옥션의 회원정보 유출사건으로 인해 수많은 사람들이 피해를 입었고, 집단소송 움직임까지 있습니다. 일단 정당한 움직임이라고 봅니다. 인터넷 시대를 맞아 소비자의 권리가 한층 강화되고 있구나 하는 느낌을 받습니다.
옥션을 성토하는 것은 좋은데 옥션 하나 죽이고 끝내기 보다는 이번 사건을 통해서 우리나라 인터넷의 보안이나 해킹문제에 대해서 한번 돌아보는 계기가 되었으면 합니다.
해킹은 일상적으로 벌어진다.
일반 사용자들은 해킹하면 아주 큰일이 난것처럼 느껴지지만 사이트나 웹서버를 관리하는 입장에서 보면 해킹 사건은 빈번하게 일어나는 일반적인 사건입니다. 국내의 많은 사이트들이 수시로 뚫립니다.
작은 사이트는 말할것도 없이 회원수 몇백만명을 보유한 사이트 하물며 포털 사이트까지 해킹이 빈번하게 일어나고 있습니다. 특히 대학 홈페이지는 해커들의 놀이터죠.
국내에는 아직 보안에 대한 의식이 많이 부족하기에 국내 상당수의 사이트는 특별히 보안에 대한 관리를 하지 않습니다. 해킹을 당했는지도 모른체 방치하는 경우도 많습니다.
SQL 인젝션의 예를 들어봐도, 이걸로 뚫을 수 있는 국내 사이트 널려있습니다. 간단한 퀴리문만으로 회원들의 개인정보를 빼낼 수 있는 경우가 허다합니다. 이게 현실입니다.
해킹이 일상적인데 왜 보안에 신경쓰지 않는가?
한국 특유의 효율성 장땡이 문화 때문입니다. 보안에 신경쓸려면 아주 많은 노력과 비용이 들어갑니다.
서버만 해도 서버관리를 위해서 전담자 한명은 최소한 붙혀야 합니다. 그러나 프로그래머가 모든걸 다 해결하죠. 웹사이트 개발하고, 디비 대충 만들고, 자료 백업하고 온갖 기술적인 일들을 프로그래머 한명이 다 쳐내는 경우가 많습니다.
문제는 이렇게 해도 별 문제가 안된다는 겁니다. 해킹 당하면 어떤가요? 해커가 나 어디 사이트 해킹했다고 떠벌리고 다니나요? 특히 개인정보를 빼내는 행위는 가능한 들키지 않게 하겠죠.
해킹 사실을 눈치채지 못하는 경우도 허다하고 발견했다고 하더라도 말안하면 끝입니다. 사내에서도 프로그래머가 발견하고 경영자에게 말 안하는 경우도 있죠. 일이 늘어날까봐.
그럼 경영자 입장에서 아무런 문제도 생기지 않는데 굳이 사람 몇명 더 쓰면서 서버관리자, 보안담당자, DB 관리자를 추가로 고용할까요? 그냥 프로그래머가 이런일 다 합니다. 업무에 전문성이 없다보니 보안쪽까지 신경쓰는 것은 일종의 사치로 받아들여지는게 현실입니다.
실제로 웹개발자분들 중 자신이 만든 소스가 SQL 인젝션을 충분히 막아낼 수 있다고 자신있게 말할 수 있는 분들 그다지 많지 않습니다. 보안까지 고려하면서 사이트를 개발하면 그만큼 생산성이 떨어집니다. 우리나라는 보이지 않는 퀄리티는 신경쓰지 않고 빠르게 만들어 내는 것이 가장 중요합니다. 이런 환경에서 보안에 신경쓰지 않는 개발자를 성토할 수만 없구요.
그럼 옥션은 왜 자수를 했는가?
관련기사를 보면...
해킹 사실을 옥션 스스로 밝혔다고 나옵니다. 우리나라 문화에서는 도저히 이해되지 않는 행동입니다.
100번의 해킹 사건이 벌어졌다고 가정하면 우리나라에서 해킹이 일어난 사실을 스스로 밝히는 경우가 몇번이나 될까요?
0에 수렴합니다.
이 부분은 인정해주자 이겁니다.
이번 삼성 특검에서도 나왔듯이 우리나라 기업문화 개판입니다. 무조건 우기고 보고, 은폐하고 보고, 어쩔 수 없이 코너에 몰리면 쇼부 칩니다. 이런 현실을 감안해 볼때 옥션의 자수는 인정해줘야 하는 부분 아닌가요? 눈치없이 고객보호 차원에서 해킹 사실을 스스로 밝힌 옥션이 단지 세상물정 모르는 등신인가요?
