김영란법을 둘러싼 논란...보안업계에도 닮은꼴 사건 일어나
주가 조작 의혹 받는 메드섹과 무기력증에 빠진 사용자들

[보안뉴스 문가용] 정보 수집을 위해 여러 커뮤니티를 돌아다니지만, 기자가 되고서부터 기자라는 직업군에 대한 조롱과 욕설을 요즘처럼 많이 본 적이 없다. ‘기레기’는 워낙에 유명한 별명이니 그렇다 치지만, ‘거지들아, 니 돈 내고 사먹으세요’라는 종류의 댓글에는 발끈하게 된다. ‘나 같이 누구도 밥 사줄 가치를 못 느끼는 힘없는 기자도 있단 말이닷!’ 아, 이거 누워서 침 뱉기인가.


사실 기자들도 다 알고 있다. 일명 ‘김영란법’이 좋은 취지의 법이라는 걸. 우리네 정이랍시고 여기 저기 쑤셔 넣어주는 황금빛 현금들과 각종 귀중품들이 얼마나 사회를 병들게 했는지. 뭐, 고마운 은사에게 커피 한 캔 준 것을 고발한 것이 김영란법 시행 후 1호 신고라며 더 이상 훈훈하지 못하게 될 사제지간을 걱정하는 목소리들도 있는데, 이 참에 옛 기억 떠올리며 손 편지들을 더 써보는 건 어떨는지. 물론 누군가는 전혀 다른 성격의 봉투를 주고받는 게 많이 뜨악할지 모르겠지만, 수년 전만해도 선생님께 편지쓰기는 방학 때마다 꼬박꼬박 해오던 것 아닌가.

하지만 아무리 좋은 취지를 가지고 있다고 하더라도, 새로운 규칙이란 건 각종 부작용들을 데리고 다니는 법이다. 대리운전을 해주시는 분들, 야간 콜택시 운영하시는 분들이 당장에 피해를 보고 있다고 하고, ‘고급’에 속하는 음식점들 매상이 줄었으며, 기자들을 초청해야 하는 홍보행사 주관자들이 때 아닌 법 공부를 하고 있다고 한다. 아, 그리고 KT 행사에 간 기자들이 쫄쫄 굶었다나 어쨌다나.

그리고 새로운 것의 등장과 함께 자연스럽게 나타나는 이러한 취약점(부작용)들을 쫄쫄 굶게 된 기자들이 – 그 의도야 알 수 없지만 – 보도하면서 ‘기자냐, 거지냐, 초성체가 같아 구분이 안 간다’는 말을 듣게 된다. 아무리 좋은 의도로 쓴 기사라도 오비이락의 지혜를 겸비하지 못한 것이고, 아무리 폐부를 찌르는 날카로운 댓글이라도 악을 악으로 대응해서는 그 놈이 그 놈이 될 수밖에 없다는 기본기를 배제한 모양새다.

1. 타이밍 문제
하지만 책임은 보통 원인 제공을 한 쪽으로 흐르는 법, 기사 타이밍이 조금은 더 아쉬운 게 사실이다. 이런 ‘취약점 공개 타이밍’ 때문에 보안업계 저변에 불안감이 흐르고 있다. 미국 의료업계에서 9월초에 일어난 사건 때문이다. 의료기기들의 보안성을 전문적으로 점검하는 메드섹(MedSec)이라는 업체가 의료기기 제공업체인 세인트 주드 메디컬(St. Jude Medical)표 기기들이 가진 취약점을 동의 없이 공개한 사건이었다. ‘이 기기/앱/소프트웨어는 이 부분이 약해’라고 공표하면 그 소식을 접한 해킹 능력 소유자가 그 지식을 바탕으로 해킹 공격을 당장에 실천할 수 있다. 그래서 보통 취약점을 공개할 때는 그 취약점이 패치나 업데이트 등으로 해결된 후에 하는 게 관례다.

그러면 왜 메드섹은 이러한 만행을 저질렀는가? 심지어 의료기기라면 생명과 직결되는 건데. 일단 메드섹 입장에서는 비난이 억울하단다. “우린 여러 번 세인트 주드에 말했어요! 그런데 말을 듣질 않아요! 고치질 않는다구요! 나쁜 건 쟤네들이에요!” 게다가 누군가 공격을 곧바로 실천할 수 있을 정도로 취약점의 내용을 자세하게 밝히지 않았다고도 한다. “약점이 있다는 것 정도만 말했을 뿐, 어느 부위에 무슨 약점이 있어서 어떻게 공격하면 되는지를 말한 건 아닙니다.”

정말 그럴 수도 있다. 그렇다면 오히려 환자들에게 매우 유익한 만행이라고 볼 수도 있다. 하지만 또 다른 정황이 여기에 얽혀들었다. 취약점 공개로 세인트 주드의 주가가 떨어졌고, 바로 이때 메드섹과 머디워터스(Muddy Waters : 투자 전문기업으로 메드섹과 공동으로 세인트 주드의 취약점을 공개했다)가 이 주식을 공매한 것이다. 주가 조작이 의심될 수밖에 없는 상황이다. 메드섹과 세인트 주드 측은 현재 법정공방을 진행 중이다.

