SK컴즈 개인정보 유출 사과와 대응책

오늘 SK컴즈는 개인정보 해킹에 대해 기자 회견을 가지며 고개 숙여 사과했다.

그런데 관련 기사를 읽다 실소를 금할 수 없었다.
 

보안책임자(CSO)을 최고재무책임자(CFO) 직속에서 사장 직속으로 격상시키고, 사내 보안전담 기구와 30명 선의 보안 인력을 50명 정도로 대폭 늘린다...

(출처 : http://www.bloter.net/wp-content/bloter_html/2011/07/69850.html)

일단 보안책임자가 CFO 아래에 있는 이유를 알 수 없다. 조직 구성에서 회사가 어떤 조직 혹은 데이터에 대한 입장을 추론해 볼 수 있다. 좋게 생각하면 SK컴즈는 회사의 중요 자산으로 회사가 보안해야 할 고객 데이터를 규정했다고 볼 수 있다. 그러나 조금 뒤틀리게 생각해 본다면 재무책임자의 승인에 의해 보안과 관련한 사항을 의결해야 한다면? 만약 보안책임자가 앞으로 발생할 가능성이 존재하는 어떤 보안 사항에 대한 보완을 위해 수백억원의 예산 책정을 요구하고 그것의 의결권자가 CFO라면 과연 의결이 쉽게 이뤄질 수 있을까? 그런데 다른 포털들은 보안책임자들이 누구의 지휘 아래 있는 지 궁금하다. 그런데 최소한 CFO 직속은 좀 아닌 것 같지 않나.

또한 피식 웃고 말았던 것은 사내 보안 전담 기구와 30명 선의 보안 인력이라는 표현이다. 정말 그랬다면 참 안타까운 일이다. 3500만의 개인 정보를 담당하는 인력이 30명 선이라... 충분하다고 말하는 사람도 있을 것이다. 사실 5백만 명 정도의 회원이 있는 사이트의 보안 담당자가 3명인 경우도 흔히 봐서 30명이 적다고 할 수는 없다. 그리고 보안 인력은 숫자 보다는 인력의 질이 훨씬 중요하다. 30명 중 외주와 알바가 20명이면 있으나 마나한 인력이기 때문이다. 내가 피식 웃었던 이유는 30명을 50면으로 '대폭' 늘린 게 대책이라고 말하는 태도 때문이다. 차라리 "최고 수준의 보안 개발 인력을 영입할 것이며, 3중 보안을 유지할 수 있도록 내부 해킹 대비반과 외부 감리반, 제 3의 해킹 검토반을 운영할 것이다"라고 대책을 세우는 게 더 신뢰를 줬을 것이다. 30명을 50명으로 늘린다는 따위의 뻔한 대책은 오히려 SK컴즈의 보안에 대한 수준이 얼마나 저급한 가 입증할 뿐이라고 생각한다.


이번 사건이 SK컴즈에 대한 해킹에서 발생했지만 그리고 나도 그 대상이 되었지만 이 사건에 대한 우려는 단지 SK컴즈 뿐만 아니라 경쟁사 포털 사이트와 게임 사이트, 커뮤니티 사이트가 공동 논의해야 할 문제다. 나도 그렇지만 굉장히 많은 사람들이 귀찮음과 편리함의 이유로 여러 사이트에서 공통의 아이디와 비밀번호를 사용하고 있다. 그 비율이 얼마인지 알 수 없지만 분명한 것은 그 숫자가 적지 않다는 것이다. 만약 SK컴즈가 아니라 네이버나 다음, 야후, NC소프트, 넷마블 등등에서 똑같은 해킹 사건이 벌어졌더라도 나머지 모든 사이트에 공통적으로 위험이 발생한다. 이번 문제는 SK컴즈가 모든 책임을 져서도 안되고 책임을 다 감당할 수도 없는 문제라는 말이다. 한국의 모든 웹 사이트의 개인 정보가 유출된 것과 똑같은 상황이라는 점을 인지해야 한다.

정부가 나서서 이번 사건에 대응하지 않으면 이번 해킹 사건은 앞으로 짧게는 3개월 길게는 1년 안에 매우 큰 문제로 나타날 가능성이 크다. 해킹으로 유출된 개인정보는 즉시 사용되지 않고 상당 기간 새로운 사업 모델로 바뀌어 적용된다. 보이스피싱이나 아이디 해킹은 현재의 문제고 이미 유출된 개인 정보로 현재 존재하지 않는 새로운 악성 비즈니스 모델이 나타날 가능성이 매우 높다. 내가 예상하는 대표적인 사례는 스마트폰 애플리케이션을 이용한 신용정보 탈취 가능성이다. 현재 웹에서 유출된 정보를 기초로 스마트폰의 각종 애플리케이션의 정보를 수집한 후 새로운 형태의 피싱이나 훼이킹 서비스를 통한 신용 유출의 가능성이 매우 높다. 그런데 지금 언론은 현존하는 범죄의 가능성만 우려하고 있다. 정말 우려해야 할 문제는 이미 유출된 정보를 이용한 새로운 형태의 범죄다. 이건 예측할 뿐 실제로 발생하기 전에는 어떤 식으로 나타날 지 누구도 알 수 없다. 다만 '반드시' 나타날 것이라는 것은 예상할 수 있다.

SK컴즈의 해킹 사태에 대해 지금 당장 우리가 대처해야 할 것은 3가지다.

첫째, 자신이 가입한 사이트의 비밀번호를 즉시 교체해야 한다. 자신이 가입한 사이트를 확인하는 방법은 내가 예전에 개발한 이지스라는 사이트를 이용하면 무료로 간단히 확인할 수 있지만 이 사이트는 현재 운영되지 않는다. 아쉬운대로 모방 사이트인 http://www.idkeeper.co.kr/ 나 www.idviewer.co.kr 를 사용할 수 있다. 안타깝게도 이 사이트들은 유료로 운영되고 있다.

둘째, SK컴즈 뿐만 아니라 대규모 사용자를 확보하고 있는 사이트들이 공동으로 이 문제로 인해 발생할 수 있는 새로운 유형의 범죄 비즈니스에 대비하는 포럼을 구성해야 한다. 포럼을 통해 문제의 현황에 대해 분석하고 각 업체가 대비할 수 있는 방안을 연구해야 한다.

셋째, 국가의 관련 부처가 이 문제에 적극 개입해야 한다. 먼저 주민번호를 요구하는 사이트의 문제점에 대해 관련 법령을 어떻게 수정할 것인지 논의해야 한다. 거의 사용하지 않는 I-pin과 같은 서비스에 대한 입장을 정리하고 특히 대량의 사용자가 방문하는 사이트에 대해 회원 등록을 요구하는 법령으로 인해 발생하는 개인정보 유출 문제에 대해 새로운 대안을 논의해야 한다.


SK컴즈의 개인정보 해킹은 반드시 발생할 수 밖에 없는 일이었다. 뒤 늦게 대응한다는 비난에도 불구하고 과도하게 많은 개인 정보를 받아야 하는 현실에 대한 반성이 있어야 하고 앞으로 발생할 문제에 대해 공동의 논의가 필요한 시점이다.