[목회와신학] 개인정보유출, 교회는 안전한가?

[목회와신학] 개인정보유출, 교회는 안전한가?(이동현목사)

  얼마전 대형 온라인 마켓에서 개인정보유출로 인해 많은 사람들을 당황스럽게 한 적이 있었다. 이런 일들이 일어날 때마다 사람들은 자신의 개인정보가 유출되지 않았나 염려하면서 관련사이트에 방문하여 개인정보 유출 여부를 확인하는 일들이 일어났다.
  대형 온라인마켓이라는 점을 믿었다가 큰 봉변을 당한 사람들은 대부분 온라인마켓에는 서버보안담당자등이 있어서 이런 문제점이 일어나지 않을 것이라고 생각했지만 생각과 달리 문제의 심각성은 예상보다 켰다.
 그러나 이러한 일들은 어제, 오늘만의 일은 아니었다. 대형 ISP업체, 대형 포탈사이트등이 개인정보를 유통업체나 백화점등에 넘겨 경찰의 수사망에 오른 적지 않다.
  이런 관점에서 교회홈페이지와 온오프라인의 교회교적관리시스템은 이들에게 있어 좋은 먹이감이 될 수 도 있다. 대형교회든 중소형교회든 보안에 중요성을 잊어버리면 언제 어디서나 교회 성도들의 개인정보뿐 아니라 교회주요문서까지 해킹 당할 수 있다.
  그럼에도 불구하고 교회의 현실은 어떠한가? 대부분의 교회 교역자들이나 전산담당자들은 이렇게 생각하는 경우가 많다. “우리교회는 그리 중요한 정보가 없기 때문에 아무 문제가 없어”라고 한다. 과연 그럴까, 그렇지 않다. 교회홈페이지를 살펴보면, 일반 업체보다 더 세부적인 정보들이 포함되어 있다. 이름, 주민등록번호(생년월일), 집전화, 핸드폰, 이메일, 직분, 소속기관과 봉사기관등의 정보를 통해 보이스피싱이나 범죄에 사용될 수 있는 요소등이 많다.
  또한 교회홈페이지와 교적관리시스템, 재정관리시스템(이하 관리시스템)이 동시에 연동하는 교회뿐만 아니라 관리시스템을 로컬로 운용하는 교회도 마찬가지로 보안상의 문제점이 있어 외부로 교회의 정보와 자료들이 유출될 가능성이 있음을 유념해야 할 것으로 본다.

1. 새고있는 교회 개인정보와 교회 기밀자료들
 
  (1) 교회홈페이지에 올라가 있는 오픈된 개인정보들 - 담임목사의 이메일주소와 전화번호, 교역자들의 이름과 전화번호와 사역들, 성도들의 소속교구와 이름, 여기저기 올라가 있는 개인정보들을 쉽게 홈페이지에서 접할 수 있다. 특히 교회로 전화하여 “OO교구의 OOO집사의 전화번호를 알려주세요”라고 하면  쉽게 개인 전화번호를 알 수도 있으며, 교회게시판에는 한 주간동안의 목회자 및 교인동정을 알 수 있는데 그들 중에 외국에 유학을 가거나 단기선교를 간다는 정보가 있다면 보이스피싱에 노출될 수 있다는 사실을 간과해서는 안 될 것이다.

  (2) 홈페이지 관리자 아이디의 관리소홀로 인한 정보유출
    일반적으로 교회에서는 정보통신분야(인터넷담당, 전산담당)의 담당자를 장로님이나 안수집사, 또는 해당분야에 종사하고 있는 분들에게 사역을 위임하는 것이 일반적이다. 그러나 여기에 허점이 있다. 장로님, 안수집사님등은 직접적으로 전산업무를 하기보다는 지시를 하는 경우가 많으며 젊은 사역자들이게 관리자 아이디와 패스워드를 알려주어 관리하는 일들이 잦다. 더욱이 이런 젊은 사역자들이 자신만이 그 아이디를 알고 있는 것이라 해당 부원들 모두에게 알려주어 문제가 생기는 경우도 적지 않다.
  또한 현재 발생하고 있는 조직 내 정보유출의 대부분은 내부자에 의한 것이 외부자에 의한 것보다 7:3 정도의 비율로 많이 나타나고 있다. 따라서 내부자에 의한 정보유출에 대한 대비책 마련이 시급하며 이를 위해 교회내 인터넷 담당자, 책임자등에 대한 교육이 있어야 할 것으로 본다.