해킹한 사실을 은폐하고, 부인하고 우기다가 어쩔 수 없이 밝혀진 것이랑 스스로 밝힌 것이랑은 사안이 다릅니다. 범죄를 저질러도 자수를 하면 정상참작을 해주지 않습니까? 이 부분은 감안해 주자 이겁니다.
비밀번호는 유출되지 않았다.
해킹 사건뿐 아니라 국내사이트의 허술한 보안의식을 감안해 보면 일단 사이트에 회원가입하면 대부분의 개인정보는 유출된다고 봐야 합니다.
개인정보 신경써서 철저하게 보호하는 사이트 별로 없습니다. 관공서 홈페이지 몇번 만들어 봤는데 개인정보 보호에 대한 의식 정말 참담하더군요. 담당 개발자는 개인정보에 아무런 제약없이 접근할 수 있습니다.
특히 비밀번호를 암호화 하지 않는 경우는 굉장히 심각한 문제를 야기합니다. 보통 몇개의 아이디와 비밀번호 조합만 사용합니다. 그러므로 아이디와 비밀번호만 알고 있으면 이 조합으로 다른 사이트를 로그인하면 로그인되는 경우가 많습니다. 이로인해 추가적으로 개인정보가 누출됩니다.
이번 사건에서는 비밀번호가 유출되지 않았다고 합니다. 이건 비밀번호를 암호화해서 관리했다는 의미겠죠. 그래서 다행이 2차 누출의 가능성은 차단된 상태입니다.
회원수 몇백만 되는 사이트에서도 비밀번호 암호화 하지 않는 경우 제법 많습니다. 전화로 비밀번호 물어보면 콜센터 직원이 회원정보 보고 바로 전화로 대답해주는 경우도 있습니다.(업무편리성 때문에 이러죠. 고객 역시도 바로 말해주는 것을 좋아하지, 임시비밀번호를 메일로 날려주면 귀찮아 하는 사람 많습니다. 메일 비번도 잊어먹었다고 하고, 그럼 신분증 스캔해서 보내달라고 하면 화냅니다.^^;)
물론 이런 경우는 아무리 우리나라의 허술한 보안의식을 감안해 준다고 해도 심한 경우입니다. 그러나 옥션의 경우는 이정도까지는 아니다는 겁니다.
옥션 하나 죽이고 끝내지 말자
옥션을 두둔하고 싶은 생각 없습니다. 이번 사건으로 옥션이 망하든 말든 저하고 아무 관계 없습니다.
그러나 이런 사건이 일어났을때 옥션만 타겟으로 실컷 때리고 곧 이 사건은 금방 잊혀져버립니다.
그래서 대부분의 국내 기업들이 문제가 생기면 은폐하고, 우기고 그러는 겁니다. 흥분은 잘하지만 근본적인 대책까지는 요구하지 않는 소비자들 때문입니다.
일단 이번 사건에서 알 수 있듯이 비밀번호를 암호화 하지 않는 사이트들은 당장 바꾸어야 합니다. 사용자들 역시도 아이디, 비밀번호 조합을 여러개를 만들고, 주기적으로 비밀번호 변경을 해야합니다. 가장 좋은 방법은 믿을 수 없는 사이트는 가입하지 말아야 하구요. 국내에서 믿을만한 사이트가 얼마나 있다고 하시면 가급적 국내 사이트는 이용하지 말아야 하구요.
그리고 회원가입시 주민등록 번호를 받지 말아야 하구요. 실명제니 뭐니 하면서 거꾸로 가는 정부 정책들을 강하게 비판해야 합니다.
개인정보 보호 정책도 제도화 되어있지만 흉내만 내는 정책입니다. 제가 다녔던 회사도 개인정보 우수 사이트로 지정된 사이트였었는데, 위에서 말한것처럼 개인정보에 접근하는 제약이 전혀 없었습니다. 이건 문화의 문제이고 의식의 문제입니다.
집단소송에만 열을 올릴게 아니라 개인정보에 대해서 우리 사회가 얼마나 가볍게 생각하고 있고, 보안에 대해서 얼마나 허술하게 생각하고 있는지 뒤돌아 봐야 합니다. 만일 이런 고민없이 집단소송과 옥션 때리기에만 열을 올리면 앞으로 옥션과 같이 해킹이 발생했을때 스스로 밝히는 경우는 없을겁니다. 오히려 이것을 본 회사들은 웹로그 같은걸 아예 숨겨버리겠죠. 보안을 강화하기 보다는 해킹사건이 벌어졌을때 입증될만한 증거를 폐기하는 쪽으로 움직일 겁니다.
관련 추천글 : 옥션 소송참여? 또다른 피해 부를수도...
