토씨(tossi)의 블로그 평판과 조언

오늘 오전에 토씨의 베타 테스터 모집 프로모션을 대행하는 웹 사이트에서 베타 테스터 관련 정보가 노출되는 사건이 발생했다. 한 인터넷 사용자가 이 문제를 발견했고 몇몇 언론을 통해 기사화되었다.

• SKT ‘토씨’ 개인정보 2500여건 인터넷에 ‘둥둥’  (조선일보)
• SKT 토씨, 이용자 실명·전화번호 등 노출 (MBN)
• SKT 토씨, 이용자 실명·전화번호 등 노출 (연합뉴스)

블로거들도 이 사건에 대해 나름의 정황 보도와 의견을 제시하고 있는데 대표적인 포스트를 몇 가지 소개한다.

• Ceylontea의 플레이톡
• 토씨 베타 테스트 신청자 리스트 공개
• Tossi 베타 테스터 2520명 개인정보 대량 유출

사건에 대해 토씨측에서 공식적인 입장을 밝히는 것을 기다리는 게 맞겠지만 다른 블로거들이 이야기하는 것과 나 또한 잠깐 검색을 해 본 바에 의하면 다음과 같은 상황인 듯 하다.

- 토씨의 베타 테스트 모집은 토씨 운영 그룹이 아닌 SKT를 비롯한 다양한 업체의 웹 프로모션을 대행하는 C모 업체에서 수행했다
- 이 과정에서 수행 업체의 웹 사이트에 토씨 베타 테스터에 대한 정보 파일이 노출되었다
- 한 인터넷 사용자가 우연히 이 파일에 접근하게 되었다

이런 류의 사건은 프라이버시와 보안에 있어서 '매우 낮은 수준의 경각심 부족'이라고 규정할 수 있다. 문제의 개인정보가 포함된 파일이 발견된 웹 사이트인 www.cocas.co.kr은 앞서 이야기했듯 웹 프로모션을 대행하는 웹 사이트인데 사이트 특징 상 고객에게 현재 진행 중인 프로모션의 현황을 보여주기 위해 정보를 공개하고 있는 것 같다. 고객사가 프로모션을 의뢰하면 그 결과를 실시간으로 웹 사이트에서 확인할 수 있도록 하기 위한 것이라 예상한다.

다른 블로거들이 이야기했듯 문제의 파일은 웹 서버에서 삭제되었지만 현재도 이 웹 사이트의 서브 메뉴는 직접 접근 가능하다. 사건이 터진 후 해당사에서 서버에 조금 손을 본 것 같지만 급하게 하느라 여전히 개별 페이지들에 대한 접근 경로를 막지 않은 것 같다.

• http://dev.cocas.co.kr/2007/report/tossi/login.asp

• http://dev.cocas.co.kr/2007/report/tossi/

이번 사건은 편리하게 보면 "아주 멍청한 일이지만 그렇게 심각하다고 말할 수 없는 문제"라고 말할 수도 있다. 그래서 앞서 이야기했듯 "매우 낮은 수준의 경각심 부족"이라고 치부할 수도 있다. 그러나 문제는 이 서비스의 제공사가 국내 최대 이동통신사인 SKT라는 점이다. 그래서 문제다. 문제 자체의 크기는 현업에 있는 사람들이라면 이해할 수 있는 사소한 실수지만 SKT가 그런 실수를 했다면 조선일보도 기사화 시킬 정도로 무게가 있는 것일 수 있다는 말이다.

몇 개월 전 우연히 이 서비스와 거의 유사한 서비스를 SKT와 함께 런칭할 뻔한 경험이 있다. 인연이 닿지 않았는지 해당 부서와 사업은 진행되지 않았고 다른 부서에서 토씨 서비스를 진행하게 되었다. 이 서비스에 내가 지속적인 관심을 갖는 이유 중 하나는 당시의 우연한 만남 때문이다.