  (3) 관리자 및 홈페이지 담당자에게 보내어 오는 알 수 없는 메일들
    어느날 알 수 없는 사람에게 이런 메일을 받은 적이 없는가, “최신 프로그램 무료 다운로드”, “인기 있는 OOO동영상 다운해 보세요”등 메일을 읽고 무심결에 저장 및 설치하는 경우가 간혹 있다. 바로 그 순간 트로이 목마프로그램이 내 컴퓨터에 설치되어 다른 사람들이 내 컴퓨터를 자신의 컴퓨터인양 마음대로 돌아다니게 할 수 있다. 이렇게 자신의 컴퓨터가 해킹을 당하게 되면 여러 가지 문제점을 야기시킨다.

   1) 내가 하고 있는 현재의 작업을 해커도 동시에 보면서 통장의 계좌번호와 비밀번호도 모두 얻어낼 수 있다.
     로컬 컴퓨터로 교인교적관리시스템을 통해 교적관리를 하고 있는 모습, 선교사들에게 선교헌금을 보낼려고 은행에 접속하기 위해 사용하는 아이디와 패스워드를 훔쳐내어 사용할 수 도 있다.
   2) 컴퓨터에 저장해 놓은 1급 기밀 파일을 모두 가져갈 수 있다.
     개인신상정보도 중요하지만 교회의 기밀파일이나 중요한 파일을 훔쳐 갈 수 있다. 일반적으로 중요한 데이터를 가지고 가면서 흔적을 남기지는 않지만 악한 마음을 품은 이들은 자료을 가져가면서 귀중한 자료를 없애 버리는 경우도 있다는 사실을 기억해야 한다.
   3) 키보드로 무엇을 입력하고 있는지도 모두 알 수 있다.
     사용자가 타이핑을 하면 일정시간이 지나거나 실시간으로 타이핑치는 정보가 메일이나 화면으로 다른 사람에게 전달되는 키로그(Key Loger)프로그램들이 있다. 이러한 해킹프로그램도 트로이목마를 통해 자신도 모르는 사이에 설치되는 경우가 있다.
   4) 메일 계정에 있는 편지를 모두 볼 수 있다.
     가끔씩 목회자나 전문사역자들을 만나면 명함을 교환한다. 거기에는 최소한의 정보, 이메일주소가 있다. 물론 교회홈페이지에서도 전산담당자나 담임목회자의 이메일주소가 있다. 이 경우에 해커는 여러분들의 최소한의 두 가지 정보를 알게 되는데 하나는 당신이 메일 서비스를 받고 있는 사이트의 이름과 다른 하나는 당신이 그 사이트에서 사용하는 아이디이다. 해커는 여러분들의 비밀번호만 알면 당신의 메일을 열어 볼 수 있다. 이 경우에 일일이 사람이 넣어 보는 것은 거의 불가능하므로 프로그램을 이용하게 되는데 이를 ‘비밀번호 깨뜨리기(패스워드 크래킹, Password Creacking)'이라고 한다. 비밀번호를 알아내는데 사용하는 프로그램은 매우 많으며 인터넷을 통해서 쉽게 구할 수 있다, 게다가 이런 프로그램을 동원한 후 몇 대의 컴퓨터를 연결해서 한 번에 처리하면 매우 복잡하게 만들어진 비밀번호도 매우 빠른 시간안에 알아 낼 수 도 있다.
 


