지난 설연휴가 시작되기 전, 국내 유명 온라인 상거래사이트 옥션에서 해킹으로 인한 개인 정보 유출 사건이 알려졌다.
1800만 명의 회원을 보유한 이 사이트는 아직 유출된 정보의 종류나 피해규모는 밝혀지지 않았지만 초대형 사이트의 개인정보 유출인만큼 그 충격의 여파가 가라앉지 않고 있다. 현재 사이버 수사대를 비롯한 정부 기관에서는 이 사이트의 정보유출 사건에 대해 설연휴를 잊은 채 조사를 진행중이다. 현재까지 나온 단서라고는 해킹을 시도한 컴퓨터의 IP가 중국 것으로 밝혀진 것 외에는 없다.
피해 기업은 회원 정보 가운데 비밀번호는 암호화되어 있다고 밝히고 있으나 회원의 이름, 주민등록번호, 전화번호 등이 유출되었을 경우 추가적인 피해까지 예상할 수 있어 매우 심각한 상황으로 번질 수도 있다.
■ 해킹, 남의 일이 아니다
어찌보면 옥션의 이번 해킹 사건은 드러난 몇 가지 일에 불과하다. 새해 벽두부터 우리 군 정보가 중국발 해킹으로 군사자료 및 군인들의 신상 정보가 유출된 사건이 알려지기도 했지만 후속 조치는 감감 무소식이다. 국내 한 대형 사이트 역시 최근 해킹 사건으로 곤욕을 치렀지만 바깥으로 알려지지도 않았다.
지난 2007년 한국쓰리콤 티핑포인트사업부가 발표한 '아태지역 사이버 위협 업데이트 2007' 보고서에 따르면 최근 8년 여 동안 한국 도메인을 사용한 사이트의 해킹 건수는 2만1621건으로 월 평균 212건에 달했던 것으로 나타났다. 이같은 수치는 중국(2만628건), 호주(2만113건), 대만(1만2551건) 등 타 국가와 비교해봐도 아태지역 국가 가운데 가장 높은 해킹 발생국가인 셈이다.
은밀한 침입 시도 후 관리자 계정을 탈취하고 사이트를 무단 점거해 홈페이지를 변조하는 등 초기 해커들은 침해 행위는 제한적이었다. 이들의 능수능란한 시스템 교란 행위는 마치 마술처럼 여겨져 영화나 소설에서 영웅처럼 묘사되기도 했다.
하지만 정보기술이 각국 경제에 밀접하게 연관되면서 해커들이 시스템에 몰래 들어가 '낙서'만 하고 빠져나올 것이라고 생각하기 힘들어졌다. 세계 유수의 보안 업체들이 매년 발표하는 보고서마다 '금전을 노린 해킹 시도'가 빠지지 않는다.
보안업체 관계자들은 최근 해커들은 무자비한 해킹을 시도한 뒤 사이트를 마비시킬 수 있는 능력을 보이거나 개인정보를 탈취한 뒤 대담하게 업체에 연락해 금전을 요구하는 '사이버 인질극'이 빈번해지고 있다고 말한다. 실제로 보안업계에서는 국내 대형사이트가 해킹되어 개인정보를 유출한 해커들과 협상하고 입막음을 위해 별도의 비용을 지불하는 경우가 간혹 소문처럼 떠돌고 있다.
■ 어떻게 막느냐, 그리고 어떻게 대처하느냐
이번 옥션 해킹 사건을 두고 많은 비난이 쏟아지고 있다. 보안에 만전을 기해야 할 초대형 사이트에게 쏟아질 수 있는 당연한 비난이며 옥션은 추후 피해가 발생할 경우 그 피해에 대한 책임까지 져야 한다.
하지만 다른 한편으로는 이번 사건에서 옥션은 기업이 사이버 범죄에 어떻게 대처해야 할 것인지에 대한 모범사례를 보여줬다는 점에서 고무적이라는 평가도 있다.
보안에 있어서 최선은 '어떻게 막느냐'이지만 차선으로 만일 침해 사건이 발생되었을 경우 '어떻게 대처하느냐'까지 포함돼야 한다.
다행히 이번 옥션의 자발적인 공지와 수사의뢰가 공개적으로 이뤄지면서 사이버 인질범들과 협상하지 않는 단호한 모습을 보였다. 그간 게임업체와 공공기관을 대상으로 한 해킹 사건에서 막무가내로 부인하거나 사건을 축소·은폐하려다 초동대처에 실패한 모습을 봐왔다. 일부는 은밀히 사이버 인질범에게 목적한 돈을 쥐어주어 입막음해왔던 사례도 있음을 상기할 때 옥션의 행동은 유별나기까지 하다. 과연 우리 기억 속에 책임감 있는 자세로 해킹 사건 초기부터 자신들의 잘못을 인정한 기업이나 기관이 있었는가.
비록 고객 정보 유출 단서와 징후를 발견한 뒤 뒤늦게 공지했다는 비난이 일고 있지만 옥션의 자발적 공지는, 수사 결과 발표를 기다리며 자신들의 책임을 뒤로 미루는 기업들과 다른 모습인 것은 분명하다.
해커와 같은 범법자에게 금품을 제공하고 사건을 무마한다거나 해킹 징후를 발견하고 대외적으로 쉬쉬하는 국내 기업 풍토 속에 쉽지 않은 자발적 공지를 감행한 옥션 경영진에게 박수를 보낼 수 있어야 한다. 당장의 기업 이미지 실추를 막기 위해 사이버 인질범들에게 거액을 움켜주는 행동은 범죄인들을 안심시키고 숨겨주는 것이므로 범죄 이상으로 나쁜 행동이라는 점을 이번 기회에 다시 한 번 강조하고 싶다.
그동안 보안에 있어서 예방과 탐지가 최우선이었지만 100% 보안이 현실화되기 힘든 상황에서 이제는 어떻게 대응해야 하는지에 대한 사회적 합의가 필요한 시점이다.
------------------------------------------------------->
이 글은 전자신문인터넷 이버즈에 오늘 날짜로 송고된 칼럼입니다.
** 볼랜드 포럼에서 넘어오신 분들은 아래 글도 읽어주세요. 답변 겸 제 단상을 담았습니다.
▶