[특별기고] 개인정보 ‘보유’의 시대를 끝내자..제2의 대형 유출 사고 막는 가장 확실한 길은?

[뉴시안= 뉴시안] 최근 대한민국을 강타한 일련의 해킹 사건들. 정부 행정망(GPKI) 인증서 탈취부터 통신사 해킹, 그리고 끊이지 않는 대형 플랫폼의 개인정보 유출 우려까지. 이 모든 상황을 지켜보며 보안 전문가로서 깊은 우려를 표하지 않을 수 없습니다. 사건의 양상은 다르지만, 그 중심에는 항상 '계정 탈취(Account Takeover)'라는 공통된 원인이 자리 잡고 있습니다. 이제는 방어의 패러다임을 근본적으로 바꿔야 할 때입니다.

"데이터를 아무리 잘 지켜도, 모아두면 결국 털린다." 이것이 냉혹한 현실입니다.

# 꿀단지를 없애라: 중앙화된 인증의 한계

해커들이 왜 기업과 기관의 서버를 공격할까요? 그곳에 모든 것이 모여 있기 때문입니다. 현재 대부분의 인증 시스템은 사용자의 아이디와 비밀번호, 혹은 개인정보를 서버(DB)에 '보유'하는 방식으로 작동합니다. 이는 마치 수만 명의 집 열쇠를 경비실 한 곳에 보관하는 것과 같습니다. 경비실(서버)만 뚫으면 아파트 전체가 무방비 상태가 되는 셈입니다.

최근의 사태는 바로 이 '중앙화된 꿀단지(Honey Pot)'가 깨지면서 발생했습니다. 기업이, 정부가 개인의 민감한 정보를 과도하게 '보유'하고 있기 때문에, 유출되었을 때의 파급력 또한 재앙에 가까운 것입니다.

# '내가 가진 것'으로 증명하라: FIDO와 패스키(Passkey)

이제 우리는 "서버는 검증만 할 뿐, 비밀은 개인이 소유한다"는 원칙으로 돌아가야 합니다. 이것이 바로 전 세계가 주목하는 FIDO(Fast Identity Online) 기술의 핵심 철학입니다.

쉽게 설명해 보겠습니다. FIDO 기술을 적용하면, 여러분의 비밀번호는 서버가 아닌 여러분의 스마트폰, PC, 개인 보안키의 안전 영역(Secure Enclave)에만 생체 정보(지문, 얼굴)와 함께 저장됩니다. 로그인할 때 서버는 여러분에게 수학적인 퀴즈를 내고, 여러분의 스마트폰이 그 퀴즈를 풀어 "나 맞습니다"라는 신호만 보냅니다.

이 과정에서 비밀번호나 생체 정보는 네트워크를 타고 전송되지 않으며, 서버에 저장되지도 않습니다. 해커가 서버를 털어도 가져갈 '열쇠'가 없게 되는 것입니다. 이것이 바로 '보유하지 않음으로써 지키는' 역설의 미학입니다.

# 피싱(Phishing)이 불가능한 나라로 가야 한다

가짜 네이버, 가짜 구글 로그인 페이지를 정교하게 만들어 사용자를 속이는 피싱 사이트에서, 기존의 비밀번호 및 전통적 인증 방식은 속수무책으로 당할 수밖에 없습니다. 사용자가 직접 입력하기 때문입니다. 하지만 FIDO 기반의 인증(패스키 등)은 도메인 주소 및 장치, 생체인증, 암호화 키 등 모든 요소가 일치하지 않으면 아예 작동하지 않습니다. 기술 자체가 피싱을 원천 차단하는 것입니다.

이것이 바로 아무도 믿지 않고 끊임없이 검증한다는 '제로 트러스트(Zero Trust)' 보안 모델의 시작점입니다.

# '만능키'는 없다: 내부자 위협을 원천 봉쇄하는 기술

쿠팡 사태와 같은 내부자 유출이 왜 발생할까요? 기업 서버에 고객의 모든 정보와 인증 권한이 집중되어 있기 때문입니다. 관리자는 '슈퍼 유저'로서 모든 문을 열 수 있는 만능키를 쥐고 있습니다.

