[ET단상] 해킹과 기업의 책임

그리스 로마 신화에 등장하는 트로이 목마의 이야기는 보안의 관점에서 많은 시사점을 던져 준다. 그리스의 계략도 감탄스럽지만, 10여 년에 걸친 전쟁에서 완벽한 수비를 자랑하던 트로이가 그리스의 속임수로 망국에 이르렀다는 사실은 허탈하기 그지없다.

　실제로 사이버 공간에서 트로이와 같은 철옹성이 순식간에 허물어지는 일은 비일비재하다. 한 치의 접근도 허용하지 않을 것만 같은 NASA나 미 국방부 같은 기관들의 보안장벽조차도 해커의 공격 앞에서 무력화되는 것을 보면 십수년째 보안을 연구해 온 사람으로서 자괴감이 들 정도다.

　작년에 미국의 공학한림원에서는 ‘21세기 위대한 도전’ 연구 분야로 태양열과 핵 테러에 대한 대처 등과 더불어 사이버 공간 보안 확보를 선정한 바 있다. 이는 정보보호 기술이 석유를 대체하는 신에너지 기술 개발처럼 어렵고도 중요한 인류의 문제라는 의미기도 하다.

　얼마 전 미국에서는 사상 최대의 정보유출 사건으로 불리는 허트랜드페이먼트시스템 법정 공방이 막을 올렸다고 한다. 무려 1억3000만건의 신용카드 정보가 유출된 사상 초유의 해킹 사고를 놓고 집단 손해배상 소송이 제기됐다. 국내에서도 하루가 멀다 하고 발생하는 개인정보 유출 사고와 대규모 소송을 바라보며, 어떤 수준의 보안이 충분한 것이고 또 그 기준은 무엇인지 많은 생각을 하지 않을 수 없다.

　보안은 솔루션이 아니라 프로세스고, 결과가 아닌 과정이라는 명제는 보안 분야에 일반적인 상식이다. 모든 소프트웨어에서 취약점이 발견되고 개선되는 과정이 있는 것처럼, 조직의 보안 환경도 지속적으로 취약점을 찾아내어 보완해가는 과정에 있다. 따라서 한 조직의 보안 수준은 특정 시점을 기준으로만 평가할 수 있는 것이라기보다는 보안 수준 향상을 위한 노력과 투자를 얼마나 꾸준히 해 오고 있는지의 평가 문제다. 물론 해킹을 당한 기업에 어디까지 책임을 물을 것인지는 기술적인 관점에서만 판단할 사안이 아니다. 하지만 보안을 위해 합리적인 노력을 기울이며 조치를 취해온 사실이 입증된다면, 해킹 피해 당사자에게 해킹 피해의 또 다른 책임을 지우는 것은 더욱 신중해야 할 문제다.

　해킹당한 기업에 책임을 지우는 문제에서 추가로 고려해야 할 사항이 있을 것이다. 피해 기업에 대한 과도한 책임 추궁은 오히려 해커에게 또 다른 동기부여가 될 수 있다. 금전을 요구하는 해킹 범죄가 더 만연하게 되는 부작용도 예상해 볼 수 있다. 또 해킹 외의 다른 경로들을 거쳐 다량의 개인 정보가 이미 유통되고 있는 상황에서, 해킹사고로 정보 유출이 발생한 특정 기관이나 기업에만 책임을 묻는 것은 더욱 더 신중해야 할 부분이다. 미국을 비롯한 외국은 정보 유출로 인한 정신적 피해보다는 실질적인 피해를 규명하고 이의 책임을 묻는 추세라고 한다. 우리도 이제는 해킹 사고의 책임에 대한 전향적인 논의와 사회적인 합의가 필요한 시점이다.

　이 외에도 해킹 피해를 둘러싼 책임 소재의 논란은 늘 존재한다. 지난 7월 DDoS 사태에서 악용된 좀비PC만 수십만대라고 한다. 해커들에 조정되는 개인 PC가 주요 웹사이트를 공격하고 그 피해가 다시 개인에게 돌아가는 악순환 고리 속에서 과연 누가 누구에게 책임을 물어야 할지 참으로 난감한 일이다. 해킹 피해자가 가해자가 될 수도 있는 아이러니다. 서로가 서로에게 손가락질하는 데에 들어가는 막대한 사회적인 비용과 에너지가 대한민국의 보안 의식을 끌어올리고 보안 인력을 양성하는 데 사용됐으면 하는 바람이다.

충남대학교 류재철 교수 jcryou@home.cnu.ac.kr