엔시스의 정보보호(보안) 따라잡기

방금전 페이스타임으로 걸려 온 전화를 받게 되었습니다. 이미 아시다시피 페이스타임은 애플에서 같은 아이폰이나 아이패드를 사용하는 사용자들끼리 영상통화가 가능하게 하는 기술입니다. 그런데 몇가지 의심가는 부분이 있었습니다.

우선 처음 보는 전화 번호였으나 업무상 그리고 여러가지 친목상 잘 알지 못하는 분들에게 가끔 전화를 받는터라 그냥 받기로 하였습니다.

그런데 조금 있다가 황급히 전화를 끊어 버립니다. 잠시후에 다시 전화가 옵니다. 역시 페이스타임으로 전화가 옵니다. 그래서 다시 받았습니다.  또 제 화면 얼굴이 비치고 나서는 끊어 버립니다. 추측컨데 아마도 자신과 통화하고자 하는 분이 아니었거나 혹은 무작위로 전화 하는 사람일지도 모르겠다는 생각이 들었습니다. 자신의 화면은 숨기고 있었으니 말이지요.

잠시후 해당 전화 번호가 기록되고 있으니 그냥 일반 전화로 전화를 걸어도 받지 않습니다. 왜 그럴까요? 잘못걸었으면 잘못 걸었다고 사과하면 될텐데 말이지요...

그래서 보안적 측면에서 한번 생각해 보았습니다. 여러가지 소설 같은 시나리오가 번뜩 생각이 있으나 포스팅하여 기록하게 된다면 또 다른 모방 범죄가 나올듯 하여 세세한 기록은 하지 않겠습니다.

다만, 대처하는 방법을 생각해 보았습니다. 잘 모르는 사람에게 페이스타임으로 전화가 온다면 무조건 자신의 화면이 비추고 받는 것이 아닌 자신을 비추는 카메라 부분을 손으로 가리고 (즉, 자신의 영상이 상대방에게 보이지 않게) 통화후에 신분이 파악이 되면 그때 통화하는 것이 바람직하다는 생각이 들었습니다.

너무 멀리 나가는 것은 아닌지 하는 생각은 들지만 , 워낙 다양한 사람들이 판치다 보니 여러가지 생각이 드는 것은 어쩔수 없군요.  페이스타임으로  초상권 남용이나 캡쳐, 상대방 어떤 사람인지 파악하기등..기술의 발전으로 인하여 사회공학적 기법도 점점 다양화 진화 되는 것은 아닌가 하는 우려감을 가져 보았네요. 제가 전화한 그 주인은 누구인지 궁금하군요. 일요일 주말에 씻지 않은 몰골로 전화 받았는데 말이지요. 부디 그 사람 실수이기를 ...  @엔시스.

제2의 도시부산. 해양과 항만의 도시 부산, 관광의 도시, 해운대, 광안리, 자갈치.. 하지만 IT와는 사실 그리 많은 관련이 있는 도시는 아닙니다. 그러나 유일하게 IT관련 엑스포 전시회가 매년 열리고 있어 지역에 많은 도움과 활성화에 기여를 하고 있습니다.

그런고로 필자도 가까운 곳에서 열리는 만큼 잠시 시간을 내어 방문하였습니다.  전시회는 늘 그렇듯이 부스관람보다는 컨퍼런스 세미나에 더 관심이 간 것이 사실이었습니다.

그렇게 해서 벡스코 첫 입구에서 세미나 장으로 달려갔습니다. 1시 시작으로 착각하고 갔었지만 1:30분부터 시작이라 조금 시간적 여유가 있었습니다.

1.  개인정보보호법 제대로 준수하는 곳은 한곳도 없어

첫번째 관문은 세미나 듣기 위해서는 사전등록을 신청서를 작성하여 주면 목에 tag 을 달아 자신이 누구인지를 확인 할 수있도록 해 줍니다. 최근 개인정보보호법이 이슈이고 대세여서 한번 신청서를 살펴 보았더니 개인정보 수집은 많이 하고 있지만 그 어느곳에서도 개인정보보호법을 준수하는 항목은 아무리 눈 찾고 봐도 없었습니다. 심지어 법을 비웃는듯한 느낌마져 들었습니다. 최소한 국내 최대 행사를 치른다고 언론에서 보도 하기 전에 법 준수를 해야하고 이러한 부분에 있어서 신경을 쓰지 않았다는 느낌을 바로 받을 수 있었습니다.

왜냐하면 수집내용이 마케팅 용도로 사용될 수 있을 것이라는 것을 신청서를 보고 알수 있었으니까요.