당시 기획 초기 단계에 대한 검토 의뢰를 받고 의견을 제시하며 대기업이 이런 류의 서비스를 런칭할 때 발생할 수 있는 몇 가지 문제점에 대해 언급한 바 있다. 그 중 하나는 이미 실현되었다. 미투데이나 플레이톡과 같은 기존 스타트업 기업(start-up company)의 카피 서비스로(copy service)로 비난 받을 수 있다는 점이었다. 특히 열성적인 블로거들이 비난의 화살을 퍼부을 수 있다고 말했다. 개인적인 의견임을 전제로 "SKT와 같은 대기업이 이런 사이트를 만드는 것은 바람직하지 않다"고 조언했지만 이왕 하기로 작정했다면 컨설턴트로서 그런 일을 제대로 할 수 있는 방안을 함께 찾는 게 더 중요할 것 같다고 했다. 특히 미투데이나 플레이특과 같은 업체가 할 수 없는 혁신적 아이템과 웹 서비스를 구축한다면 초기의 네거티브한 반응은 오히려 노이즈 마케팅의 효과를 거둘 수 있을 것이라고 했다. SKT가 갖고 있는 고유한 정보 중 하나인 LBS(Location Based Service) 인프라를 open API로 만들어 미투데이나 플레이톡과 같은 업체에 공급함으로써 대기업이 소기업 죽인다는 비난으로부터 조금은 자유로울 수 있을 것이라고 이야기한 것도 기억한다. 처음에 먹는 욕은 어찌할 수 없지만 소기업들과 협력 관계를 맺고 인프라를 제공함으로써 SKT의 유선 서비스 진출의 비전을 만들 수 있을 것이라고 말했다. 몇 개월이 지난 일이지만 대기업의 책임감을 기억하고 인프라 구축에 매진한다면 카피 서비스를 만들어도 충분히 의미가 있을 것이라고 분명히 말한 것을 기억하고 있다. 당시 대화를 나눴던 부서의 담당자들도 내 의견에 공감했기 때문에 비록 지난 일이지만 이런 이야기를 할 수 있다.

토씨가 테스트 서비스 단계에서 주요 사용자 중 하나인 한국의 블로거로부터 비난을 받고 있고 연이어 개인정보 노출 문제까지 발생한 것은 안타까운 일이다. 내 입장에서 그나마 다행스럽다고 말할 수 있는 점은 몇 개월 전 예상했던 문제의 수준에서 크게 벗어나지 않고 있다는 것이다. 비난이나 개인정보 유출은 서비스 운영에 대한 미숙함에서 비롯한다고 생각하며 이것은 누구가 토씨와 같은 서비스를 만들든 발생할 수 있는 일이다. 발생해서는 안되는 일이지만 그렇다고 이런 일이 발생했다고 결정적인 문제가 있다고 비약할 수는 없다는 말이다. 토씨가 티월드(www.tworld.co.kr)와 처음부터 연동된 상태에서 개인정보 유출이 발생했다면 크나 큰 문제지만 아.직.은 그런 상태는 아니다. 시간이 조금 더 지난다면 현재 토씨 서비스 운영자나 대행사, 개발사는 웹 서비스의 사소하지만 상식적인 운영상 이슈에 대해 깨닫게 될 것이고 노하우를 쌓게 될 것이다. 점점 더 능숙해지면 이번 개인정보 노출과 같은 우둔한 일은 그리 자주 발생하지 않게 될 것이다.

하지만 내가 정말 우려한 것은 현재 토씨 관계자들이 앞으로 발생할 다양한 웹 서비스 운영 이슈에 대해 얼마나 능숙하고 신속하고 고객 중심의 마인드로 대응할 수 있냐는 점이다. 긍정적 전망을 해 주고 싶지만 우려가 앞선다. 알려진 정보에 의하면 토씨의 서비스 제작과 운영은 (주)필링크에서 담당하고 있는 듯 하다. '듯 하다'라고 이야기하는 것은 아직 해당 회사의 담당자를 통해 '운영도 담당한다'는 직접 대답을 들은 적 없기 때문이다. 토씨의 개발은 (주)필링크에서 했다. 필링크 홈페이지의 연혁을 보면 올해 8월 SKT의 T-블로그 개발 수주를 했다는 이야기가 나온다.

