지난 18일 눈길을 끄는 내용이 외신 보도를 통해 전해졌다.
팔레스타인 보안 전문가 칼릴 슈레아테는 페이스북의 취약점을 발견하고 회사 보안팀에 제보했다. 그가 제보한 내용은 친구를 맺지 않은 다른 페이스북 사용자 타임라인(담벼락)에 글을 쓸 수 있는 보안상의 취약점이었다. 페이스북은 설정에 따라 공개, 비공개를 결정할 수 있는데 이를 무력화할 수 있다는 내용이었다.
하지만 페이스북 보안팀은 슈레아테 문제제기를 무성의하게 받아들였다. 보안상의 결함이 아니라는 것이다. 슈레아테는 참다못해 자신이 발견한 취약점을 직접 증명해 보였다. 페이스북 최고경영자(CEO)인 저커버그의 담벼락에 글을 남긴 것이다.
“미안합니다. 당신의 사생활을 침해해 글을 쓰게 됐습니다. 다른 방법이 없었습니다. 페이스북 팀에 제보했으나 받아들여지지 않았습니다. 나는 당신 친구 목록에 들어 있지 않은데도 글을 올릴 수 있습니다. 이 글을 읽고 페이스북의 누군가가 나에게 연락하게 했으면 합니다.”
페이스북 보안팀은 그제야 조치를 취했다. CEO 계정이 해킹된 후 보안상에 문제를 인정한 것이다. 평소 도전적인 `해커 정신`을 강조해온 페이스북 문화를 무색케 한다.
전문가들의 보안 경고를 가볍게 취급하는 일은 국내서도 낯설지 않다. 보안은 누릴 수 있는 이득보다 들어가는 수고와 비용이 더 많다며 `나중에 해도 될 일`이라는 식의 취급을 받는 게 사실이다. 1조원을 겨우 넘은 국내 정보보안 시장 규모는 이런 현실을 잘 반영한다.
하지만 그 사이 보안 수준은 어떨까. 지난 3월 20일 방송사와 금융사는 사이버 테러에 업무가 마비됐고, 6월 25일에는 대한민국의 상징인 청와대가 사이버 공격에 무너지고 말았다. 정부는 사이버 안보 위협에 대응하겠다며 종합대책을 꺼내 놓았다. 언제나 그렇듯 피해가 눈에 보이고 난 후에서다.
사후약방문식의 일들을 반복하지 않기 위해서는 열린 자세가 필요하다. 전문가들의 경고를 `나와 상관없는 일`, `귀찮은 일`이라며 허투루 넘기지 않는 것이 가뜩이나 빈약한 국내 보안 인력풀을 그나마 유지할 수 있는 방법이며, 기업의 보안은 물론 국가 사이버 안보를 강화하는 첫 단추가 될 것이다.
윤건일기자 benyun@etnews.com
