1. 초기 대응 속도와 피해자 구제 방안에서 승패 갈려
2. 데이터 유출보다 더 뼈아픈 ‘공감 능력 부재’
3. ‘사과문의 정석’으로 본 위기관리 커뮤니케이션

[보안뉴스 조재호 기자] 진정한 리더십은 위기 상황에서 빛을 발한다. 이달 초 업비트의 소통과 쿠팡의 침묵은 사태 해결의 속도와 방향 자체를 갈라 놓았다.


대형 사고가 벌어지면 각종 커뮤니티에서 돌아다니는 밈(Meme·인터넷 유행어)들이 있다. 이 중에는 ‘사과문의 정석’이라는 것이 있는데, 유명인이나 기업이 잘못을 저질렀을 때 대중이 납득할 수 있는 사과문의 양식을 정리한 내용이다. 대표적으로 2019년 메르스 사태 당시 삼성서울병원에서 감염이 확산됐다는 논란이 일었을 때 이재용 삼성전자 회장이 내놓은 대국민 사과문이 있다.

핵심은 명확한 피해자·구체적 잘못·보상 및 재발 방지 등을 육하원칙으로 적는 것이다. 반대로 금기시되는 표현도 있다. ‘본의 아니게’, ‘오해’, ‘그럴 의도는 아니었으나’ 같은 변명이다. 진정성이 느껴지지 않거나, 당장의 비난을 피하려고 쓰인 글은 사과문이 아닌 ‘4과문’이라고 네티즌들의 비난을 받기 마련이다. 4과문은 발음만 같은 숫자 4를 써 진정성이 없거나 형식적인 사과문을 비꼬는 표현이다.

올 연말, 국내 IT 대표 기업으로 손꼽히는 쿠팡과 업비트가 나란히 해킹 사고를 당했다. 사건의 경중을 따지기 힘들 정도로 충격적인 사고였지만, 대중의 반응은 엇갈렸다. 그 차이는 사고 직후 내놓은 ‘사과문’과 ‘자세’에서 찾아볼 수 있다.

쿠팡의 첫 사과문은 ‘구체적 잘못’인 사고를 어떻게 당했는지에 대한 설명이 없었다. 5개월간 진행된 3370만명이라는 국내 최대 규모의 유출 사고에 대한 설명이 없었다. 심지어 정보 ‘유출’을 ‘노출’이라 안내해 뭇매를 맞았다.

이는 사과문의 정석에서 말하는 ‘책임 회피’의 전형이다. 배너 형태로 게재됐던 사과문은 흔적조차 찾아보기 힘들고, 현시점 최종 사과문도 홈페이지 특정 경로를 제외하면 접근이 어렵다.

반면, 업비트의 대응은 달랐다. 이상 거래 징후를 포착하자 입출금을 중단했고, 곧바로 해킹 사실을 인정했다. 피해 규모와 원인을 공개하고, 이용자 자산 전액 보전이라는 보상안을 내놨다. ‘회원 자산에는 어떠한 피해도 발생하지 않을 것’이라고 대표 명의의 사과문에 못 박고, 추가 확인 사안에 대한 투명한 안내도 약속했다. 일련의 공지들은 회사 홈페이지에서 쉽게 확인할 수 있다.

이후 두 기업의 온도 차는 명확하다. 업비트와 달리 쿠팡은 현안 질의와 청문회로 뜨겁다. 아직도 쿠팡 해킹 사태의 끝이 보이지 않는다. 왜 쿠팡은 ‘정석’에서 벗어난 대응이 나왔을까? 답은 의외로 간단하다. 향후 이어질 ‘법적 이슈’ 때문이다. 내 잘못을 특정하고 인정하는 것 자체가 부담이기 때문이다.

하지만 보안 사고에서 가장 큰 비용은 ‘신뢰 비용’이다. 더군다나 최근 사고를 당한 두 곳 모두 사용자의 신뢰로 먹고사는 플랫폼 기업이다. “우리가 뚫렸고, 얼마나 당했으며, 이렇게 보상하겠다”는 투박하지만 정직한 ‘사과문의 정석’이 절실한 시점이다. 하나만 더 보태자면, 보안 시스템에 대한 지속적인 투자 약속과 더불어 개선 사항도 공유되길 바란다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>