옥션 개인정보 유출 사건이 인터넷발 빅뱅 혹은 체르노빌 사태가 되고 있다. 소송 신청자가 10만명에서 100만명까지 늘어날 것으로 보인다. 어림잡아 10만명이라 하더라도 K은행처럼 20만원의 배상 판결이 나온다면 200억원이다. 만일 100만명까지 이른다면, 그동안의 이미지 추락과 함께 한 기업에 결정타를 날리기에 충분한 비용이다.
내부정보유출방지 전문기업을 10년간 경영해온 나는 이번 사태를 바라보며 강력한 의문을 제기할 수밖에 없다. ‘유출 과정의 특이성, 기업의 보안 노력 정도에 무관하게 사고의 책임은 전적으로 서비스 사업자가 져야 하는가’가 바로 그 의문이다.
친구가 금송아지를 맡겼다. 최고의 보초를 골라 보안 교육을 철저히 시킨 후 지키게 했다. 그러나 외출한 사이 보초가 잠시 졸았고 신출귀몰한 도적이 겹겹의 수비망을 뚫고 훔쳐가버렸다. 나는 책임을 지겠다는 생각으로 바로 친구에게 알렸다. 친구는 고소했고 원님은 보초가 조는 것을 방치한 것이 과오라며 전액 배상 판결을 내렸다. 나는 전 재산으로 배상했고 우정은 산산조각났으며 나쁜 소문이 퍼져서 재기조차 불가능해졌다. 이후 사람들 사이에서는 물건 맡아주는 일은 절대 없게 됐고 사고가 나면 끝까지 은폐하는 풍조가 생겨나게 됐다.
극단적일 수 있지만 옥션 사태가 바로 이 상황이라고 생각한다. 개인정보를 비롯, 기밀정보는 본질상 100% 보호가 불가능하다. 유일하게 확실한 방법은 정보를 금고에 넣고, 지하 100m 갱도에 묻은 후, 절대 열어보지 않는 것이다. 그러면 정보는 100% 보호된다. 다만, 정보를 활용할 수 없기에 의미는 사라진다. 현재 시점에서 활용되지 않으면 정보란 무의미하기 때문이다. 활용되면 활용될수록 유출 위험은 커지는 것이 정보의 본질이다. 특히, 정보 활용 프로세스에 기계가 아니라 사람이 개입하게 되면 사고 위험은 더 커진다. 명강사로부터 족집게 강의를 들어도 다 100점을 맞을 수는 없다. 마찬가지로 정보 보호와 보안 교육을 철저히 해도 보초가 깜박 조는 것을 100% 막을 수는 없다.
다시 한번 묻고자 한다. 인터넷 서비스 기업이 개인정보를 100% 완벽하게 관리할 수 있는가. 고객정보 유출 사고가 났는지 안 났는지는 물론 중요하다. 기업은 사고에 반드시 책임을 져야 한다. 하지만 사고가 났다는 표면적 사실에 집중하기보다는 그 이면에 그 기업이 얼마나 정보를 보호하기 위해 노력했고 투자했는지를 살펴봐야 한다. 만일, 기업이 할 수 있는 최고 수준의 투자를 해왔다면 마녀사냥처럼 한 기업을 막다른 곳으로 몰아가는 것은 부당하다.
사건의 초점은 한 기업에 대한 단죄가 아니라 사회의 수준을 한 단계 업그레이드하는 것이어야 하며 옥션 사태를 디딤돌로 삼아 직원들에게 고객정보보호 교육을 하고, 보안 솔루션을 도입하고, 컨설팅과 진단을 받고 지속적인 노력을 해 사고 대응체계를 만들어야 한다.
물론 나는 옥션의 보안 상황을 정확히 알지 못한다. 옥션이 어떤 수준의 보안 시스템을 운용했는지는 모르나, 미국 본사(e베이)의 보안 방침과 절차를 따르고 있었음을 볼 때, 결코 다른 기업과 비교해 낮은 수준은 아닐 것이다. 또한 옥션은 사고가 발생하자 과감하게 공개한 기업이다. 공개함으로써 책임을 지겠다는 기업의 의지를 높이 평가해야 한다. 그렇지 않으면 제2의 사고 때 어느 기업이 공개하겠는가. 끝까지 은폐하려고 할 것이다.
설상가상으로 고객정보 유출 시, 대표이사에게 징역형을 부과하는 입법이 진행되고 있다. 고객정보를 다루는 실무자인 고객센터 직원, 혹은 데이터베이스를 관리하는 DBA가 기업 전체를 무너뜨릴 수 있는 권력을 가지게 되는 것인지 씁쓸해진다.
지금처럼, 마녀사냥이 지속된다면, 향후 어떤 인터넷 서비스 기업이 살아남을 수 있겠는가. 지금은 정보보호 솔루션 업계, 컨설팅 업계, 인터넷 서비스 고객정보보호 담당자, 개인정보보호 관련 정책 입안자, 미디어 담당자들이 함께, 사회적인 합의점을 도출해야 할 시기인 것이다. 감정적으로 치우치기보다는, 인터넷 서비스 기업의 보안 수준과 사고 시 책임에 대해 명확한 규정을 세워나갈 때 옥션 사태는 보안강국의 디딤돌이 될 것이다.
김대환 소만사 대표(kdh@somansa.com) kdh@somansa.com
