이제 ‘개인정보 유출’이란 말은 그다지 쇼킹하지도 않습니다. 고객정보 ‘1000만 유출 시대’를 가장 먼저 연 온라인 쇼핑몰 옥션과 이를 비웃듯 얼마 지나지 않아 그 수치를 넘어버린 GS칼텍스, 그외 규모가 크지 않아 조용히 잊혀져 간 여러 사건들까지. 그리고 최근 25개 웹사이트가 합작으로 단일 사건의 ‘2000만 유출 시대’라는 ‘신기원’을 이룩하기도 했습니다. 여기에는 국내 굴지의 백화점인 신세계가 포함돼 있어 다시 한 번 사람들에게 실망을 안겨줬죠.
우리나라 언론사들의 개인정보 유출 관련 보도 방식을 잘 보면 한 가지 공통점을 발견할 수 있습니다. 바로 비판의 칼날을 ‘뚫거나 훔친 쪽(블랙해커 혹은 크랙커)’이 아니라 ‘뚫리거나 당한 쪽(기업·기관 등 해당 웹사이트)’으로 겨눈다는 것입니다.
‘이번에 해킹당한 00가 잘못했다’라고 노골적으로 쓰진 않지만, 좋은 표현 다 제껴두고 ‘털리다’라는 식의 자극적 표현(제목에서)과 은근히 비꼬는 듯한 기사 내용으로 보는 이라면 누구나 해킹을 당한 업체가 뭔가를 소홀히 했다는 인상을 팍팍 줍니다.
개인정보 유출 사건과 관련해 보안업체 관계자들과 이야기를 나누다보면 다소 의외의 공통점을 발견할 수 있습니다. 악의적인 블랙 해커(혹은 크래커)와 ‘맞짱’뜨는 솔루션이나 소프트웨어를 개발하는 사람들이니만큼, 투철한 보안의식에 불타 뚫린 업체들에 대해 “그러니까 우리나라 기업(혹은 기관)들 보안의식 부재가 참 문제에요. 평소에 제대로 했으면 이런 일도 없었을 것 아닙니까”라고 말할 것 같지만 실제로는 그 반대입니다.
“뭐라고 하기 좀 애매해요.” “에휴, 뭐 당할 수도 있죠.”
한마디로 한없이 마음이 넓어집니다. 왜 그런가 가만히 생각해보니 의외로 답은 간단하게 나오더군요. 그런 업체들에 정작 보안 솔루션을 판매하는 것이 자기들이니만큼 뚫렸다고 ‘너무 뭐라고 하지마라’, ‘해커 실력이 굉장히 뛰어났을 것이다(즉, 솔루션은 문제 없을 것이다)’라는 방어본능에 기인하고 있는 것입니다.
같은 맥락에서 국내 모 보안업체 팀장급 관계자가 재미있는 비유를 든 적이 있습니다.
“재벌 회장 사택에 경비원이 한 200명 된다고 쳐 보자고요. 그런데 정말로 희대의 실력을 갖춘 도둑이 맘만 먹으면 경비원이 200명이나 있다고 거기 못 털겠습니까. 땅을 파서라도 털겠죠. 그렇게 재벌 회장 집 털리면 재벌 회장 잘못입니까? ‘재벌 잘못’이라는 기사 하나도 안 나올걸요. 무대가 인터넷일 뿐이지 개인정보 유출도 뭐가 다릅니까. 그런데 이상하게 우리나라 언론이나 네티즌들은 인터넷상의 개인정보 유출은 ‘피해자’한테 뭐라고 해요. 나쁜 건 뚫린 놈이 아니라 뚫은 놈인데.”
