-
-
해커 출신 변호사가 해부한 해킹판결
전승재 지음 / 삼일인포마인 / 2020년 2월
평점 :
품절
현재 정보보안 분야는 과거와 달리 기업의 생존을 좌지우지 할 정도로 중요한 항목이 되었습니다. 정보보안에는 다양한 분야가 있지만 그 중에서도 개인정보 유출과 기업의 핵심정보가 유출되는 사건이 가장 주목받고 있습니다. 지금 서평을 남기고 있는 중에 바로 떠오르는 사건만 해도 인터파크, 빗썸, 옥션, 여기어때 등이 생각날 정도로 개인정보 유출은 기업의 이미지 하락과 존폐의 위기로 내몰릴 수 있는 이슈입니다. 해킹기술은 나날이 진보하고 있고 기술적인 변화가 급변하는 상황도 기업이 정보보안을 유지하기 힘든 이유입니다.
정보보안 관련 서적중에서 해킹, 방어, 개인정보보안, 정보유출에 대해서 쓰여진 책은 참 많고 지금도 쓰여지고 있는데 지금 이 책은 관점의 차원이 다릅니다. 독자인 저는 컴퓨터프로그래머라서 정보보안 기술과 해킹기술에 대해서는 어느정도 지식이 있으나 그 반면에 궁금했던 것은 법률적인 부분이었습니다. 개인정보가 유출됐는데 왜 나는 보상을 받지 못하는 것일까, 그리고 기업들은 어느 정도 수준까지 해킹에 방어를 하도록 권고받고 있는지, 그리고 그런 것들이 법률적으로 어떻게 정립되어 있는지 말입니다. "해커출신 변호사가 해부한 해킹판결" 이 책이 바로 그러한 아쉬움을 달래줄 최적의 책이었습니다
이 책은 크게 세 개의 챕터로 분류되는데, 첫 장에서는 개인정보 유출이라는 사건을 중심으로 기업과 법, 공격자, 피해자의 연관관계와 상황을 설명해줍니다. 그리고 첫 장에서는 사건을 법을 통해 어떤 방식으로 조치되고 어떠한 관점과 시야로 이 책을 읽어야 하는지 설명해줍니다. 저자가 설명하듯이 이 책의 첫 장은 법적인 요소를 설명하는데 집중하다보니 약간 지루해질 수 있으므로 뒤의 내용과 병행하면서 보는 것도 요령입니다. 두번째 장에서는 국내의 해킹사례를 설명하고 각 사례별로 사건설명과 공격기법 설명, 판결의 결과와 원인을 설명합니다. 특히 옥션부터 시작하여 시간의 흐름에 따라 사건을 설명하기 때문에 해킹기술의 발전을 볼 수 있는 점도 좋습니다. 왜 옥션의 개인정보유출의 판결의 결과와 인터파크의 결과가 달랐는지도 이해할 수 있고 최근 빗썸등의 경우는 어떠한 특수상황인지도 이해할 수 있습니다. 마지막 세번째 장에서는 해외의 해킹사례와 그 판결의 내용이 심도있게 다뤄지고 있는데 국내의 사례에 비해서 잘 몰랐던 내용들이라서 오히려 재미있고 얻을 것이 많았습니다.
개인정보보호법과 방송통신위원회, ISO 27000 제도 등의 역할과 책임 그리고 한계점 등을 이해할 수 있습니다. 첫 번째 사례로 지목되어 있는 옥션의 경우에는 대한민국에서 가장 첫 번째이자 가장 크게 개인정보가 유출되었던 사례입니다. 지금 생각하면 어이없을 정도로 쉬운 보안취약점에 의해서 해킹이 이루어졌는데 아파치 웹서버의 기본 비밀번호를 유지했고 고객들의 비밀번호와 주민등록번호도 암호화되어 있지 않았습니다. 주목할 점은 그 당시에는 지금과 달리 기업의 정보보안 시스템 수준을 유지하도록 하는 권고사항이 없었고 PIMS, ISMS, ISO 27000 등의 제도도 강화되지 않았을 때였다는 점입니다. 2019까지 이어지는 다양한 해킹사례와 판결은 더욱 더 제 이목을 끌었는데 최근에 해외에서 있었던 메리어트 체인의 해킹사례도 언급하고 있으며 우버의 해킹도 다루고 있어서 몰랐던 지식을 모두 채울 수 있었습니다. 1허들과 2허들의 개념도 제대로 집고 넘어가므로 역시 전문가의 책은 다르다는 생각이 많이 듭니다.