보안? 뚫릴 수는 있지만, 대응이 더 중요하다!



오늘 애플계정, 즉 IColud 계정이 쉽게 도용될 수 있다는 이야기가 불거졌습니다.

주된 내용은 애플의 보안 취약점을 이용해서 임의의 개조된 URL을 통해 iForgot 페이지에 진입이 가능하고, 그것을 이용해서 비밀번호를 리셋할 수 있다는 것이었습니다. 이게 만약에 구멍난채로 대응이 늦어진다면 엄청난 피해를 야기시킬 수 있는 일입니다. 애플ID로 관리할 수 있는 개인 메일에서 iOS 문서들, 아이튠즈의 구매목록들까지 피해가 돌아가니 말이지요.


이 문제가 해외쪽 소식통(The Verge, engadget 등)에 올라오자마자 애플에서는 바로 회신하며 입장을 밝혔습니다.

"Apple takes customer privacy very seriously. We are aware of this issue, and working on a fix." - engadget


"애플은 고객들의 프라이버시를 굉장히 심각하게 고려한다. 우리는 이 사태를 알아차렸고, 수정작업 중이다."


일단, 사태에 대해서 깔끔하게 인정했습니다. 그리고 고객의 입장에서 불안할 수 있는 부분에 대해서도 애플이 비중있게 생각하고 있음을 시사했습니다. 그리고는 만 하루가 되지 않아 문제를 해결했고, 현재는 문제가 없다고 하는군요.




보안? 분명히 완벽한 철벽은 없다. 언제든 뚫릴 수 있다!


이 소식을 들으면서 머리 속을 스쳐가던 생각들은 크게 2가지였습니다.

얼마전에 있었던 에버노트 비밀번호 리셋 사건과 며칠전 국내에서 벌어졌던 대단위 해킹 사례였습니다.

사태의 양상이나 사이즈, 피해규모 등이 다르기는 하지만, 생각해보면 '보안'과 '대응'이라는 관점에서는 큰 차이를 느끼게 해주었습니다.


애플도 사태를 알아차리자마자 했던 것이 '위기대응'입니다. 이런 일이 있고, 자신들도 이미 대응하고 있다는 것을 인정하고 알린 것이지요. 에버노트도 해킹 징후만 발견한 정도로 일단 비밀번호 강제 리셋을 시켜놓고 사람들에게 전후 사정을 공지했습니다. 처음에는 뭐야? 하다가도 오히려 그들의 보안에 대한 인식을 인정하고 반갑게 받아들이게 되더군요.


저는 평소 보안에 대해 "완벽한 보안은 없다."라고 생각합니다. 막는 사람과 뚫는 사람을 놓고보면 뚫는 사람이 유리한 입장이며, 언제나 선수를 가질 수 있기 때문입니다. 그래서 보안에 대해서는 뚫리는 것을 뭐라하기보다는 그에 대한 대응이 얼마나 빠른가? 피해를 효율적으로 줄이며 이용자들에게 심리적 불안과 보상을 해줄 수 있는지? 를 살펴봅니다. 애플과 에버노트의 사례를 생각해보면 굉장히 빠른 대응들이었으며, 이용자 입장에서도 불안한 요소를 줄여주는 행동들이라고 생각됩니다.




이번에는 며칠전 있었던 국내의 해킹 건으로 눈을 돌려봅니다.

현재까지도 누가 잘못했는지, 앞으로 어떻게 대응할 것인지에 대한 명확한 입장이 없습니다. 거기다 방송사들과 은행들이 해킹을 당했는데, 지인들이 연락와서 '전쟁나냐?'라고 물어보는 것이 참 의아했습니다. 왜 그런가 싶어서 살펴보니 이미 북한의 가능성을 두고 말들이 많더군요. 저는 좀 단순하게 생각해봤습니다. 내가 북한의 해커라면??? 연습삼아 방송사들과 은행을 털어볼까요? 경고용으로? ... 가능하다는 정도만 체크해둬도 될 것이고, 굳이 건드려서 의심을 받을 이유는 없다고 생각되는군요. 가능성만 체크해두면 다음에 써먹을 수 있을 때, 제대로 한방 쓰면 되니깐요. 그리고 만약 해킹을 할 것이라고 생각한다면, 정치기관들이나 정보기관, 군사기관, 그리고 한국은행 급이 더 당연한 순서가 아니었을까요? 그리고 내가 이랬다~ 보여줄 필요도 없을 것이구요.