2. 교회내 개인정보와 교회 기밀문서 보호하라

  최근에는 교회홈페이지와 교적관리시스템, 재정관리시스템을 연동하는 교회가 예전보다 늘고 있다. 편리성과 신속성등의 이유로 교회가 접근하고 있는 것이 사실이다. 만약에 관리업체의 실수로 인해 생기는 문제에 대해서는 어떻게 할 수 없기에 믿을만하고 신뢰성이 있는 기업을 선택하는 것이 중요하다. 영세하거나 작은 규모의 웹호스팅에서는 보안과 관련하여 허술하기 때문에 문제가 생길 가능성이 높다. 그렇다고 해서 무작정 교적관리시스템과 재정관리시스템을 로컬컴퓨터에서 운용한다고 해서 안전하다고 볼 수 없다. 어찌 보면 더욱 위험할 수 있다. 기업체에서 운용할 경우에는 그 책임이 솔루션을 제공하는 업체에 있기에 보안에 만전을 가할 수 있지만 교회현장은 그렇지 못하다. 바이러스의 위험, 해킹의 위험등이 언제 어디서나 일어날 수 있기 때문이다.

  (1) 웹브라우저로 개인정보와 교회기밀 문서를 보호하라
     인터넷보급이 대중화 되면서 이메일을 통해 대부분의 업무가 처리된다. 특히 교회에서도 인트라넷기반으로 업무를 처리하는 교회가 늘어나고 있다. 이를 통해 더욱 보안에 신경을 쓰야 하는데 첫 번째로 해야 할 일은 바로 접속한 사이틀 목록과 파일을 지우는 일이다. 기본적으로 접속한 사이트에 관한 정보는 당신이 사용하는 PC의 하드디스크에 저장되는데 이것을 히스토리 또는 인터넷목록이라고 한다. 만약 은행사이트에 접속했을 경우나 교회홈페이지에 접속한 경우등 가리지 않고 모두 기록된다. 또한 특정사이트에 방문했을때 “당신은 OO번째 방문객입니다.”라는 메시지를 경험한 것이 있을 것이다. 이 또한 인터넷에 있는 쿠키라는 기능이 있어서 가능케 한다. 이러한 사호한 것들이 개인정보 유출의 기초자료가 된다. 특히 주의해야 할 일은 바로 자동완성기능을 없애는 일이다. 자동완성 기능이란 접속하는 사이트의 주소와 입력하는 정보를 컴퓨터 내부에 기억시켰다가 동일한 정보를 입력할 경우에 자동으로 글자를 완성하는 기능이다. 이러한 기능은 홈페이지주소를 빨리 적을 수 있다는 잇점도 있지만 아이디와 패스워드로 기억했다가 비슷한 글자를 입력하는 순간에 자동으로 아이디와 비밀번호까지 노출된다는 문제를 발생시킨다.  

임시인터넷 파일, 쿠키, 기록,
양식데이터, 암소 삭제하기
자동완성 기능 해제
1. 웹브라우저 실행
2. 도구->인터넷옵션 선택
3. 인터넷옵션->검색기록(삭제)
4. 임시 인터넷파일, 쿠키, 기록, 양식데이터,
   암호등을 각각 선택하여 삭제

1. 웹브라우저 실행
2. 도구->인터넷옵션 선택
3. 인터넷옵션->대화상자(내용)
4. 내용탭에서 자동완성 클릭
5. 자동완성 사용 대상
  ->웹주소, 양식, 사용자이름과 암호 클릭

(Internet Explorer 7기준) 

  (2) 메일을 읽거나 보낼 때에 보안접속을 클릭하라
     누군가 나의 편지를 내가 열어 보기전에 볼 수 있을까. 물론 볼 수 있다. 모든 사람의 편지를 훔쳐볼 사람은 없겠지만, 여러분이 중요한 자리에 있는 사람이라면, 편지를 누군가 훔쳐 볼 가능성이 높다. 특히 공산권이나 중동지역에 편지를 보낼 경우에는 더욱 보안에 신경을 쓰야 한다. 이를 위해 편지를 암호로 바꾸는 것이 필요하다. 그렇다고 해서 편지를 암호로 바꾸는 것이 결코 어려운 일은 아니다. 암호로 바꾸는 방법은 아래의 표를 참조하면 쉽게 셋팅할 수 있으며 메일서비스에서 제공하는 보안접속을 통해도 가능하다.

