역사적으로 사람들은 자신의 권리를 찾기 위해 노력해왔다. 이러한 노력을 바탕으로 인권 보호나 시민의 정치 참여에 대한 요구의 목소리가 지속적으로 커져 왔고, 근대를 거쳐 현대에 와서는 시민들이 과거에는 누리지 못했던 많은 권리를 누리고 있다. 그럼, 사람들이 자신의 권리를 찾기 위해 노력 하는 이유는 무엇일까? 사람의 권리는 그 자체로 중요하기 때문일 것이다. (필자의 개인적인 생각이며 신념이기도 하다) 하지만 주위를 둘러보면 사람들은 나 자신이 안전해질 권리, 특히 나의 정보가 안전해질 권리에 대해서는 상대적으로 무감각한 것으로 보인다.
사람들은 자신의 정보가 중요하다는 사실을 매우 잘 인지하고 있다. 2010년대 초중반을 뜨겁게 달군 웹사이트와 카드사의 개인정보 누출 사태에 사람들은 분노했고, 개인정보 보호를 위한 기업의 책임을 강화하라는 목소리가 시민단체, 언론, 정계를 가리지 않고 곳곳에서 터져 나왔다. 이에 따라 기업의 개인정보 보호 의무는 증가하였고 징벌적 손해배상 제도 역시 도입되면서 정보 보호를 위한 제도가 상당히 긍정적인 방향으로 변화해 왔다고 필자는 생각한다. 개인의 노력 역시 증가해왔다. 사람들은 자의든 타의든 조금 더 긴 비밀번호를 사용하기 시작했으며, OTP나 모바일 인증의 사용 역시 예전보단 활발해졌다. 하지만 이것으로 충분한가에 대해서는 선뜻 “그렇다”라고 대답하긴 어려울 것이다.
우리 사회를 둘러보자, 보안이 중요한 군부대나 기업, 관공서에서조차 패스워드를 포스트잇으로 책상에 붙여두거나, 기본 비밀번호 혹은 “1q2w3e4r!!”과 같이 너무 어려워서(?) 해커들이 공격할 엄두조차 내지 못할 비밀번호를 사용하는 경우도 많다. 또 현재 지원 중단에 실행 마저 불가능하게 바뀐 Internet Explorer에 그 유명한 ActiveX를 섞어 아직도 업무용으로 사용하는 회사도 있는 것으로 알고 있다.
기업이나 정부 같은 복잡한 기관이 아니더라도 이러한 인식은 우리 주변에서 쉽게 볼 수 있다. 하나의 패스워드를 여러 사이트에 돌려쓰는 것은 예삿일이며, 많은 친구가 웹사이트를 접속하면서 보안 경고창이 뜨면 경계를 하기보다는 이 창을 어떻게 없애냐는 질문을 하곤 한다. 인증서를 검증하지 못하여 이 사이트가 피싱 사이트일 수도 있다는 브라우저의 마지막 경고이지만, 지금 당장은 내 행복한 웹서핑/과제를 막는 장애물일 뿐이다. 단순히 게임이나 프로그램을 열지 못한다는 이유로 방화벽과 백신을 다 꺼버리라는 간단한 해결책이 정설처럼 돌아다니기도 한다. 사실상 대문을 활짝 열어놓는 셈이다.
최근 학내 커뮤니티에서 뜨거운 감자가 되었던 사건이 존재한다. 바로 자동인증 스크립트와 관련된 사건이었다. 교내 통합인증 시스템에 대한 2단계 인증 도입 후 많은 학생이 브라우저의 확장프로그램에 OTP 키를 저장해 둔 뒤 자동으로 입력해 주는 소프트웨어를 사용해 왔고, 학교 측에서는 이러한 문제를 계속 두고 보기는 어렵다고 판단하여 아예 해당 자동인증 소프트웨어가 사용하고 있는 인증 방식을 차단하였다. 학교의 대처는 상당히 급작스러웠고, 본질적인 문제를 해결하지는 못하였다는 점에서 긍정적으로 평가하긴 어려워 보인다. 하지만, 학교의 대처에 대한 평가와는 별개로 효율을 위하여 많은 사람이 스스로 보안성을 포기하고 2단계 인증을 사실상 단일 단계 인증으로 만들어버린 당시 상황 역시 상당히 안타깝다고 생각한다.
개발자들은 사용자들의 정보를 안전하게 보호하기 위해 여러 기술을 사용하고 있다. (아닐 수도 있지만) 모든 데이터를 특정 길이의 문자열로 단방향 치환하는 해싱이라는 알고리즘은 해킹 또는 보안사고로 인하여 데이터베이스가 노출되었을 때에도 사용자의 패스워드 원문은 알아낼 수 없게 하며, 공격자가 무차별적으로 값을 대입하여 계정의 패스워드나 통장 비밀번호 등을 해킹하는 것을 막기 위하여 일정 횟수 이상 틀린 값을 입력할 경우 접근을 막아버리거나 IP를 차단하는 시스템을 사용하기도 한다. 하지만, 개개인이 정보 보호를 위한 수칙을 지키지 않는다면, 개발자의 이러한 노력은 물거품이 되어버리기도 한다.
모든 사람이 정보보안을 위한 수칙들을 매번 지키면서 살 수는 없다. 당장 필자 역시 같은 패스워드를 여러 사이트에서 쓴다거나, 외우기 어려운 패스워드를 컴퓨터에 적어놓을 때도 있는 등 이러한 수칙들을 지키지 않는 경우도 많다. 다만, 귀찮더라도 자주 쓰는 사이트에 2단계 인증을 도입해 본다거나, 웹사이트에 접속할 때 한 번쯤은 사이트의 도메인과 인증서를 확인해보며 의심해보는 등 사소한 수칙들을 계속 실천해 나간다면 나중에는 상당히 많은 위협으로부터 우리의 정보를 보호할 수 있을 것이다.
우리는 모두 자신의 정보를 보호받을 권리가 있다. 또한, 우리는 카이스트의 구성원으로서 자신이 항상 외부의 공격 목표가 될 수 있으며, 그 피해가 단순히 본인에게로 한정되지 않을 수 있다는 것을 유념할 필요가 있다고 생각한다.