[프리즘]지적과 조언

익명의 화이트 해커에게 이메일이 왔다. 국내 굴지의 인터넷 서비스에 심각한 보안 취약점이 있다는 내용이다. 보안 취약점에 대한 기술적 설명은 물론이고 어떻게 대응해야 하는지 까지 꼼꼼히 적힌 리포트다. 내용을 읽은 후 관련 기업에 문제의 심각성을 알렸다. 취약점이 해커에게 악용돼 해당 서비스를 이용하는 고객이 피해를 입기 전에 조치를 해야 하기 때문이다. 하지만, 이 후 돌아온 답은 왜 남의 서비스 보안 취약점을 찾아 내냐며 불편한 내색이다.

어떤 기업은 한 술 더 뜬다. 홈페이지가 악성코드를 배포하는 역할을 하고 있다고 알리자 명예훼손 운운하며 내용증명을 보낸다. 자기네 기업 홈페이지를 방문하는 고객이 악성코드에 감염돼 피해를 입는 건 안 중에 없다. 홈페이지 보안은 뒷전으로 미루고 문제를 지적한 화이트 해커나 보안업체를 오히려 범죄자로 몰아세운다.

화이트 해커가 보안 취약점을 노출한 기업에 직접 알리지 못하고 기자에게 제보하는 이유다. 기업에 사실을 알리면 ‘남의 일에 참견 말라. 당신을 고발 하겠다’는 반응이 되돌아오기 때문이다.

화이트 해커는 선량한 피해자를 줄이려고 끊임없이 문제를 지적한다. 내 부모와 가족, 친구가 피해자가 되기 때문이다.

제보를 하는 화이트 해커나 보안 기업은 어떤 보상도 바라지 않는다. 그저 문제가 해결돼 해킹 피해를 막는 것을 최우선으로 생각한다. 보안 취약점을 노출한 기업을 매도하는 지적질이 아니라 조언이다. 그들은 단순히 보안 취약점만 지적하는 게 아니라 대처 방안까지 제시한다.

지난 한 달 세월호 사건으로 우리 사회 총체적 문제점이 그대로 노출됐다. 이미 사건이 있기 전부터 전문가는 여객선 안전 대책이 미약함을 지적했다. 선박 노후화와 입출항 관리 미흡 등을 꼬집었다. 전문가의 지적과 조언을 사고 전에 조금이나마 귀담아 들었다면 엄청난 희생자를 내고 온 국민을 우울증 환자로 만든 이 같은 사고 피해를 조금이나마 줄일 수 있지 않을까.

페이스북과 구글, 마이크로소프트 등은 전세계 화이트 해커를 기업 보안 취약점을 찾는 전문가로 활용한다. 지적과 조언을 겸허하게 수용하는 선진화된 보안 문화가 아쉽다.

SW산업부

김인순기자 insoon@etnews.com