1. 도구메뉴 -> 옵션선택
2. 옵션 대화상자 -> 보안탭을 선택
3. 보안탭 -> 보내는 모든 메시지의 내용 및 첨부 파일 암호화 항목을 체크 표시후 확인 클릭한다

  (3) 교회컴퓨터와 개인컴퓨터에 바이러스 백신과 방화벽을 설치하라.
    컴퓨터를 다운시키거나 중요한 데이터를 사라지게 하는 바이러스, 불법접속자로부터 컴퓨터를 지키기 위한 방화벽설치는 어찌 보면 가장 기본적인 일들이다. 그러나 이러한 기본적인 일들을 소홀히 하다보면 나도 모르는 사이에 컴퓨터가 다운되거나 교회의 주요자료나 정보들이 남의 손에 넘어가는 경우가 있다. 특히 개인이나 교회에서는 최소한 개인용 방화벽 또는 애플리케이션 방화벽을 설치하는 것이 좋다. 예를들면 존알람이나 블랙아이스 디펜더등이 이에 해당한다.

  (3) 윈도우업데이트, 백신업데이트등을 통해 보안의 허점을 막아라.
     간혹 컴퓨터를 구입하여 2-3년이 지나도 원도우 업데이트가 무엇인지 몰라 구입초기 상태로 사용하는 목회자들이 있다. 이러한 목회자들은 언제 자신의 자료와 정보가 해킹당하거나 바이러스로 인해 없어질지 모른다. 원도우 업데이트는 원도우프로그램을 만든 마이크로소프트사가 무료로 제공하는 것으로 원도우의 문제점이나 패치를 올려놓아 사용자로 하여금 안정적으로 컴퓨터를 사용하도록 지원하고 있다. 백신업데이트는 해당 프로그램업체에서 실시간으로 다운받아야지 최신 바이러스의 위협에서 탈피할 수 있다.

 

  (4) 패스워드 관리를 철저히 하라.
     교회에서 개인정보의 유출을 막기 위해서는 가장 시급한 일은 바로 패스워드관리이다. 아이디와 패스워드만 알면 우리가 생각하는 것 이상으로 많은 정보가 유출될 가능성이 높기 때문이다. 해커들은 여러분들의 개인 비밀번호를 알기위해 비밀번호 추출프로그램을 사용하여서라도 정보를 얻고자 한다. 비밀번호 추출 프로그램을 이용하면, 비밀번호는 간단히 알아 낼 수 있다. 그러나 그런 프로그램에 대항 할 수 있는 좋은 비밀번호를 만들 경우 개인정보를 보호하는 첫걸음이 될 수 있다.

  그렇다면 좋은 비밀번호를 만드는 4가지 원칙에 대해 살펴보면 다음과 같다.

    1) 수시로 비밀번호를 변경한다. 
    2) 추측하기 어려운 비밀번호를 만든다.
       ① 아이디, 주민등록번호, 전화번호, 차량번호, 가족의 이니셜등으로 만들지 않는다.
       ② 사전에 나오는 단어로 비밀번호를 만들지 않는다. (Ex angel, pastor)
       ③ 단순히 단어와 숫자를 결합하지 않는다. (Ex honggil80, younghee88)
       ④ 단순한 숫자를 사용하지 않는다.(Ex 3927, 0191, 8291)
       ⑤ 키보드에 있는 배열대로 만들지 않는다(Ex asdf, ghdrlfehd(홍길동))
   3) 프로그램을 동원해도 알수없는 비밀번호를 만든다.
       ① 될 수 있는대로 6자리 이상으로 만든다.
       ② 특수문자, 영문자, 숫자를 포함해서 만든다.
   4) 비밀번호를 잘 지킨다.
       ① 한번 비밀번호를 사용했으면 일 년 안에는 다시 사용하지 않는다.
       ② 남에게 비밀번호를 알려주지 않는다.
       ③ 개인용, 업무용, 은행용등에 사용할 아이디와 패스워드를 따로 만들어 사용한다.
  