생각해보면 너무나 당연한 논리인 것 같은데, 언론 등에서는 여전히 북한의 소행을 의심하며 사람들의 불안을 가중시키고 있더군요. 그러면서 사태에 대한 명확한 인정이나 피해상황, 그리고 대처방안에 대해서보다 북한의 이야기로 은근슬쩍 더 포커싱을 맞춰가는 느낌이라 불쾌하기도 했습니다. 보안이 대단위로 뚫렸고 해킹을 한 팀도 스스로를 밝혔습니다. 그런 상황인데도 이용자들의 불안을 가라앉히고 다음 대응을 이야기하기 보다는 다른 곳으로 시선을 돌리며 불안을 더 키우고 있었습니다.


제가 정치 블로거가 아니기 때문에 이런 이야기는 말을 아끼는 편입니다. 하지만, 보안과 그에 대한 '대응'이라는 부분에서는 정말 실망스러운 모습이었습니다. 저는 이 사태를 언론에서 오히려 너무 크게 몰아가고 있으니 다른 생각이 들더군요. '오호라? 건수인가?'. 한순간 더 나아가서 생각을 하다가 억측이라 그냥 참았지만, 이번 해킹 사태에서 리스팅된 곳들을 다시한번 봅니다. 방송과 금융. 아이러니하게도 누군가가 길들이고 장악하고 싶어하는 곳들은 아닌가요? 그냥 혼자만 생각해보고 맙니다.


말나온김에 하나만 더 이야기를 하자면, 최근 "전쟁나냐?"라는 연타 질문에 제가 대답을 했습니다. "해외 언론은 뭐래?"... 유독 국내에서만 몰아서 뉴스를 만들 때, Agenda setting(여론형성)인 지 알아보기 가장 좋은 방법입니다. 우리나라에서 말도 안하는 안보에 대한 것들도 귀신같이 더 잘 잡아내는 외신들인데, 조용할 이유가 없겠지요? 이 애기를 하는 것은 '보안'에 대한 '대응'을 이야기하는 것이고, 국민들의 불안을 가지고 정치적 명분이나 다른 목적으로 확장하는 모습이라고 생각할 수 밖에 기준이기 때문입니다.


저는 IT블로거이니 다시 돌아와서, 이번 해킹에 대한 '대응'을 다시한번 떠올려보시길 권해드립니다. 과연, 그 대응 속에서 이용자들의 입장을 먼저 생각하고 케어해주기 위한 행동들이 얼마나 있는지 말이죠. 보안을 안보로 확장하지는 말았어야 합니다.




끊임없이 다시 막아내고, 배려해야한다.


애플의 계정 리셋 이슈가 아이러니한 것은 최근 애플이 도입을 발표한 2중 보안과 시기가 맞닿아 있었다는 것입니다.

이미 계정 등의 보안에 대해 관심을 쏟고 다음 계획을 진행 중인 상황에서 이번과 같은 사태가 발생했고, 2중 보안을 사용할 경우는 안전하다는 것을 보였습니다. 그리고는 대응도 굉장히 부드럽고 깔끔하게 처리한 느낌을 주는 것이지요. 2중 보안과 이번 대응, 2가지를 동시에 경험하게 되었을 때 이용자가 받게되는 느낌은 어떨까요?


저는 오히려 이번 사태가 애플에게는 2중 보안을 알릴 수 있는 좋은 기회가 된 듯 하다는 느낌도 드는군요. 사실, 일부러 조금은 이슈화를 위한 음모론은 아닐까? 라는 가능성도 열어놔보지만, 그 정도까지는 아닐 듯 합니다. 아무리 부드럽고 유순하게 처리했다고는 하지만, 보안에 구멍이 있다는 것은 무조건 안좋은 이미지를 심어놓을 수 있으니깐 말이죠.


보안이라는 것은 완벽하지 않을 수 밖에 없습니다. 어쩔 수 없다는 것이 중론이라고 생각합니다. 하지만, 가능한 한발 더 앞서가길 멈추지 않아야하고, 뚫렸다고해도 무엇을 중요하게 생각하고 어떻게 대응할 것이냐가 더 중요합니다. 설사 실제가 그렇지 않더라고 항상 이용자를 중심에 두고 생각을 시작하고 대응하는 모습을 보여야 한다는 것을 잊으면 안될 것 같습니다. 상황은 조금 다르지만 너무 비교되는 사례들을 겪다보니 다시한번 생각해보게 되는군요. 공공재라 농담처럼 불리는 개인정보와 보안 사이에서 우리는 얼마나 배려받고 있는지 말이죠.