‘100% 보안이란 불가능하다’라는 관점에서 보면 틀린 말은 아닙니다. 얼핏 ‘촌철살인’의 명쾌한 비유처럼 들리기도 합니다. 하지만 이 관계자는 한가지 간과한 점이 있습니다. 재벌 회장이 털려서 없어진 물건은 모두 재벌 회장 것이죠. 없어져도 본인 손해지 고객들은 손해볼 것 없습니다. 그런데 각종 웹사이트의 개인정보들은 그 웹사이트 주인 것이 아니죠. 고객들이 믿고 맡긴 겁니다. 그걸 탈취 당하면 손해는 본인만의 몫으로 끝나지 않습니다. 당연히 소비자들과 언론은 내 ‘물건’을 관리하고 있던 쪽에게 “도대체 어떻게 했길래 훔쳐간거냐”하고 푸념 한마디, 비난 한마디 정도 할 권리는 있는 것 아닙니까? 뚫은 놈에 대한 비난은 그 놈이 잡혀서 누군지 밝혀지면 그때 맘껏하면 됩니다.
그런데 이런 보안업체 관계자들이 ‘평소’에는 또 바뀝니다. 제가 예상하던 그 모습이죠.
“우리나라 기업들 보안에 쏟는 IT예산 비율을 보면 정말 심각해요. 보안은 ‘보험’이 아니라 ‘비용’이라고 생각한다니까요. 보안 조치 정말 안 해요.”
이 사람 저 사람한테 수 없이 들은 말입니다. 한마디로 자기들 제품 안 사줘서 열받은 거고, 그런 사람들이 하는 말인만큼 꽤 신빙성이 있는 말이죠. 그리고 이는 수많은 공신력있는 자료들을 통해 증명된 바 있습니다. 그럼 대부분의 기업이 평소에 소홀한 보안조치를 하고 있고, 그러다가 ‘털렸다’는 얘기가 되네요. 개인정보 유출 사건에 있어 언론이나 네티즌들이 당한 쪽에 대한 시선이 곱지 않은 것은 그저 당했다는 사실보다 바로 이런 우리나라 기업이나 기관들의 보안의식 부재, 소홀한 조치 등에 대한 질타가 아닌가 싶습니다.
예전에 모 보안 솔루션 업체 관계자가 저에게 했던 얘기가 생각납니다.
“기자님 이건 정말 오프(오프 더 레코드)예요, 절대로 기사 쓰시면 안 되요. 얼마 전에 털린 ‘어디’ 있잖아요. 평소에 그렇게 상대도 안 해주더니 사건 터지고 나서 우리 회사에 먼저 전화가 왔어요. 제품 빨리 좀 들여달라고. 우리야 큰 회사에 물건 팔아 좋지만 좀 씁쓸하더라고요.”
‘어디’가 과연 어디일까요. 아, 입 간지러워라. afero@kmib.co.kr
우리나라 언론사들의 개인정보 유출 관련 보도 방식을 잘 보면 한 가지 공통점을 발견할 수 있습니다. 바로 비판의 칼날을 ‘뚫거나 훔친 쪽(블랙해커 혹은 크랙커)’이 아니라 ‘뚫리거나 당한 쪽(기업·기관 등 해당 웹사이트)’으로 겨눈다는 것입니다.
‘이번에 해킹당한 00가 잘못했다’라고 노골적으로 쓰진 않지만, 좋은 표현 다 제껴두고 ‘털리다’라는 식의 자극적 표현(제목에서)과 은근히 비꼬는 듯한 기사 내용으로 보는 이라면 누구나 해킹을 당한 업체가 뭔가를 소홀히 했다는 인상을 팍팍 줍니다.
개인정보 유출 사건과 관련해 보안업체 관계자들과 이야기를 나누다보면 다소 의외의 공통점을 발견할 수 있습니다. 악의적인 블랙 해커(혹은 크래커)와 ‘맞짱’뜨는 솔루션이나 소프트웨어를 개발하는 사람들이니만큼, 투철한 보안의식에 불타 뚫린 업체들에 대해 “그러니까 우리나라 기업(혹은 기관)들 보안의식 부재가 참 문제에요. 평소에 제대로 했으면 이런 일도 없었을 것 아닙니까”라고 말할 것 같지만 실제로는 그 반대입니다.
“뭐라고 하기 좀 애매해요.” “에휴, 뭐 당할 수도 있죠.”
