해킹 당한 ID도용 방지책으로 주목…"완벽 해결책은 못돼”

옥션의 고객정보 유출에 따른 2차 피해가 우려되는 가운데, 최근 ID 도용 감시 서비스가 주목받고 있다. ID 도용 감시 서비스는 해킹 당한 것이든 도난 당한 것이든 개인의 각종 ID가 본인 외에 다른 사람에 의해 부정하게 사용되고 있는 것을 모니터링해 보고해 주는 것이다.

이런 가운데 미국에서 제공되고 있는 ID 도용 감시(모니터링) 서비스에 대한 미 인포메이션위크의 분석기사가 관심을 끈다. 미국의 사례를 중심으로 분석한 기사를 게재한다.





ID의 가치는 어느 정도일까? 시만텍의 전세계 인터넷 보안 위협 보고서(Global Internet Security Threat Report)에 따르면, 신용카드 번호는 암시장에서 건당 40센트에 거래되며 은행 계좌번호는 10달러를 호가한다.

사람들의 ID가 금전으로 거래되기 시작한 것은 그리 오래된 일이 아니다. 프라이버시 문제가 학계에서 논의되고 실생활에 적용된 것 역시 마찬가지이다. 하지만 최근 들어 ID를 도용하거나 훔쳐내서 악의적인 목적으로 사용되는 추세가 늘어나면서 이를 차단하기 위한 기술 개발도 점차 성숙 단계에 접어들기 시작했다.

하지만 ID 도난을 감시하는 서비스 사업자들이 제공하는 서비스 수준은 어느 정도나 될까? 미국의 경우, 사회보장번호와 ID 도용 의심 사례를 통지해주는 서비스는 이메일과 전화를 통해 이루어지는데, 서비스 가격이 대략 월 10~20달러 선이며 세 곳의 신용 리포팅 기관(Experian, Equifax, TransUnion)과 휴대전화 애플리케이션, 정부 데이터베이스, 공중 서비스를 모니터링한다.

더 많은 정보를 제공하는 곳도 있다. Intersections의 Identity Guard는 '특허를 받은 스캐닝 기술'을 사용해 인터넷 공간에서 이루어지는 채팅과 뉴스 그룹을 매일매일 모니터링해 ID를 판매하는지 여부를 파악한다고 밝히고 있다.

MyPublicInfo는 범죄 기록과 부동산 정보를 스캐닝하며 Debix의 경우 누군가가 고객의 이름으로 새로운 신용카드를 발급하려 할 경우 집전화나 휴대폰으로 자동 통보해준다.

◆2005년 이후 2억 건 이상의 정보 침해 발생=Privacy Rights Clearinghouse에 따르면, 2005년 이후 2억2,500만 건의 중요한 개인 정보가 침해된 것으로 나타났기 때문에 ID 도난을 방지하는 서비스의 중요성이 매우 높다. 더욱이 데이터 침해에 대한 양과 규모도 증가하는 추세이다.

물론, 모든 데이터 침해 사건이 ID 도난으로 이어지는 것은 아니다. 하지만 침해 건수가 증가하고 있음을 감안해볼 때, ID 도난 사건이 2007년 3배로 증가했음은 놀라운 사실이 아니다.

더욱이 ID 도용 방지가 쉬운 것은 아니다. 미국 연방통상위원회(FTC)의 조사에 따르면, 2001년부터 2006년 사이의 ID 도난의 극단적인 사례 10%를 분석한 결과, 도난을 해결하는 데에만 평균 1,200달러가 투입되었으며 44시간의 해결 시간이 필요했다.

◆ID 도난 방지 기술 미흡=모니터링은 이름을 도용하는 행위를 적극적으로 살펴봄으로써 ID 도용 방지에 도움을 준다. ID를 훔쳐서 다른 사이트에서 사용하거나 불법적으로 이용하는 것을 완벽히 막아줄 수는 없지만 피해를 최소화하는데 효과적일 수 있다.

하지만 모든 인터넷 사이트 자체를 모니터링하고 채팅 내용을 스캐닝할 수는 없으며 신용카드 정보가 이미 남아있는 사이트 즉, 쇼핑 등의 사이트에서 신용카드 번호나 ID가 노출되는 것을 제어하기엔 한계가 있을 수밖에 없다.

모든 서비스나 서비스 수준도 동일하게 이루어지는 것은 아니다. 실제로 일부 업체들의 경우 신용 기관 한곳만을 모니터링하는 경우도 있다. 또한 일부 서비스는 신용 보고서를 모니터링하지도 않는다.

이러한 서비스들에 대해 지불할 만한 값어치가 있는지, 그리고 실제로 ID 도난을 방지할 수 있는지에 대한 논란이 끊이질 않고 있다.

물론 ID 모니터링 서비스가 무료로 제공된다면 충분히 가치가 있다. 일부 금융 기관의 경우 프리미엄 고객들에 한해 무료 모니터링 서비스를 제공하고 있다.

◆ID 도난 모니터링 서비스에 대한 다섯 가지 무료 대안책=ID 도난 모니터링 서비스에 지불하는 대신에 소비자들은 무료로 제공되는 형태의 프로그램을 통해 ID가 도용되는지 여부를 확인해 방지할 수 있다.

1. 크레딧 리포트(credit report)를 잘 살펴본다. 미국의 경우 사용자들은 Experian, Equifax, TransUnion 등 세 곳의 크레딧-리포팅 기관으로부터 매년 크레딧 리포트를 받아볼 수 있다.

2. 크레딧 프리즈(credit freeze)를 활용한다. 크레딧 프리즈는 본인이나 채권자에 한해서만 크레딧 리포트를 볼 수 있도록 한다.

3. 위조 경보 체제를 도입한다. Fair Credit Reporting Act에 따르면, 소비자들은 90일간 크레딧 리포트에 위조 경보 체제를 도입할 수 있다.

4. 직불카드를 피하라. 주유소 등에서 ID를 판독하는 디바이스를 통해 카드 번호를 훔치는 사례가 증가하고 있다. 이렇게 훔친 정보는 해외로 보내져 위조 신용카드나 직불 카드를 제조하는데 사용되기도 한다. 신용카드의 경우 특정 한도를 초과할 경우 카드 소유주에게 통보되거나 한도 이상의 금액이 지불되지 못하는 장치가 있지만 직불 카드의 경우 계좌에 들어있는 금액이 모두 사용되더라도 알지 못하는 경우가 많다. 따라서 직불 카드보다는 신용 카드를 이용하는 것이 더 낫다.

5. 해결해주는 서비스를 찾아보아라. 무료로 ID 도난 방지를 제공하는 공공 기관이나 비영리 기구들도 있다. 이를 적극적으로 활용하는 것도 도움이 된다.

◆ID 도용 모니터링으로도 잡을 수 없는 것들=크레딧 모니터링과 크레딧 프리즈, 위조 경보 등으로도 다음과 같은 ID 절도로부터 보호할 수는 없다.

• 의료 ID 절도. 병원의 응급실에서 누군가가 보험 정보를 활용한다면 막을 방법이 없다.

• 미국의 사회 보장 번호 위조.

• 범죄 ID 절도. 범인이 체포되어 본명이 아닌 다른 사람의 이름을 등록하고 지문을 찍을 경우 범죄 경력이 남게 되며 혐의 부족으로 풀려난 뒤 추후 재판에 회부될 경우 위조를 당한 사람이 출석해야 하는 경우가 생길 우려가 있다.
저작권자 © 컴퓨터월드 무단전재 및 재배포 금지