2016 법무사 9월호

법무 뉴스 • 이슈 발언대 60 3. 범죄사례의 구성 사례 1 전자등기를 통해 하루 평균 100건의 사건을 처 리하는 법무법인 H의 등기직원 A는 평소 변호사 공인인 증서와 인터넷등기소 ID 및 비밀번호를 교부받아 등기사건 을 처리해 왔다. 하지만 개인사정으로 사무실을 그만두게 되었는데, 본인의 컴퓨터에 매수인(현 소유자)의 공인인증 서를 저장해 두었던 것을 생각하고, 다수의 가장 매수인을 구하여 이들과 함께 매수인(현 소유자)으로부터 가장 매수 인에게 부동산 소유권을 이전하고, 이를 담보로 대출을 받 기로 하였다. 사례 2 법무법인 H의 등기직원 A는 본인이 하는 업무를 친구들에게 이야기하는 중, 친구로부터 공인인증서와 인 적사항을 건당 얼마 정도 계산해 줄 테니 넘겨 달라는 제 안을 받았다. 이에 A는 약 1년 동안 공인인증서와 신분증 사본 등 개인정보를 불법으로 판매해 왔으나 이러한 사실 을 법무법인은 알 방법이 없었다. 사례 3 보이스피싱을 통해 공인인증서를 불법해킹 3) 해 온 B는 최근 공인인증서만 있으면 소유권이전이 가능하다 는 말을 듣고, 알고 있던 법무법인 사무원 A에게 접근하여 변호사의 공인인증서 및 ID와 비밀번호를 입수하여 전자 등기를 신청하여 소유권을 위법하게 취득하였다. 4. 사회공학적 해킹에 무방비인 전자등기절차와 보안 불감증 이와 같은 우려의 원인 중 가장 큰 문제점은 이러한 ‘문 제점’을 위험으로 인식하지 않고, 전자등기제도에 반감을 가지는 법무사집단의 시대에 뒤떨어지는 ‘몽니 부리기’로 바라보는 시각이다. 4) IT의 흐름에 적응하지 못하여, 아날 로그적 사고를 가진 집단의 투정 정도로 바라보는 것이다. 하지만, 오히려 이러한 주장을 무시하는 태도야말로 인 터넷 보안환경을 이해하지 못한 ‘무지’에서 나오는 것이다. 현재 전자상거래와 금융거래에서 발생하는 개인정보와 공 인인증서의 대량유출은 대부분 IT기술적 해킹을 통해서가 아니라, 보이스피싱, 파밍, 또는 관리직원의 악성코드가 심 겨 있는 문자나 메일을 보내는 등 ‘사회공학적 해킹(social engineering) 5) ’을 통해서 이루어지고 있다. 그리고 이러한 ‘사회공학적 해킹’ 앞에서는 폐쇄망을 통한 보안조차도 무 력화될 수 있다. 하지만 금융기관의 보안을 책임지는 기관에서 은행원 을 사칭한 보이스피싱이나, 대형 인터넷 쇼핑몰 6) 의 보안 담당자의 개인PC가 악성코드가 감염된 것을 가지고, 은 행원을 사칭한 단순범죄나 보안담당자 개인의 일로 치부 한다면 이를 이해할 국민들이 있겠는가? 그나마 현재 개인정보로 문제가 된 대형사고의 사회공 학적 해킹은 공격자가 오랜 시간 관리자나 직원의 신뢰를 얻거나 신상을 파악하여 공격을 시도해야 하는 수고가 필 요하나, 7) 현재 전자등기는 어떠한가? 이를 단지 자격자대 3) 부동산등기절차상 자격자대리인의 역할에 관한 연구, 대한법무사협회, 69 면 ; 공인인증서는 발급과 보안에 있어서 해킹에 매우 취약하며, 실제로 공 인인증서 유출사고는 아래와 같이 2012년 8건에 불과하였던 것이 2013년 에는 8,710건, 그리고 2014년 8월 말에는 19,388건으로 급증하고 있다. 4) 법 원과 등기업무를 실무상 직접 수행하는 자격자대리인이 과연 현존하는 IT 적 위험을 모두 인식하고, 이에 대해 적절한 방어를 하고 있었다고 장담할 수 있을까? 불과 2년 전인 2014년도에도 우리는 전자등기가 공인인증서의 안전성과 무결성에 기반하여 안전하다고 판단을 하였다. 하지만 2014년도의 공인인증서는 불과 1분이 채안되어패스워드가 해킹당하는수준이었다. 5) 사회공학(社會工學, 영어 : social engineering)은 보안학적 측면에서 기술 적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비 밀 정보를 획득하는 기법을 일컫는다(위키백과 참조).