이게 왜 ‘불안감’으로 환치되는가 하면, 취약점 공개 타이밍이 ‘관례’이기 때문이다. 메드섹처럼 마음대로 어겨도 딱히 법적 불이익을 당하지 않는다는 게 이 사건으로 드러났고, 아직 드러나지 않았지만 메드섹이 이 관례를 어김으로써 실제로 얼마나 이득을 보았는가에 따라 앞으로 더 많은 관례 파괴자들이 등장할 수 있다. 약간의 비난이 예상되긴 하지만, 법적으로 금지되지 않은 새로운 수익 창출 방법이 나타난 것이나 다름없다. 혼돈을 막으려면 메드섹의 수입이 얼마 되지 않기를 바라는 수밖에 없다.

2. 미래를 담보로 하는 ‘악에는 악’
‘악’이라고까지 하기에는 어감이 좀 강한데, 최근 사용자들의 암호 사용 실태에 대한 재미있는 조사결과가 나왔다. 사용자들 61%가 ‘암호를 재탕해서 사용하는 건 참으로 위험한 짓’이라는 걸 알고도 개의치 않고 재탕해서 사용한다는 것이다. 암호 관리 솔루션 업체인 라스트패스(LastPass)에서 전 세계 성인 2,000명을 대상으로 설문을 실시한 결과다. 김영란법이 사실은 좋은 취지라는 걸 누구나 알고 있듯이, 이 결과 역시 놀라움보다는 ‘사실은 알고 있었다’는 뜨끔함이 먼저 드는 게 사실이다.

그나마도 사용자들이 암호를 바꾸는 이유는 기존 암호를 잊어버려서’다. 아, 맞아, 내 보안 상태가 위태로워, 라며 바꾸는 사람은 29%에 불과했다. 보호에 더 신경을 쓰는 부분은 따로 있었다. 70%가 계좌 관련 정보였고, 43%가 온라인 쇼핑 정보, 31%가 SNS, 20%가 엔터테인먼트였으니 ‘암호’의 가치는 엔터테인먼트보다 살짝 높은 수준이다. 암호가 중요한 걸 알면서도 말이다.

이에 대해 ‘완벽한 암호(Perfect Passwords)’라는 책을 저술한 마크 버넷(Mark Burnett)이라는 전문가는 “무기력증 때문”이라고 진단한다. “암호 관련 사고가 너무 많이 일어났어요. 지켜봤자 소용이 없다는 정서가 만연하고, 이미 내 암호 공공재처럼 새어나갔으니 늦었다며 손을 놔요. 암호를 지켜야 할 기업들과 보안업체들이 잘못한 거라며 손가락질 하는 데에 오히려 더 열심인 지경이죠. 이해가 안 가는 건 아니지만, 기업들이 잘못했다고 같이 잘못하는 것으로 맞서면 범죄자들만 좋을 뿐입니다.”

게다가 기업의 소홀함이라는 ‘악’을 무기력증과 책임회피라는 또 다른 ‘악’으로 대응하다보니 암호의 대체재로 떠오르고 있는 다중 인증 시스템에 대한 기대치도 낮아진다. 마크 버넷은 “다중 인증은 강력하지만, 암호 하나 입력하는 것 보다는 불편한 게 사실”이라며 “지금 이렇게 무기력한 사용자들이 다중 인증을 적극 사용할는지 의문”이라고 지적한다.

3. 지적만 해봐야 남는 게 없다
일개 기자로서 난 김영란법이 반가운 쪽이다. 그 동안 기자간담회에서 주는 밥 때문에 쓰고 싶은 말을 다 쓸 수 없었기 때문이다. 별 내용이 없을 때, 밥을 먹고 온 처지의 내가 할 수 있는 건 그냥 해당 이벤트를 기사화하지 않는 것뿐이었다. 그런데 문제는 굳이 전화해서 왜 기사화하지 않으시냐고 묻는 업체 대표들도 있었다는 점이다. 공밥 먹은 죄인은 그저 죄송하다고 조아릴 뿐이었는데, 이젠 건조하게 행사 가서 파악할 거 파악하고 쓰고 싶은 거 쓸 수 있게 되었으니 차라리 마음이 가볍다.

싫건 좋건 어차피 통과되고 시행까지 된 법이다. 이 법이 가져온 각종 부작용들이 발견된다 해도 지금은 좀 침묵하고 모아서 나중에 한꺼번에 연재기사나 특집기사로 터트리는 게 더 효과적일 듯 하고, 기레기 기레기 욕해봤자 어차피 기자에 대한 불신은 욕을 한 당사자에게 가장 먼저 돌아와 그 어떤 소식에도 선의보다는 악의부터 보이게 된다. 내가 말하고 싶은 타이밍이 중요한 사람과, 내가 해석하고 싶은 대로 해석하는 사람이 제대로 말을 섞을 수 있을까 싶다. 조금 더 지켜보자. 그 동안 메드섹 주식 공매가 별 다른 이득으로 이어지지 않기를 바라고, 사용자들의 암호 사용 무기력증이 어떤 계기로든 회복되길 기도하는 게 더 생산적일 듯 하다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>