[기자수첩] 유희열의 표절과 안테나의 대응, 그리고 기업의 취약점 대처법

아냐, 그럴 리 없어...그 와중에 어디서 많이 본 듯한 회사의 대처법

[보안뉴스 문가용 기자] 유명 음악가인 유희열의 표절 논란이 불거지고 있다. 대중 가요 씬에 미치는 영향력이 적다고 할 수 없는 인물이라 많은 팬들이 충격을 받고 있는 모양이다. 기자도 어렸을 때부터 토이의 팬이었고, 한류라는 단어가 탄생하기 한참 전인 90년대에 잠깐 외국 캠퍼스에서 생활을 할 때에도 여러 국적의 친구들에게 카세트 테이프에 담긴 토이 노래를 들려주고 반응을 지켜보곤 했을 정도로 그의 노래를 좋아했기 때문에 꽤나 놀랄 수밖에 없는 소식이었다.

[이미지 = utoimage]

하지만 여러 관련 뉴스들을 읽고 커뮤니티 반응을 읽으면서 기자의 관심은 유희열이 아니라 안테나라는 그의 회사로 옮겨갔다. 특히, 이미 5개월 전부터 표절 의혹을 제기한 한 사용자의 이야기는 보안 업계에서 눈칫밥 먹고 있는 기자에게 너무나 익숙한 것이었다. 그의 사연은 한 줄로 요약하면 이것이다. “안테나 측에 표절 의혹을 제기하는 메일을 여러 차례 보내고 유튜브 채널에 댓글도 달았지만 전부 묵살됐고, 오히려 표절을 당한 원 작곡가 측에서 감사하지만 문제를 삼고 싶지 않다는 연락을 해왔더라.” 언론들은 이를 두고 소속사의 늑장 대응이라고 표현하고 있다. 기자는 그것보다 더 심한 표현이 어디 없을까 고심하는 중이다.

지난 수십 년 동안 보안 전문가들은 멀쩡해 보이는 제품과 서비스에서 굳이 문제를 찾아내는 사람들로 살아 왔다. 만든 사람이나 사용하는 사람이나 묻지도 않고 궁금해 하지도 않을 만한 약점들을 애써 발굴해 알려대니 쓸데 없는 트집쟁이나, 요즘 말로 프로불편러 정도로 간주되어 왔었다. 그래서 보안 업계는 보안이 중요하다고 누구나 동의하는 지금 시대에도 ‘보안은 트러블메이커가 아니다’라는 걸 납득시키기 위해 애써야 한다. 그 과정을 통과해야만 보안 실천 사항이나 향상 방법 등 진짜 메시지를 말할 차례가 온다.

자랑스럽게 제품이나 서비스를 출시한 입장에서 보안 전문가들의 취약점 제보가 반길 만한 게 아니라는 건 이해가 간다. 개발하느라 몇 날 며칠을 밤샘 작업하고, 밥도 제대로 못 먹고, 가족들 얼굴마저 희미해져 가도록 애를 썼을 텐데, 그리고 출시 전날 흥분되는 마음으로 밤잠을 설치며 사용자들의 열렬한 환호를 기대했을 텐데, 웬 이상한 사람이 제품의 장점은 다 뒤로 하고 ‘여기에 구멍이 있어서 위험할 거 같은데요?’라고 말하면 당연히 김이 팍 샌다. 게다가 소문이라도 나면 그 모든 노력이 허사가 될 수 있을 만한 내용이기도 하니 귀를 막고 싶은 게 사람의 심리다.

실제로 기업들은 오랜 기간 취약점 제보에 귀를 막아 왔다. 그리고 영업 방해나 명예훼손 같은 혐의로 고발하겠다고 윽박지르며 제보자들의 입도 같이 막으려 했다. 취약점은 제품과 서비스, 더 나아가 기업에 대한 부정적인 이미지를 심어줄 수 있고, 어떻게 해서든 기업의 이미지에 손상이 가지 않도록 하겠다는 것이었다. 요즘에 와서는 고발 협박까지 가는 사례가 그리 많지는 않지만 안테나처럼 무대응으로 일관하는 기업 정도는 쉽게 찾을 수 있다. 답답해진 제보자가 취약점을 공론화시키면 그제야 ‘그리 위험한 취약점이 아니다’라거나 ‘실제 해킹 가능성은 없다’, ‘실제 해킹 사례는 없다’고 축소시킨다. 취약점이 곧 이미지 손상으로 이어진다는 낡은 관념에 갇혀 있으니 나오는 레퍼토리 같은 반응이다.

코로나를 지나며 디지털 전환(digital transformation)으로의 흐름은 보다 맹렬해졌다. 수많은 전문가들이 각종 팁들을 아낌없이 전수하고 있다. 시대의 전환점에 놓여 있다는 것이 눈칫밥으로 먹고 사는 자에게도 체감될 정도다. 그런데 아무도 하지 않는 말이 하나 있다. 디지털 전환을 완성시키려면 취약점을 부끄러워하는 낡은 사고방식을 탈피해야 한다는 것이다. 새로운 시대에 기업들이 추구해야 할 이미지는 ‘우리는 취약점이 없어요’가 아니라 ‘우리는 취약점을 빨리 고쳐요’다. 왜냐하면 전자는 아예 성립 자체가 되지 않는 말이기 때문이다. 허상으로 기업 이미지를 쌓을 수는 없지 않은가.

그런 의미에서 기자는 시스코라는 기업에 대한 개인적인 호감을 가지고 있다(세스코 아님, 뒷광고 아님). 시스코의 한 높으신 분이 기자들을 모아둔 자리에서 ‘우리 회사가 취약점 제일 많이 나오잖아요?’라고 아무렇지도 않게 한 말 때문이다. “대신 우리는 패치도 많이 내죠”라는 그의 말은 꽤나 사실에 가깝다. 취약점과 패치 정보를 주로 접하고 전하는 기자가 가장 많이 타이핑 하는 회사 이름 중 하나가 시스코이고, 시스코 측에서는 패치를 잘 해서인지 볼멘 소리 가득한 반박 자료를 보내거나 하지 않는다. 참고로 ‘어느 어느 회사의 제품에서 취약점이 나왔으니 패치하라’는 기사를 내보내면 득달같이 기사 내려달라는 메일을 보내는 회사들이 적지 않다. 그 때마다 기자는 ‘패치하라는 게 요점이다’라고 설명한다. 음, 언제 먹어도 곰팡내 나는 눈칫밥.

누구나 실수를 한다. 소프트웨어나 서비스나 사람의 손길을 거쳐서 탄생하기 때문에 취약점은 있을 수밖에 없다. 완전무결함을 강요하는 때는 지나도 한참 전에 지났다. 인정하고 고치는 게 훨씬 멋있다. 안테나가 어떤 연유로 5개월이나 표절 제보 메일을 묵혔는지는 알 수 없지만, 취약점 제보를 뭉갬으로써 오히려 문제를 키웠던 수많은 기업들의 사례가 보안 업계에 풍부하다는 걸 교훈 삼아 다시 좋은 음악을 선사하는 회사가 되었으면 한다.
[문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)