Home > 전체기사

[기자수첩] 학교 폭력 사건을 보안 사고에 대입하는 상상

  |  입력 : 2021-03-05 16:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인간의 선의에 기대서는 아무 것도 해결되지 않는다는 걸, 보안은 일찌감치 알고 있었다.

[보안뉴스 문가용 기자] 학교 폭력 고발이 난무한다. 대중들에게 얼굴을 노출시키는 활동을 하는 스타 혹은 예비 스타들이 과거의 행적 때문에 대가를 치르고 있다. 가해를 했다면 피해를 입을 차례를 맞는 것이 당연할 것이다. 학교 폭력 사건에서는 가해자와 피해자의 구분이 비교적 명확하기 때문에 여론도 꽤나 쉽게 조성이 된다.

[이미지 = utoimage]


사이버 보안 분야에서 사건이 발생할 경우, 학교 폭력과는 조금 다르게 일이 진행된다. 가해자와 피해자 사이에 ‘책임자’가 있기 때문이다. 예를 들어 A라는 기업이 사이버 공격자에게 뚫렸다고 치자. 공격자는 이 기회를 활용해 A의 고객들과 파트너사들의 개인정보를 훔쳤고, 이를 다크웹에 판매해 적잖은 수익을 거둔 것으로 보인다. 이러한 사건에서 가해자는 당연히 해킹을 실시한 사이버 공격자다. 피해자는 개인정보를 도난당한 소비자와 파트너사 직원들이다. 그렇다면 A는? 대부분의 경우 ‘책임자’로 분류된다.

물론 법적으로 ‘책임자’라는 타이틀이 주어진다는 건 아니다. 여론의 ‘욕받이’를 하는 것도, 결국 유관 기관으로부터 벌금형을 받는 것도, 바로 이 A가 되는 경우가 많다는 것이다. 이 때문에 ‘기업도 따지고 보면 해킹 공격을 받은 피해자인데 벌금까지 내라고 하는 게 부당하다’는 의견도 존재한다. ‘학폭’을 보는 시선으로 해킹 사고를 보자면 타당한 말이다. 하지만 사이버 보안 사고는 ‘학폭’과는 조금 다르다.

먼저 해킹 공격은 그 특성상 가해자를 명확히 꼬집어 낸다는 게 상당히 어렵다. 기술적으로도 어렵지만, 그걸 법적으로 증명하는 게 더 힘든 일이다. 심지어 해커가 해외에 있을 가능성도 높아 체포와 처벌을 하려면 국제 공조와 외교 채널까지 활용해야 해서 국가의 강력한 의지를 필요로 한다. 가해자를 지목하고 법정에 세우는 것에 지나치게 높은 사회적 비용이 들어가기 때문에 어지간한 중범죄가 아니라면 국가 차원의 의지 발동을 요구하기도 애매하다.

그렇다고 해서 ‘꿩 대신 닭’ 심정으로 기업에 책임을 묻는 건 아니다. 기업은 개인정보를 활용함으로써 얻는 이득이 분명하다. 개인정보를 광고 회사에 은밀히 판매한다는 게 아니다. (물론 그런 기업도 있다.) 개인정보가 있으니 고객들과의 소통을 이뤄갈 수 있고, 마케팅 활동을 펼칠 수 있으며, 차기 아이템과 서비스도 기획할 수 있다. 그럼으로써 고객들도 편의를 누리고, 그걸 알기 때문에 기업들에 개인정보를 제공하는 것이다. 이득을 보는 것에 대한 대가로 보호의 책임을 요구하고 있다는 뜻이다.

또 하나 기억해야 할 건 기업들이 해킹을 당한 것 자체로 책임을 져야 할 입장에 처하는 건 아니라는 것이다. 개인정보만 무사하다면, 뚫린 것 자체로 법적인 처벌 사항이 부과되지 않는다. ‘학폭’으로 치면, 때린 것 자체만으로는 잘못이 아니고, 때려서 이빨이 부러지거나 코피가 나야만 잘못이 인정된다는 것과 같다. 현재의 시스템이 기업에 마냥 엄격하기만 한 건 아니라는 소리다.