   3. 교회와 목회자들이 해야 할 일들

      (1) 교회홈페이지에서는 개인정보를 노출시키지 않는다.
      교회홈페이지에 있는 이메일주소와 개인정보를 대해 오픈해야 할 경우에는 로그인해야지만이 최소한의 정보를 얻을 수 있도록 해야 한다. 게시판등록기와 같은 프로그램을 통해 얻어지는 정보을 막을 수 있는 최소한의 방법이다. 또한 공개용 게시판 사용을 자재해야 할 것이다. 공개된 게시판들이 좋지 못해서가 아니다. 공개게시판의 소스 경로를 통해 해킹 가능성이 조금더 높기 때문이다. 물론 해당 공개프로그램을 제공하는 업체들이 나름대로 패치를 내놓기는 하지만 그래도 불안하다.
    (2) 교회홈페이지와 교적관리시스템의 로그파일을 확인한다.
       일반적으로 관리자들이 로그인하면 로그파일이 생성된다. 교회 담당자가 아닌 해커가 침입한 경우에도 반드시 로그파일이 남게 되는데 일시와 아이피를 파악하면 담당자인지 아닌지를 알 수 있다. 만약에 교회홈페이지와 교적관리시스템(재정관리시스템)과 연동하는 교회일 경우에 이상 조짐이 나타날 경우, 해당 호스팅업체에 알려 문제해결에 나서야 한다. 특히 재정과 관련해서는 해당 거래 은행에 문의하여 이상 유무를 파악하는 것이 중요하다.
    교적관리시스템과 홈페이지가 연동되지 않더라도 해킹의 가능성은 언제나 있다. 그러하기에 교적관리 담당자나 재정관리 담당자들은 로그파일을 확인해 보는 것이 중요하다.
    (3) 아이디와 비밀번호는 알려주지 않는다. 로컬컴퓨터에 패스워드를 설정은 기본이다. 특히 홈페이지 최고관리자 아이디는 공유하지 않는다. 만약 누군가의 실수로 최고관리자 아이디가 유출되었다면 홈페이지에 담긴 모든 정보가 외부로 유출될 수 있다. 만약 여러개의 아이디와 패스워드를 일일이 기억하지 못한다면 수첩에 기록하거나 알패스 프로그램등을 통해 저장해 두는 것도 괜찮다.
    (4) 바이러스 백신 및 방화벽프로그램사용법을 익혀 놓는다. 너무나 당한 일이지만 바이러스는 컴퓨터를 바보로 만들어 해킹이 되어 중요한 정보가 유출되는지를 인식못하게도 한다. 또한 중요한 정보(자료)를 삭제한다. 그러하기에 바이러스 백신업데이트 및 검사는 기본적으로 해야 한다 그리고 방화벽설치 및 스파이웨어 제거 프로그램을 사용하여야 할 것이다.
    (5) 업무용 메일과 개인용메일을 구분하고 메일접속시 보안메일로 접속한다. 업무용과 개인용을 구분하지 않을 경우 급한 업무를 처리해야 하는데 처리할 수 없는 경우 타인에게 아이디와 비밀번호를 알려주게 되는데 이런 경우에는 반드시 업무처리후 비밀번호를 변경해 주는 것은 기본이다. 또한 교회용 컴퓨터를 통해 인터넷사용시 반드시 목록지우기, 쿠키삭제하기, 자동완성 기능해제등으로 자신의 자료나 정보유출을 막을 수 있다.

  2008년 4월 28일 시티뉴스에 의하면 2030세대 절반 남짓은 개인정보 유출로 스팸메일이 증가하는 등의 피해를 입었다는 설문결과가 나왔으며, 28일 온라인 취업사이트 사람인에 따르면 자사회원중 20-30대 남녀 880명을 대상으로 ‘개인정보 유출로 피해를 본 경험이 있는가’라고 설문한 결과 52.8%가 ‘있다’고 응답했다. 이러한 피해로 ‘스팸메일의 증가, 잦은 광고전화로 인한 업무방해, 보이스피싱, 개인정보의 도용등으로 나타났다. 이처럼 사회에서는 개인정보유출에 대한 문제를 집중적으로 다루고 있는데 비해, 교회는 아직 이에 대한 심각성이나 대비책이나 부족하다. 만약 교회의 개인정보이나 교회기밀자료등의 유출로 인해 교회 신뢰성문제로 이어지지 않도록 교회 정보유출등에 각별히 신경을 쓰야 할 것으로 본다.