옥션을 성토하는 것은 좋은데 옥션 하나 죽이고 끝내기 보다는 이번 사건을 통해서 우리나라 인터넷의 보안이나 해킹문제에 대해서 한번 돌아보는 계기가 되었으면 합니다.
해킹은 일상적으로 벌어진다.
일반 사용자들은 해킹하면 아주 큰일이 난것처럼 느껴지지만 사이트나 웹서버를 관리하는 입장에서 보면 해킹 사건은 빈번하게 일어나는 일반적인 사건입니다. 국내의 많은 사이트들이 수시로 뚫립니다.
작은 사이트는 말할것도 없이 회원수 몇백만명을 보유한 사이트 하물며 포털 사이트까지 해킹이 빈번하게 일어나고 있습니다. 특히 대학 홈페이지는 해커들의 놀이터죠.
국내에는 아직 보안에 대한 의식이 많이 부족하기에 국내 상당수의 사이트는 특별히 보안에 대한 관리를 하지 않습니다. 해킹을 당했는지도 모른체 방치하는 경우도 많습니다.
SQL 인젝션의 예를 들어봐도, 이걸로 뚫을 수 있는 국내 사이트 널려있습니다. 간단한 퀴리문만으로 회원들의 개인정보를 빼낼 수 있는 경우가 허다합니다. 이게 현실입니다.
해킹이 일상적인데 왜 보안에 신경쓰지 않는가?
한국 특유의 효율성 장땡이 문화 때문입니다. 보안에 신경쓸려면 아주 많은 노력과 비용이 들어갑니다.
서버만 해도 서버관리를 위해서 전담자 한명은 최소한 붙혀야 합니다. 그러나 프로그래머가 모든걸 다 해결하죠. 웹사이트 개발하고, 디비 대충 만들고, 자료 백업하고 온갖 기술적인 일들을 프로그래머 한명이 다 쳐내는 경우가 많습니다.
문제는 이렇게 해도 별 문제가 안된다는 겁니다. 해킹 당하면 어떤가요? 해커가 나 어디 사이트 해킹했다고 떠벌리고 다니나요? 특히 개인정보를 빼내는 행위는 가능한 들키지 않게 하겠죠.
해킹 사실을 눈치채지 못하는 경우도 허다하고 발견했다고 하더라도 말안하면 끝입니다. 사내에서도 프로그래머가 발견하고 경영자에게 말 안하는 경우도 있죠. 일이 늘어날까봐.
그럼 경영자 입장에서 아무런 문제도 생기지 않는데 굳이 사람 몇명 더 쓰면서 서버관리자, 보안담당자, DB 관리자를 추가로 고용할까요? 그냥 프로그래머가 이런일 다 합니다. 업무에 전문성이 없다보니 보안쪽까지 신경쓰는 것은 일종의 사치로 받아들여지는게 현실입니다.
실제로 웹개발자분들 중 자신이 만든 소스가 SQL 인젝션을 충분히 막아낼 수 있다고 자신있게 말할 수 있는 분들 그다지 많지 않습니다. 보안까지 고려하면서 사이트를 개발하면 그만큼 생산성이 떨어집니다. 우리나라는 보이지 않는 퀄리티는 신경쓰지 않고 빠르게 만들어 내는 것이 가장 중요합니다. 이런 환경에서 보안에 신경쓰지 않는 개발자를 성토할 수만 없구요.
그럼 옥션은 왜 자수를 했는가?
관련기사를 보면...
지난 2월 홈페이지가 해킹되면서 고객정보가 대량으로 유출되는 사건을 겪은 옥션은 이후 해킹 사실을 당당히 밝혔다. 대부분의 기업들이 해킹을 당하고도 '쉬쉬'하는 것이 다반사인 상황에서 옥션의 결정은 '돌출'에 가까울 정도였다.
해킹 사실을 옥션 스스로 밝혔다고 나옵니다. 우리나라 문화에서는 도저히 이해되지 않는 행동입니다.
100번의 해킹 사건이 벌어졌다고 가정하면 우리나라에서 해킹이 일어난 사실을 스스로 밝히는 경우가 몇번이나 될까요?
0에 수렴합니다.
이 부분은 인정해주자 이겁니다.
이번 삼성 특검에서도 나왔듯이 우리나라 기업문화 개판입니다. 무조건 우기고 보고, 은폐하고 보고, 어쩔 수 없이 코너에 몰리면 쇼부 칩니다. 이런 현실을 감안해 볼때 옥션의 자수는 인정해줘야 하는 부분 아닌가요? 눈치없이 고객보호 차원에서 해킹 사실을 스스로 밝힌 옥션이 단지 세상물정 모르는 등신인가요?
