"현대캐피탈→농협→SK컴즈→넥슨→?"
올들어만 굵직한 해킹사고가 벌써 4번째다. 이제는 성인 남녀부터 이제는 초등학생까지 대한민국 국민 모두의 개인정보가 빠져나갔다고 해도 과언이 아니다.
사건이 터질 때마다 일차적으로 개인정보 유출 기업들에게 비난의 화살이 쏠린다. 고객들의 개인정보를 제대로 관리하지 못한 책임이 있는 만큼 이들 기업에 대한 질책은 너무나 당연하다.
문제는 과연 이들 기업에게만 돌을 던질 수 있느냐는 점이다. 최근 개인정보 유출사고를 겪었던 SK컴즈와 넥슨의 경우, 규모 대비 보안 투자면에서 크게 뒤쳐지지 않았던 곳들이다. 일각에서 이들 기업에 대한 '동정론'이 나오고 있는 것도 이 때문이다.
과거 호기심이나 영웅심리 차원에서 이뤄지던 '해킹'이 돈벌이 수단으로 변질되면서 최근 사이버 공격이 보다 정교하고 끈질긴 타깃공격(APT) 형태로 진화되고 있다. 아무리 든든한 '철옹성'이라고 하더라도 작심하고 달려드는 해커에게는 장사가 없다는 말도 나온다. 실제 미국 주요 정부 사이트와 유명 보안업체들도 줄줄이 해커의 공격에 속수무책으로 당했다.
SK컴즈에 넥슨도 정면으로 보안시스템을 뚫고 들어오기보단 임직원들의 PC에 악성코드를 심는 우회공격 기법에 당한 것으로 알려졌다. 미래에 나올 모든 악성코드를 진단해낼 수 있는 '슈퍼 백신'이 개발되지 않는 한 이같은 공격기법을 차단한다는 것은 불가능하다. 아마도 100% 안전한 보안시스템을 갖춘 곳은 단 한곳도 없을 것이라는 분석도 그래서 나오고 있다.
이제는 새로운 해킹 트랜드에 걸맞게 보안의 패러다임도 전환돼야한다는 지적이 보안 전문가들 사이에 제기되고 있다. 어떤 기업도 언제라도 해킹을 당할 수 있다는 전제 하에 개인정보 유출로 인한 피해를 최대한 줄일 수 있는 방안이 시급하다는 것이다.
몇해 전 주요 인터넷기업들에게 '주민번호'와 '비밀번호'의 암호화를 의무화한 덕분에 그나마 2, 3차 피해 우려를 덜 수 있다는 점을 곱씹어야한다. 여기에 더해 사업자들이 이미 수집된 개인정보를 폐기하거나 최소화해야한다는 것이 보안업계의 지적이다. 무엇보다 국내 사업자들이 과도한 고객정보를 수집할 수 없도록 제도적 장치를 서둘러 마련해달라는 목소리를 정부가 더이상 외면해서는 안될 듯 싶다.