누구나 해킹을 당할 수 있다. 해킹 시도는 지금 이 순간에도 계속되고 있지만 이를 방지할 완벽한 기술은 없다. 3천5백만명의 개인정보를 유출한 포털도 따지고 보면 예상하지 못한 방법으로 시스템을 해킹당한 피해자이다.

인터넷 서버는 각종 보안장비로 철저히 방비가 되어 있기 때문에 서버에 직접 침투하기는 어렵다. 해커들은 대신 서버를 관리하는 포털 본사의 사용자 PC를 노렸다. 외부 백신 업체의 업데이트 파일을 악성 파일로 바꿔치기한 후 포털 본사 컴퓨터가 감염될 때까지 기다렸다. 그 후 악성 파일이 설치된 PC를 통해 데이터베이스에 접속하여 회원 정보를 빼 간 것이다. 해킹 작업은 실제 업무와 차이가 없었기 때문에 정보가 유출되는 동안 아무도 눈치채지 못했다. 업체는 해킹 사실을 알아내긴 했지만 언제 얼마만큼의 자료가 유출되었는지도 정확히 파악하지 못했다.




정보통신망법에는 침입차단 시스템 설치, 암호화 기술 등을 이용한 보안조치뿐만 아니라 백신 등 바이러스 방지조치를 할 것을 명문화하고 있다. 하지만 역설적으로 이런 구체적인 보호조치를 법 조항에 명시함으로써 기업들이 해킹방지에 큰 노력을 하지 않게 만들었다.

한 쇼핑몰 업체는 천만 명 이상의 개인정보를 유출했지만 이 법조항을 준수했다는 논리로 재판에서 승소할 수 있었다. 개인정보의 안전을 위한 내부 관리계획을 수립해서 시행했고 접근통제 장치를 설치 운용했으며 접속기록 위조방지를 위한 조치도 했을 뿐만 아니라 각종 안전성 확보에 필요한 보호조치까지 빠뜨리지 않았음을 증명한 것이다.

이후 업체들은 소위 “통상적인 수준의 주의의무를 다하였다”고 주장함으로써 모든 피해보상에서 면책받을 수 있었다. 해킹으로 인해 누가 얼마나 많은 피해를 입었는지, 그 보상은 어떻게 해 주어야할지를 논해야 할 재판정에서 방화벽 프로그램을 설치했는지 여부를 따지게 된 것이다.

사실 보안조치를 법에 명시해 놓은 이유는 대부분의 업체가 이런 최소한의 안전장치조차 하지 않기 때문이다. 하지만 법 조항을 다 지킨다고 해킹에서 안전한 것도 아니다. 형식적인 보안조치는 실질적인 해킹방지에 아무런 소용이 없다.

법 조항에 백신을 깔아야 한다고 되어 있을 뿐 백신의 성능에 대해서는 말하지 않고 있다. 백신 프로그램만 설치하면 법적 의무를 다하는 것이므로 성능보다는 가격이 싼 제품만 찾게 될 것이다. 보안 프로그램은 최신 해킹 기법을 따라갈 수 없기 때문에 최신 업그레이드가 필수지만 굳이 그것까지 신경을 쓰지 않게 된다. 업체들이 실질적인 해킹방지에 나서도록 만들어야 이런 부분에 관심을 가지게 될 것이다.

법 조항 준수에만 매달리게 되면 사용 편의성에도 무관심하게 된다. 현재 인터넷 사이트는 컴퓨터에 깔린 백신을 무시하고 무조건 자신만의 백신을 설치하게 만든다. 방화벽 프로그램 등도 마찬가지다. 조금만 신경 쓰면 성능이 검증된 백신을 인스톨하여 어떤 사이트에 가더라도 다 통용되도록 할 수 있다. 이런 편리성을 갖추어야 백신들끼리의 경쟁이 가능해 보안 프로그램 사용이 좀 더 쉽고 편해질 수 있지만 아무도 나서지 않고 있다.


미국의 금융거래 사이트 페이팔의 경우 사용자의 편의성을 극대화하면서도 보안사고를 줄이는 위험관리 기법을 사용하고 있다. 페이팔은 보안을 핑계로 사용자 컴퓨터에 각종 프로그램을 다운로드하도록 강요하지 않는다. 대신 사용자들의 거래를 추적함으로써 사용자 각각의 신용도를 평가하여 거래한도를 조정함으로써 위험을 관리한다. 때문에 일정 금액을 정기적으로 거래하는 사용자의 신용도는 올라가는 반면 한 번도 거래한 적이 없는 나라에 송금할 때는 액수 제한에 걸리게 되는 것이다. 페이팔은 확률에 근거한 방법으로 허위거래 비율을 낮추는 데 집중함으로써 가장 안전한 금융 사이트로 자리 잡을 수 있었다.

2011년 소니는 해커 집단과 갈등을 빚는 바람에 집중 공격을 받아 7천7백만명의 온라인 게임 회원정보를 유출당했다. 소니는 초기에 해킹 사실을 은폐하려 했으나 전략을 바꾸어 정보를 공개하고 대표이사가 공식사과했으며 모든 사용자에게 사용시간 연장과 게임 소프트웨어를 무료로 제공하기로 했다. 또한 실제 피해가 발생할 경우 사용자당 최대 1백만 달러까지 보상해 주겠다고 약속했다.

해킹을 당해 개인정보가 유출되더라도 모든 사람이 피해를 입지는 않는다. 조기에 이 사실을 알리고 추가 대책을 수립함으로써 피해를 최소화할 수 있다. 해킹으로 인한 불편을 입은 사용자들에게 최소한의 보상을 하고 실제로 피해를 입은 사람이 나타나면 그 피해액만큼을 보상하면 된다.

하지만 한국의 인터넷 업체는 법 조항을 무기로 보상의무에서 벗어나려고만 하고 있다. 이번에 문제가 된 포털도 정식 판결이 나기 전에 있었던 법원의 소액 화해 결정을 거부했다. 그 소액조차도 3천5백만명 모두에게 지급하기는 불가능했기 때문이다. 면책받지 못하면 회사가 파산해야 하는 현행 법 조항으로 인해 모두가 피해를 입고 있는 것이다. 이 문제를 해결하기 위해서는 법 조항을 개선할 수밖에 없다.


정보통신망법에서 구체적인 보안조치 사항을 명시한 것이 문제다.
업체는 해킹 방지에 최선을 다하고 사고가 발생했을 때 피해에 대해 보상을 해야 한다는 의무 조항을 명시하는 것으로 족하다. 해킹에 대한 책임 여부는 개별 사안에 따라 조사를 통해 정하면 된다.

이렇게 하면 기업들은 통상적인 보안조치로 만족하지 않고 실질적인 해킹방지에 노력하게 될 것이다.

지금과 같이 해킹을 당한 책임이 있다는 이유로 모든 사용자에게 무조건적인 보상을 요구해서도 안 된다. 사용자에게 불편을 끼친 데 대한 보상 정도로 그치고 대신 피해를 입은 사용자에게 실질적인 보상을 하는 것이 최선이다. 해킹은 막을 수 없지만 피해를 최소화할 수는 있다. 업체들이 스스로 사용자의 정보보호를 위해 애쓰게 만들 방법을 고민해야 할 때다.

글·김인성 (IT 칼럼니스트)