해킹한 사실을 은폐하고, 부인하고 우기다가 어쩔 수 없이 밝혀진 것이랑 스스로 밝힌 것이랑은 사안이 다릅니다. 범죄를 저질러도 자수를 하면 정상참작을 해주지 않습니까? 이 부분은 감안해 주자 이겁니다.
비밀번호는 유출되지 않았다.
해킹 사건뿐 아니라 국내사이트의 허술한 보안의식을 감안해 보면 일단 사이트에 회원가입하면 대부분의 개인정보는 유출된다고 봐야 합니다.
개인정보 신경써서 철저하게 보호하는 사이트 별로 없습니다. 관공서 홈페이지 몇번 만들어 봤는데 개인정보 보호에 대한 의식 정말 참담하더군요. 담당 개발자는 개인정보에 아무런 제약없이 접근할 수 있습니다.
특히 비밀번호를 암호화 하지 않는 경우는 굉장히 심각한 문제를 야기합니다. 보통 몇개의 아이디와 비밀번호 조합만 사용합니다. 그러므로 아이디와 비밀번호만 알고 있으면 이 조합으로 다른 사이트를 로그인하면 로그인되는 경우가 많습니다. 이로인해 추가적으로 개인정보가 누출됩니다.
이번 사건에서는 비밀번호가 유출되지 않았다고 합니다. 이건 비밀번호를 암호화해서 관리했다는 의미겠죠. 그래서 다행이 2차 누출의 가능성은 차단된 상태입니다.
회원수 몇백만 되는 사이트에서도 비밀번호 암호화 하지 않는 경우 제법 많습니다. 전화로 비밀번호 물어보면 콜센터 직원이 회원정보 보고 바로 전화로 대답해주는 경우도 있습니다.(업무편리성 때문에 이러죠. 고객 역시도 바로 말해주는 것을 좋아하지, 임시비밀번호를 메일로 날려주면 귀찮아 하는 사람 많습니다. 메일 비번도 잊어먹었다고 하고, 그럼 신분증 스캔해서 보내달라고 하면 화냅니다.^^;)
물론 이런 경우는 아무리 우리나라의 허술한 보안의식을 감안해 준다고 해도 심한 경우입니다. 그러나 옥션의 경우는 이정도까지는 아니다는 겁니다.
옥션 하나 죽이고 끝내지 말자
옥션을 두둔하고 싶은 생각 없습니다. 이번 사건으로 옥션이 망하든 말든 저하고 아무 관계 없습니다.
그러나 이런 사건이 일어났을때 옥션만 타겟으로 실컷 때리고 곧 이 사건은 금방 잊혀져버립니다.
그래서 대부분의 국내 기업들이 문제가 생기면 은폐하고, 우기고 그러는 겁니다. 흥분은 잘하지만 근본적인 대책까지는 요구하지 않는 소비자들 때문입니다.
일단 이번 사건에서 알 수 있듯이 비밀번호를 암호화 하지 않는 사이트들은 당장 바꾸어야 합니다. 사용자들 역시도 아이디, 비밀번호 조합을 여러개를 만들고, 주기적으로 비밀번호 변경을 해야합니다. 가장 좋은 방법은 믿을 수 없는 사이트는 가입하지 말아야 하구요. 국내에서 믿을만한 사이트가 얼마나 있다고 하시면 가급적 국내 사이트는 이용하지 말아야 하구요.
그리고 회원가입시 주민등록 번호를 받지 말아야 하구요. 실명제니 뭐니 하면서 거꾸로 가는 정부 정책들을 강하게 비판해야 합니다.
개인정보 보호 정책도 제도화 되어있지만 흉내만 내는 정책입니다. 제가 다녔던 회사도 개인정보 우수 사이트로 지정된 사이트였었는데, 위에서 말한것처럼 개인정보에 접근하는 제약이 전혀 없었습니다. 이건 문화의 문제이고 의식의 문제입니다.
집단소송에만 열을 올릴게 아니라 개인정보에 대해서 우리 사회가 얼마나 가볍게 생각하고 있고, 보안에 대해서 얼마나 허술하게 생각하고 있는지 뒤돌아 봐야 합니다. 만일 이런 고민없이 집단소송과 옥션 때리기에만 열을 올리면 앞으로 옥션과 같이 해킹이 발생했을때 스스로 밝히는 경우는 없을겁니다. 오히려 이것을 본 회사들은 웹로그 같은걸 아예 숨겨버리겠죠. 보안을 강화하기 보다는 해킹사건이 벌어졌을때 입증될만한 증거를 폐기하는 쪽으로 움직일 겁니다.
관련 추천글 : 옥션 소송참여? 또다른 피해 부를수도...