해킹과 보안은 창과 방패다. 한쪽은 기를 쓰고 막으려는데, 상대는 늘 새기술로 무장해 틈새를 뚫는다. 싸움은 대개 한쪽의 승리로 끝난다. 아무리 철통 보안을 해도 틈새를 뚫고 침입하는 도둑을 완벽히 막기엔 무리가 따른다. 보안을 강화하는 만큼, 사후 대책과 위기대응 능력의 중요성을 강조하는 목소리가 나오는 것도 이 때문이다.

헌데 생각해보자. 애당초 텅 빈 곳간이라면 도둑이 굳이 감시망을 뚫고 침입하려 했을까. 군침 도는 먹잇감을 처음부터 쌓아두길 강요한다면, 위험 또한 그 만큼 커지게 마련이다. 최근 한 달 새 잇따라 터진 SK컴즈와 곰TV넷의 해킹 사고는 보안 기술이나 사고 대응 방식이 아닌, 보안 사고의 ‘원인’을 되돌아보게 하는 사례다.

지난 7월26일 SK컴즈가 해킹 사고로 네이트와 싸이월드 회원 3500만명의 정보를 외부에 털렸다. 보름여 뒤에는 그래텍에서 비보가 전해졌다. 그래텍이 해외에서 운영하는 e스포츠 중계 서비스 곰TV넷이 8월13일 외부 공격을 받아 30여만건의 회원정보가 유출됐다는 소식이다.

외부 공격으로 개인정보가 유출됐다는 점에서 두 사건은 똑같다. 유출된 회원정보 규모가 각각 3500만, 30만으로 큰 차이를 보일 뿐이다. 헌데 정보 유출에 따른 피해를 들여다보면 얘기가 달라진다. 인터넷 서비스 사업자(ISP)에게 적용되는 규제의 차이가 두 사건의 명암을 엇갈리게 한다.

SK컴즈는 해킹 사고로 회원 개인정보를 몽땅 털렸다. ‘실명제’로 알려진 ‘제한적 본인확인제’를 규정하는 정보통신망법 시행령에 따라 이용자 개인정보를 서버에 보관하고 있다가 뒤통수를 맞았다. 아이디와 비밀번호는 물론 주민등록번호와 주소, 휴대폰 번호부터 직업이나 결혼 여부 같은 시시콜콜한 개인정보까지 통째로 도둑맞았다. 비밀번호나 주민번호 등은 암호화돼 있어 안전하다고 주장하나, 이용자 핵심 개인정보가 통제력을 잃고 어딘가를 떠돈다는 점에서 불안감은 여전히 남는다. 2차 피해가 없을 것이라고 안심하기엔, 털려나간 정보의 중요성이 너무 크다.

곰TV넷도 이용자 정보를 도둑맞았지만, 사정이 다르다. 곰TV넷에서 유출된 것으로 추정되는 개인정보는 이용자 아이디와 비밀번호다. 주민번호나 휴대폰 번호, 주소 등은 아예 서버에 저장되지 않았다. 처음 회원 가입을 받을 때부터 이런 정보는 수집 대상에 들어 있지도 않았다. 아이디로 쓸 e메일 주소, 필명, 비밀번호만 입력하면 누구나 회원가입을 거쳐 곰TV넷 서비스를 이용할 수 있다. 이름을 묻는 항목이 있긴 하지만, 필수 기재 항목도 아니며 실명 확인 절차도 없다. 곰TV넷이 해외에 서버를 두고 서비스한 덕분이다. 회원 가입마저도 귀찮다면 트위터나 페이스북 계정으로 곧바로 서비스를 이용해도 된다.

이용자 거래 정보도 안전하다. 곰TV넷이 ‘페이팔’을 결제 수단으로 쓴 덕분이다. 페이팔을 결제 수단으로 쓰면, 거래 정보가 ISP 서버가 아닌 페이팔 서버에 저장된다. 거래 정보가 애초에 곰TV넷 서버에 저장돼 있지도, 저장할 필요도 없으니 해킹 사고에도 이용자 정보가 새나갈 일은 없었다.

SK컴즈는 달랐다. ‘도토리’로 디지털 아이템을 사고파는 SK컴즈는 국내 금융거래법에 따라 이용자 거래 정보를 5년 동안 의무 보관해야 했다. SK컴즈는 이번 해킹 사고에서 거래 정보까지 털리지 않은 걸로 파악하고 있지만, 자칫 피해 규모를 더욱 키울 뻔한 아찔한 장면이었다.

방송통신위원회는 SK컴즈 해킹 사고가 터진 며칠 뒤, ‘인터넷 개인정보보호 강화 방안’을 발표하며 앞으로 ISP들의 주민번호 수집을 원칙적을 금지하겠다고 발표했다. 늦게나마 이런 조치가 나온 건 반가운 일이지만, 아쉽기도 하다. 어부는 물고기가 없는 곳엔 그물을 던지지 않는다. 주민번호를 온라인 ‘본인 확인’의 유아독존 인증키로 맹신하고 개인정보 가두리 양식장을 강요하는 한, 대규모 해킹 시도 위협은 커질 뿐이다. 국내 본인 정책의 씁쓸한 자화상이다.

곰TV넷 회원가입 페이지. 아이디로 쓸 e메일 주소와 비밀번호, 필명 외에 어떤 개인정보도 의무 기재하지 않도록 했다.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.