요즘 여러 소식들을 보면서 보안 업계의 이러한 처벌 구조가 ‘학폭’에도 적용되면 어떨까 상상해보곤 한다. 피해자와 가해자 사이에 ‘책임자’를 두는 것 말이다. 예를 들어 그 책임자는 학교 내지는 선생님이 될 수 있을 것이다. 학생을 관리하고 보호함으로써 업력을 쌓고 자아실현을 하는(혹은 생계를 유지하는) 이득을 보고 있으니 ‘학폭’ 사건이 일어났을 때 피해자에게는 물론 책임자에게도 적합한 책임을 묻는 것이 ‘학폭’ 근절에 어쩌면 더 도움이 되지 않을까 하는 생각을 해본다는 것이다.

물론 부작용도 예상된다. GDPR 준비로 한창일 때 일부 기업들은 “개인정보 보호에 대한 책임이 무거워지니 사업 활동이 어려워질 지경”이라고 토로하기도 했다. 마찬가지로 학교와 교사에게 ‘학폭’ 책임을 묻는다면 수업 연구에 쏟을 시간과 여력이 부족해진다는 이야기가 나올 수 있겠다. 가뜩이나 요즘 교권이 추락한 마당에 ‘학폭’에 대한 책임을 교사들이 같이 져야 한다면 교사 생활 자체가 더 험난해질 것 또한 분명하다.

하지만 기업들을 불쌍한 피해자로 보지 않고 해킹 사고에 대한 책임을 일부 지라고 요구했을 때, 우리는 소비자의 개인정보를 보호하는 것도 사업 활동의 영역이라는 인식을 기업 윤리의 토양에 뿌리내릴 수 있게 된다. 그러면서 서서히 개인정보라는 것이 함부로 주고받거나 쉽게 제공해서는 안 되는 자원인 것을 더 많은 사람들이 인지하기 시작했다. 다른 누구보다 개인정보의 소유자인 개개인이 ‘이건 꼭 지켜야 하는 것’이라고 받아들이기 시작할 때 사이버 공격은 진짜로 더 어려운 것이 된다.

‘학폭’ 사건의 또 다른 책임자를 중간에 둔다고 했을 때도 비슷한 효과를 기대할 수 있을까. 학업 성취도만이 아니라 학생의 신변 보호 역시 교육 기관이나 교육자의 책임이라는 걸 제도적으로 정하고 시행한다면, 홍역이 어느 정도 예상되지만, 시간이 좀 흐르고 나면 ‘몰랐다’거나 ‘안타깝지만 학교는 법적으로 아무런 책임질 일을 하지 않았다’는 말이 나오는 일은 없어지지 않을까.

하지만 이것이 근절로 이어진다는 보장은 없다. 기업들을 삼엄하게 관리한다고 해서 아직 개인정보 보호의 수준이 확실히 좋아졌다고 말하기는 힘든 것처럼 말이다. 다만 서서히 뭔가가 변하고 있다는 체감은 분명히 든다. 정보를 요구하는 건 이전보다 더 조심스럽고 송구한 일이 되고 있고, 정보를 스스로 제공하기 전에도 이전보다 한두 번은 더 확인하게 된다. 누군가에게 책임을 가시적으로 물리니 비로소 일어나는 변화다.

결국 보안 업계의 처벌 시스템(피해 기업에 책임을 지운다는 것)의 핵심은 인간의 선의를 믿지 않는다는 것이다. 인간의 선의를 믿는 시스템은 수명이 짧다. 이건 게임 규칙을 개발하고 운영하는 개발자들 사이에서도 나오는 말이다. ‘자율 보안’이라는 것이 사실 허구에 가까운 것도 그 때문이다. ‘학폭’은 어떤 면에서는 불가항력적인 사건이고, 따라서 완전 근절이라는 것도 불가능하겠지만, 아직 우리가 할 걸 다 해본 느낌은 아니다. 수많은 피해자들이 나오고 있는데도 개개인의 선의에 기대는 부분이 불필요하게 남아 있는 건 아닌지 되돌아봐야 한다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비