FIDO 기술을 도입하면 서버에는 사용자의 비밀번호나 생체 정보 원본이 저장되지 않습니다. 대신, 수학적으로 검증 가능한 '공개키(Public Key)'만 저장됩니다. 이 공개키는 그 자체로는 아무런 효력이 없는 암호 조각에 불과합니다.

따라서 악의적인 내부자가 DB를 열어보거나 해커가 서버를 통째로 털어가더라도, 사용자 몰래 로그인을 하거나 정보를 도용하는 것은 불가능합니다. 진짜 열쇠는 사용자의 스마트폰, PC, 보안키 등의 안전 영역(Secure Enclave) 안에만 존재하기 때문입니다. 내부자가 훔칠 '원본' 자체를 없애는 것, 이것이 보안의 끝판왕입니다.

# 미국은 왜 FIDO를 '법'으로 정했나?

보안 선진국인 미국은 이미 움직였습니다. 지난 2021년 조 바이든 대통령은 행정명령(EO 14028)을 통해 연방정부의 보안 체계를 '제로 트러스트(Zero Trust)'로 전환할 것을 지시했습니다.

주목할 점은 그 구체적인 이행 지침(OMB Memo M-22-09)입니다. 미국 정부는 단순한 2단계 인증(MFA)을 넘어, '피싱 저항성(Phishing-Resistant)이 있는 MFA'를 사용할 것을 의무화했습니다. 그리고 그 유일한 기술적 대안으로 지목된 것이 바로 FIDO 표준입니다.

미국 정부가 공무원과 일반 시민들에게 FIDO 기반의 인증(패스키 등)을 강제하는 이유는 명확합니다. 문자 메시지나 ARS, OTP 같은 기존 인증 방식은 해커에게 너무나 쉽게 뚫리지만, FIDO는 사용자가 진짜 사이트에 접속했는지 기술적으로 검증하며 피싱을 원천 차단하기 때문입니다.

# 대한민국, 'AI 기본 사회, AI 3 대 강국 도약'의 성공 조건

한국은 세계 최고 수준의 IT 인프라를 갖췄지만, 보안 인증 체계만큼은 여전히 과거의 유산에 묶여 있습니다. 애플, 구글, 마이크로소프트 등 글로벌 빅테크 기업들은 이미 비밀번호를 없애는 '패스키'서비스를 제공하고 있습니다. 한국 역시 공인인증서 폐지 이후 다양한 인증 수단이 등장했지만, 여전히 '편의성'과 '보안성' 사이에서 갈팡질팡하고 있는 실정입니다.

이제 국가, 공공, 금융, 민간을 망라한 범국가적인 결단이 필요합니다.

데이터 주권의 회복: 개인정보와 인증 정보를 기업 서버가 '독점'하고 '보유'하는 관행을 버려야 합니다.

우선, 피싱 저항성(Phishing-Resistant)인증 의무화가 중요합니다. 국가 중요 시설, 금융, 대형 플랫폼 등 국민의 삶과 직결된 분야부터 미국처럼 '피싱 저항 인증' 도입을 의무화해야 합니다.

제로 트러스트의 보안 실현도 강조됩니다. "아무도 믿지 않는다"는 원칙 아래, 우리 정부가 이미 공개한 제로트러스트 가이드 라인을 발전시킨 제로트러스트 보안 도입실무 매뉴얼을 발행하고 미국처럼 제로트러스트 도입을 법적 의무화해야 합니다.

"개인의 정보는 개인의 손에". 이 단순하고 강력한 원칙으로의 전환만이 우리의 약한 고리인 '비밀번호'와 '중앙 집중형 인증'을 끊어내고, 개인에게 디지털 주권을 돌려주는 방향으로 나아가고 다가오는 AI시대에 대규모 개인정보 유출사태를 막아낼 수 있습니다.

이재형 옥타코 대표(국가인공지능전략위원회 자문위원)

[기사 원본 보기]