다.
미국 시라큐스 대학(Syracuse University) 정보학 부교수인 아트 토마스는 “보험사 해킹에 성공하기만 하면 은행을 해킹했을 때만큼의, 혹은 그 이상의 정보를 얻을 수 있다”고 말했다.
늘어난 정보 보관기간
보험사들은 은행이나 신용카드 회사들보다 훨씬 더 많은 고객 정보를 보관하기 때문에 해커들이 노리는 먹잇감이 된다.
“보험회사는 정보를 처리하는 여러 집단간의 브로커와 같은 역할을 하기 때문에 일종의 정보 허브라 할 수 있다”고 토마스는 설명했다.
예를 들어 일반 기업의 건강보험을 담당하는 업체의 경우 직원들의 회사 정보나 연봉 정보를 보관하고 있을 수 있다. 또 그 사람의 주소, 사회보장번호, 가족관계 등의 정보도 저장돼 있을 수 있다.
이러한 정보들이 있으면 해당 인물의 프로필을 매우 쉽게 작성할 수 있다고 토마스는 말했다.
보안업체인 애조리언 사이버 시큐리티(Azorian Cyber Security)의 CEO인 찰스 텐델은 프로필이 정확할수록 피해 액수와 규모도 커진다고 말했다. “신용카드를 훔치면 물건 몇 개 사고 말겠지만, 개인 정보를 훔치면 직접 (피해자 이름으로) 신용카드를 만들 수 있다”고 그는 말했다.
IT보안업체 ESET의 보안 연구원 캐머론 캠프에 따르면, 이런 이유로 암시장에서는 개인 정보가 금융 정보보다 유통 기한이 길다. 금융 정보의 경우 판매 후 2주가 지나면 무용지물이 되기 때문이다. “건강 보험이나 개인 정보를 훔치게 되면 정확도도 훨씬 올라가고 정보의 유효기간도 더 길어진다”고 그는 말했다.
완전한 데이터일수록 해커는 피해자의 신상을 더욱 정확하게 파악할 수 있다. “해커들은 이렇게 얻은 정보로 피해자의 은행 계좌나 지메일 계정을 이용할 수도 있다. ‘비밀번호 찾기’ 메뉴를 이용해 온라인 계정의 비밀번호를 재설정 해버리기 때문에 특히 온라인으로 많이 거래하는 이들에게 더 큰 피해를 입힐 수 있다”고 캠프는 밝혔다.
가짜 소득신고
정보 유출 후 앤썸 사는 잠재적 피해 고객들에게 연방 정부 및 주 정부에 소득 신고서를 제출해야 한다고 고지했다. 해커들이 피해자 이름과 정보를 사용해 가짜로 소득 신고서를 작성한 뒤 세금 환급을 받을 수도 있기 때문이었다. 실제로 미 재무부는 이와 비슷한 문제를 이미 겪은 바 있다.
세금 소프트웨어 터보택스(TurboTax) 개발업체인 인튜이트(Intuit)는 미국 국세청의 안티프로드(antifraud) 정책으로 주 정부에 들어오는 가짜 소득신고가 약 3,700% 증가했다고 밝혔다. 신고 건수가 너무나 급격하게 증가한 나머지 터보택스는 일시적으로 주 정부에 접수된 소득 신고를 정지해야 했다. 캠프는 앤썸이 도난당한 정보가 주 정부의 세금 환급 신청에 유용하게 쓰일 수 있는 정보들이기 때문에 사기 피해자들, 특히 세금 환급을 받아야 하는 피해자들이 이중고를 떠안게 됐다고 말했다.
방향 전환
해커들이 보험사를 노리는 건 이들이 저장하는 데이터의 방대한 량 때문만은 아니다. 보험 업계 전반이 최신 보안 트렌드를 따르지 않았기 때문이라고 토마스는 지적했다. “건강보험사들은 은행만큼 보안을 유지하지 못했다. 요즘 들어서야 보안을 강화해야 함을 느끼는 정도다”라고 그는 말했다.
“큰 배일수록 방향을 트는 데 오랜 시간이 걸린다. 설령 보안을 강화하는 쪽으로 마음을 돌리더라도 목표에 도달하기까지는 수 개월, 많게는 수 년이 걸릴 것이다. 그리고 그 때쯤이면 이미 해커들은 새로운 수법을 사용하고 있을지도 모른다”라고 토마스는 전했다.
해킹 발생 후 보고 시간을 의무화하는 법안이 의회에 제출됐지만 고객들이 데이터 위험에 대해 알게 됐을 때 큰 영향을 주지는 못할 것이라고 텐델은 지적했다. 이들 업체, 기관들이 해킹 사실을 확실히 확인하기 위해서는 수 개월이 걸리기 때문이다.
“애널리스트들이 경영진에게 해킹 가능성에 대해 이야기한다 해도 이것이 반복되면 결국은 모두가 양치기 소년을 대하듯 이들에게 귀를 막게 될 것이다”라고 텐텔은 말했다. 때문에 그는 기업들이 회사 시스템에 접근하려는 해커들을 선제공격 할 수 있는 법안을 주장했다. 해커들을 상대로 디도스 공격 등을 할 수 있게 하자는 것이다. “이 법안이 통과되면 많은 기업들이 환영할 것”이라고 그는 전했다.
*Jen A. Miller는 뉴저지에 거주하며 뉴욕타임즈, 필리델피아 인콰이어러, 러너스월드 등에서 활용하는 자유기고가다. dl-ciokorea@foundryco.com