그래서 인포에 물어 보았습니다.

"혹시 이 행사어디에서 진행하시나요?"

"부산광역시와 블라블라블라~~~~"

"왜 개인정보 수집항목과 선택항목 동의 구분이 없는데요? 꼭 적어야 하나요?"

"전 잘 모르겠는데요"

"그럼 합법적이지 않은 개인정보수집에는 동의하지 않겠습니다"

인포관계자는 의아해하고 그냥 원하는대로 해 줍니다. 주변에서 지켜 보았을때 다른 사람들은 아주 열심히 빽빽하게 개인정보를 넘겨 주고 있었습니다,

2. 부스 행사 사전등록에도 개인정보 수집 법 준수는 저리가라~~

컨퍼런스 시작시에 잠시 시작과 행사 안내와 기조연설을 듣고 머무를 시간이 없어 빨리 부스로 향하였습니다. 수많은 학생이 운집해 있고, 그 사이를 비집고 갔더니 사전등록신청서를 작성해 와야 한다고 하였습니다. 다시 신청서를 작성합니다.

이번에도 신청서 작성을 하는데 개인정보 수집에 대한 법 준수는 찾아 볼 수 없습니다. 마지못해 몇줄 들어간 개인정보에 대한 이야기는 이메일 보낼까 말까 정도 수준이었습니다. 그리고 참가한 업체에 개인정보가 넘어 갈수 있다는 내용도 있었습니다.

간단한 소속과 이름만 적고 접수자에게 주었습니다. 그런데 휴대폰 번호를 적지 않았더니 적으라고 합니다. 개인정보 수집에 동의할수 없다고 하니 무조건 적으라고 난색을 표합니다. 사람들이 줄을 많이 서서 기다리고 있어 어쩔수 없이 휴대폰 번호를 불러 주었습니다. 거의 반 강제적으로 정보를 수집하더군요.. 이 사람들이 개인정보보호법에 대한 무지하구나..

아무도 행사전에 교육이나 사전 안내를 하지 않았구나..또는 이 행사의 목적은 많은 방문 한 사람들의 정보를 수집해서 행사에 참여한 업체에게 정보를 넘길수도 있겠구나..하는 생각이 스쳐지나갔습니다.

3. 대형 컨퍼런스 행사, 엑스포 행사 관계자분들께.

아마도 타 행사에도 마찬가지일 것이라는 생각이 듭니다. 몇몇 행사장을 찾아가 보았지만 대동소이 하였습니다. 행사를 원만하게 진행 하기 위해서는 빨리 효율적으로 대응해야 하는 면도 있습니다. 하지만 신청서등에서 개인정보 수집시에는 반드시 현행 법적 요구조건을 구비하여야 합니다.

또한 대부분 신청서를 접수하면 그 정보를 개인정보처리시스템에 다시 입력을 하고 그 입력된 정보는 어느서버에선가 수집이 되었을 것입니다.

방문객 몇십만명이 방문하였다고 대대적으로 홍보하기 보다는 그 많은 사람들 개인정보를 수집하여 영업, 마케팅에 활용하려는 꼼수는 아닌지 다시 한번 문의해 봅니다. 물론 그렇게까지 비약할 필요는 없겠지만 몰랐으면 몰랐다고 솔직히 시인을 하고 현행 법 준수를 다시 한번 촉구 합니다.

개인정보보호법이 시행되고 있습니다. 정보통신망법도 개정 시행이 되고 있습니다. 법은 지키지 않으면 존재할 가치가 없는 것입니다. 이해관계자가 소송으로 가거나 침해신고나 분쟁조정을 하였을때에는 감정적, 이성에 호소하지 않습니다. 다만 법률을 얼마나 잘 지켰는지가 관건이 됩니다. 지금 관행으로는 자칫 집단소송이나 손해배상으로 가면 행사 이미지와 관계자 업무 과실이 인정이 될 가능성이 다분히 높습니다. 조금 더 관심을 가지고 행사가 성황리 잘 이루어졌다고 자화자찬 하기전에 이제는 개인의 인격적인 부분인 개인정보수집을 함부로 해서는 안될 것입니다.

끝으로 2012 부산IT엑스포 준비한 관계자 분들께 수고 많으셨다는 이야기를 전하면서 다음행사시에는 반드시 개인정보수집에 대한 지침이나 수립이 되어 있으면 더 멋진 행사가 되지 않았을까 하는 마음을 가져 봅니다. 조금 더 자세한 허와실은 보안인닷컴 e-매거진 [보안人] 16호에 자세히 취재 기록할 예정입니다. @엔시스