[테크홀릭] 톰 크루즈가 주연한 영화 마이너리티리포트(2002년)를 보면 범죄를 저지르기 전에 예비 범죄자를 체포하는 장면이 나온다. 데이터를 분석해 범죄 징후를 예언한다는 영화적 상상력을 버무린 것이다.
하지만 실제로 빅데이터와 클라우드가 발전하면서 범죄 기록과 범죄 성향, 현재 범죄자의 CCTV, 통신 기록을 조회해 예비 범죄자의 범죄 가능성을 확인해 사전에 범죄를 예방하려는 연구가 선진국을 중심으로 활발하게 이뤄지고 있다. 영국 런던은 과거 아일랜드 독립 관련 테러가 빈번하자 CCTV에 관련자 안면 인식을 도입, 범죄자 체포율을 높이는 데 상당한 도움을 받았다고 한다.
금융 분야에서도 마이너리티리포트가 현실로 다가오고 있다. 먼저 은행과 증권사의 약관을 살펴보면 고객 개인 정보 가운데 몇 가지 중요한 정보를 저장하고 있다는 걸 알 수 있다.
전자금융거래법에 따른 수집 정보(온라인 거래에 한함)
전자금융거래의 내용 추적 및 검색 : 고객 아이디, 접속 일시, IP Address, HDD Serial, MAC Address 등
보안정책 수립용 통계 자료 : 개인방화벽 설정, 운영체제 종류, 운영체제 주요 보안패치 여부, 방화벽 설정, 원격접속 설정, 브라우저 버전, 키보드 타입 등
* 당행은 고객의 사생활을 침해할 우려가 있는 민감정보에 대해서는 원칙적으로 수집하지 않으며, 필요한 경우 고객의 별도 동의를 받아 수집하고 동의 목적을 위해서만 제한적으로 이용합니다.
* 당행 홈페이지에서는 만 14세미만 아동으로부터 어떠한 개인정보도 수집하지 않습니다. 단, 만14세미만 아동이 국민은행 영업점에서 법정대리인의 동의 하에 인터넷뱅킹에 가입한 경우에는 그러하지 아니합니다.
▲ 국민은행이 저장하고 있는 개인 정보에 대한 설명.
은행이 저장하고 있는 정보를 보면 “은행이 마이너리티리포트처럼 스미싱을 예방할 수 있지 않을까?” 생각해볼 수 있다. 사실상 은행과 금융기관은 마음만 먹는다면 알 수 있고 사전에 차단할 수 있는 방법이 있다고 할 수 있다.
해외여행자라면 해외에서 카드를 결제하고 난 다음 카드사로부터 본인 결제가 맞는지 확인 전화를 받은 경험이 있을 것이다. 일부 여행자는 전화번호가 이상하게 나와서 보이스피싱으로 착각, 전화를 제대로 받지 못하거나 중요한 보안 질문에 대답을 제대로 못해 카드가 정지당하기도 한다.
이는 카드사가 카드 사기를 막기 위해 구축한 이상금융거래 탐지 시스템 FDS(Fraud Detection System)를 이용한 것이다. 그렇다면 왜 카드사는 적극적으로 FDS를 통해 사기 결제와 카드 복사 같은 사기를 막을까.
아마도 이건 카드는 여신이기 때문에 결제를 해도 고객이 한 달 뒤에 돈을 갚는 구조이기 때문인 것으로 보인다. 사기 결제가 발생하면 불법 카드 결제액을 배상할 의무도 없거니와 고객이 카드를 해지하면 도리어 카드사의 손실이 커지기 때문이다. 결국 카드 복제와 사기를 막지 않으면 카드사 경영에 문제가 생기는 만큼 적극적으로 대처한다고 할 수 있다.
이와 반대로 은행과 증권사에 있는 돈은 은행 돈이 아니라 고객의 돈이 출금되는 것이다. 마키아벨리적 사고로 생각해보자면 직접적으로 은행 경영에 타격은 없다. 이런 스미싱을 당하면 고객이 각종 보안 지식을 갖고 자신이 실수하지 않았다는 걸 소송을 통해 증명해야 한다. 사실상 은행을 이기기 힘들다. 상대적으로 은행은 개별 고객의 신뢰 외에는 아무런 타격이 없는 것이다.
은행과 증권사는 비정상 거래에 대해 수많은 데이터를 축적하고 있다. 스미싱이 발생했을 때의 로그를 보면 비정상 접속 IP라고까지 로그가 나타난다. 하지만 이런 비정상 접속에 대한 차단과 방지는 금융규제당국과 은행권의 복잡한 이해관계 탓에 이행되지 않고 있다. 보안에 문제가 많은 HTS(Home Trading System) 중복 로그인도 최근에야 막았다.
재미있는 사실은 은행이 보안 정책 수립용 통계 자료를 축적하면서 이에 대한 동의는 필수로 했다는 것이다. 사실 보안적 관점에서 보면 방화벽 동작 여부와 백신 설치 여부, 키보드 타입, 보안 패치 설치 여부 등은 보안 프로그램이 사전에 테스트해서 은행에 제공해야 하는 것이다.
이런 점을 생각하면 고객 PC를 디버깅용으로 사용하겠다는 의도밖에 되지 않는다. 물론 키보드 보안 프로그램 대부분이 간단하게 우회될 수 있다는 점은 아이러니다.
다시 말해 보안 정책 수립용 통계 자료는 고객이 꼭 제공할 필요가 없는 개인적 정보다. 유출됐을 경우 불필요한 문제를 일으킬 정보인 것이다. USB 메모리를 이용해 여러 PC에서 인터넷 뱅킹을 이용한다면 이런 보안 정책 수립용 통계 자료는 의미를 갖기도 힘들다.
물론 암호화를 잘 했겠지만 은행과 금융권이 보유하고 있는 고객 맥 어드레스(MAC Address) 역시 해킹과 인터넷 사기에 악용될 수 있어 더 큰 우려가 될 수 있다. 맥 어드레스도 사실 수집할 필요가 없다. 이 정보가 유출되면 도리어 더 크게 악용될 수 있는 정보다.
한 인터넷 보안 전문가에 따르면 하나SK카드는 고객의 맥 어드레스를 수집하고 있다고 한다. 현대카드와 신한카드의 경우 유출되면 도리어 더 큰 문제가 되는 맥 어드레스를 수집하지 않는 건전한 보안 정책을 가진 것으로 확인됐다.
마이너리티리포트는 지금 현실적으로 우리 곁에 다가오고 있다. 하지만 금융 기업이 편하게 자의적으로 운영한다면 고객은 금융 회사에 대한 신뢰를 접어버릴지도 모른다. 앞으로 기업은 고객 정보를 수집할 때 과도한 정보 수집에 대한 욕심은 포기해야 한다.
전자신문인터넷 테크홀릭팀
김호광 칼럼니스트 techholic@etnews.com