이종현 칼럼

[취재수첩] OO기업의 해킹··· 알려야 할까, 숨겨야 할까

이종현
[디지털데일리 이종현기자] 사이버보안 분야를 취재하다 보면 이런저런 사고 사례를 접하게 된다. 대형 이동통신사부터 매출 조단위의 기업, 이름만 들으면 다들 알 법한 유명 서비스 기업부터 1만여명 남짓의 이용자를 가진 소형 플랫폼까지. 곳곳에서 해킹으로 인한 정보유출이 이뤄지고 있다.

사회에 미치는 파급력이 크거나, 유출 기업이 적절한 조치를 하지 않는 등 대외에 알려야 할 필요성이 있다고 판단될 경우 관련 내용을 취재해 보도한다. 그런데 이 과정에서 딜레마가 있다. 이런 소식 보도함으로써 알리는 것이 좋은 행동인가에 대해서다.

취재 과정에서 정보를 얻게 되는 루트는 다양하다. 업계 종사자에게 관련 내용을 듣기도 하지만 다크웹이나 텔레그램과 같은, 해커들이 이용하는 커뮤니티를 통해 알게 되기도 한다. 2021년 아파트 월패드 영상정보 유출, 2022년 삼성전자 소스코드 유출, 2023년 이동통신사 개인정보 유출 등은 해커 커뮤니티에서 정보를 얻은 대표적인 사건들이다.

정보유출의 경우 모든 데이터가 공개되지 않은 이상 유출자의 말을 100% 신뢰하기는 어렵다. 해커가 장난삼아 거짓 정보를 올리거나, 실제 위협보다 부풀리는 경우가 자주 있어서다.

연초 국내 학회 웹사이트를 겨냥한 중국 해커그룹 샤오치잉이 대표적인 예다. 샤오치잉은 한국을 대상으로하는 대규모 해킹 캠페인을 진행하겠다고 큰소리쳤지만 실상은 보안조치가 미흡한 곳들만 공격했다. 내세울 만한 큰 성과가 없음에도 ‘한국 인터넷 침입을 선포한다’는 등의 자극적인 문구를 내세워 명성을 얻었다.

또 유출을 겪는 기업 입장에서는 기자들이 나서서 해커들의 활동을 홍보해줌으로써 사태를 악화시키고 있다고도 말한다. 유출을 겪은 기업은 ‘피해자’고 해커가 ‘가해자’라면 기자는 ‘2차 가해자’가 된다는 것이다. 모든 위협을 100% 차단하는 것은 불가능한데, 피해 기업에게 너무 가혹하다는 주장도 나온다.

이런 주장들에는 상당부분 공감한다. 다만 정보를 전달하는 일을 업으로 삼는 이로써, ‘가만히 있으라’는 요구를 받아들이기는 어렵다.

무엇보다 쉬쉬하고 넘어가는 것이 보안 수준 향상에 도움될 것 같지도 않다. 인터넷 커뮤니티 곳곳에서는 “마법의 단어, ‘취재가 시작되자’”라는 우스갯소리가 있다. 대응과 사후대책 마련보다는 은폐에만 급급하다가, 취재가 시작돼 은폐가 어렵다 싶으면 대대적으로 조치를 취하는 것을 비판하는 내용이다. 이는 사이버보안에도 그대로 적용된다.

어떤 선택이 더 나은지는 판단하기가 쉽지 않다. 모든 사안에 천편일률적으로 같은 기준을 적용하기도 어렵다. 마냥 ‘다 공개해라’, ‘공개하지 마라’고 할 것이 아니라, 그 사이의 균형점에 대한 진지한 고민이 필요할 듯하다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널