한마디로 한없이 마음이 넓어집니다. 왜 그런가 가만히 생각해보니 의외로 답은 간단하게 나오더군요. 그런 업체들에 정작 보안 솔루션을 판매하는 것이 자기들이니만큼 뚫렸다고 ‘너무 뭐라고 하지마라’, ‘해커 실력이 굉장히 뛰어났을 것이다(즉, 솔루션은 문제 없을 것이다)’라는 방어본능에 기인하고 있는 것입니다.
같은 맥락에서 국내 모 보안업체 팀장급 관계자가 재미있는 비유를 든 적이 있습니다.
“재벌 회장 사택에 경비원이 한 200명 된다고 쳐 보자고요. 그런데 정말로 희대의 실력을 갖춘 도둑이 맘만 먹으면 경비원이 200명이나 있다고 거기 못 털겠습니까. 땅을 파서라도 털겠죠. 그렇게 재벌 회장 집 털리면 재벌 회장 잘못입니까? ‘재벌 잘못’이라는 기사 하나도 안 나올걸요. 무대가 인터넷일 뿐이지 개인정보 유출도 뭐가 다릅니까. 그런데 이상하게 우리나라 언론이나 네티즌들은 인터넷상의 개인정보 유출은 ‘피해자’한테 뭐라고 해요. 나쁜 건 뚫린 놈이 아니라 뚫은 놈인데.”
‘100% 보안이란 불가능하다’라는 관점에서 보면 틀린 말은 아닙니다. 얼핏 ‘촌철살인’의 명쾌한 비유처럼 들리기도 합니다. 하지만 이 관계자는 한가지 간과한 점이 있습니다. 재벌 회장이 털려서 없어진 물건은 모두 재벌 회장 것이죠. 없어져도 본인 손해지 고객들은 손해볼 것 없습니다. 그런데 각종 웹사이트의 개인정보들은 그 웹사이트 주인 것이 아니죠. 고객들이 믿고 맡긴 겁니다. 그걸 탈취 당하면 손해는 본인만의 몫으로 끝나지 않습니다. 당연히 소비자들과 언론은 내 ‘물건’을 관리하고 있던 쪽에게 “도대체 어떻게 했길래 훔쳐간거냐”하고 푸념 한마디, 비난 한마디 정도 할 권리는 있는 것 아닙니까? 뚫은 놈에 대한 비난은 그 놈이 잡혀서 누군지 밝혀지면 그때 맘껏하면 됩니다.
그런데 이런 보안업체 관계자들이 ‘평소’에는 또 바뀝니다. 제가 예상하던 그 모습이죠.
“우리나라 기업들 보안에 쏟는 IT예산 비율을 보면 정말 심각해요. 보안은 ‘보험’이 아니라 ‘비용’이라고 생각한다니까요. 보안 조치 정말 안 해요.”
이 사람 저 사람한테 수 없이 들은 말입니다. 한마디로 자기들 제품 안 사줘서 열받은 거고, 그런 사람들이 하는 말인만큼 꽤 신빙성이 있는 말이죠. 그리고 이는 수많은 공신력있는 자료들을 통해 증명된 바 있습니다. 그럼 대부분의 기업이 평소에 소홀한 보안조치를 하고 있고, 그러다가 ‘털렸다’는 얘기가 되네요. 개인정보 유출 사건에 있어 언론이나 네티즌들이 당한 쪽에 대한 시선이 곱지 않은 것은 그저 당했다는 사실보다 바로 이런 우리나라 기업이나 기관들의 보안의식 부재, 소홀한 조치 등에 대한 질타가 아닌가 싶습니다.
예전에 모 보안 솔루션 업체 관계자가 저에게 했던 얘기가 생각납니다.
“기자님 이건 정말 오프(오프 더 레코드)예요, 절대로 기사 쓰시면 안 되요. 얼마 전에 털린 ‘어디’ 있잖아요. 평소에 그렇게 상대도 안 해주더니 사건 터지고 나서 우리 회사에 먼저 전화가 왔어요. 제품 빨리 좀 들여달라고. 우리야 큰 회사에 물건 팔아 좋지만 좀 씁쓸하더라고요.”
‘어디’가 과연 어디일까요. 아, 입 간지러워라. afero@kmib.co.kr