(주)필링크의 역량을 의심하는 것은 아니다. 나는 이 회사의 능력과 경험에 대해 자세히 모른다. 단지 웹 사이트에 나온 자료를 보고 추측하고 있을 뿐이니 현재 내 우려는 기우일 수 있다. 그럼에도 불구하고 회사의 연혁만 보고 추론하자면 인터넷 사용자 일반과 직접 대면하는 웹 사이트 운영은 그리 많지 않은 것 같다. 만약 현재 토씨 웹 서비스를 기획한 SKT의 담당 부서 조직원들이 대량의 사용자를 대상으로 한 웹 사이트를 다년간 운영해 본 경험이 없다면 앞으로 토씨 웹 서비스 운영에 심각한 문제가 발생할 수 있다. 어떤 문제가 터질 지 알 수 없지만 문제가 터질 것은 분명하다. 그런데 그런 예측을 할만한 조직이나 사람이 없다면 어떤 일이 벌어질지 불을 보듯 뻔하다. 어떤 서비스든 네거티브한 사용자는 존재하지만 그 비율이 일정 수준을 넘어서면 웹 서비스 자체를 붕괴시킨다. 붕괴는 순식간에 일어나지 않고 매우 천천히 누적된다. 물이 든 비이커 속에 개구리를 넣어 놓고 빠르게 물을 끓이면 개구리가 뛰어 나가기 때문에 위험을 직감할 수 있다. 그러나 천천히 물의 온도가 올라가면 개구리는 언제 삶기었는지 알기도 전에 죽는다. 이것이 내가 가장 우려하는 것이다.


몇 개월 전 토씨와 유사한 서비스에 대해 이야기를 하며 내가 했던 조언 중 하나는 이런 것이었다.

"대기업이든 소기업이든 웹이라는 공간에 들어오면 출발은 똑같다. 대기업에게 크게 유리한 것도 없고 소기업에게 크게 불리한 것도 없다. 네이트닷컴에서 볼 수 있듯 대기업의 막강한 자본도 사용자가 무시하면 그만이다. 유튜브에서 볼 수 있듯 몇 명의 노력으로 수천만명의 사용자를 만들 수도 있다. SKT가 미니 블로그를 만들며 기존 소기업이 할 수 없는 일에 도전하지 않는다면 비난 그 이상도 이하도 없을 것이다. 문제는 대기업이라서 충분한 자본이 있고 목숨을 건 도전을 하지 않아도 되기 때문에 죽는 줄 모르고 몇년 동안 죽을 짓을 반복할 수 있다는 점이다. 소기업처럼, 스타트업 기업처럼, 벤처처럼 노력한다면 비록 대기업의 한 부서에서 시작한 서비스라도 충분히 가치있는 일을 할 수 있다."

내 조언은 이런 것이었다. 토씨는 비록 당시 이 조언을 들었던 분들이 만든 것은 아니지만 지금이라도 이 이야기에 주목하길 바란다. 남의 땅에 들어와 사업을 하려면 일단 그 곳의 문화와 규칙에 적응해야 한다. 이번 토씨의 개인정보 노출은 해당 사업자 입장에선 자신의 서버에서 발생한 문제도 아니고 외주를 준 업체에서 발생한 문제니 좀 억울한 측면이 있을 것이다. 그러나 문제의 브랜드는 토씨다. 사과를 하려면 확실하게 하고 핑계를 대면 안된다.

"우리가 아직 미흡해서 이런 문제가 발생했다. 해당 사업체의 문제가 아니라 우리의 문제다. 죄송하다. 앞으로 집에 안 가고 서버 지키겠다. 외주 줄 돈으로 각성제 사 마시며 일하겠다"

이런 식으로 대답해야 한다. 이 바닥에 들어왔으니 이 바닥의 문화에 적응해야 한다. 대기업처럼 문제가 생기면 누구에게 문제를 묻고 대책 마련하겠다는 식으로 응대해서도, 대답해서도 안된다. 이 바닥에서 살려면 3 번 이마가 터져야 한다. 사과하려면 바닥에 이마가 터지게 조아리며 사과해야 한다. 싸울려면 고객이고 사용자고 할 것 없이 확실히 이기도록 싸워야 한다. 토론하려면 이마에 선 핏줄이 터질 정도로 연구하며 토론해야 한다.

이마가 3 번 터지고 나면 인터넷 사용자들이 인정해 줄 것이다. 토씨가 SKT의 서비스가 아니라 '토씨' 자체임을. 어쨌든 나는 좀 더 오래 이 서비스를 지켜 볼 생각이다.