본 포스팅은 다소 거친 언어를 포함하고 있음.
뭐 말하면 입아프고 그런데, 그래도 한 마디만 더 해보도록하자.
뉴스에도 나고 해서 알만한 사람들은 다 알겠지만 어젠가 그젠가 네이트가 털렸다. 무려 3,500만명.[1. 축하한다 네이트] 그런데 이 사건을 둘러싼 대한민국 사회 전반이 정말 병신처럼 돌아간다. 정보화 사회. 군대에서도 정보전을 중요하게 생각한다며 개드립치는 정부에서는 그냥 ‘일개 기업의 사고’ 정도로 생각하고 있는 것 같다. 물론 SK컴즈의 대응 자체도 연일 더 큰 병크를 터뜨리는데 주목하고 있고, 그 와중에 쓰레기같은 기자새끼들은 더 병신 같은 기사들을 쏟아내고 있다.
1. 상황 판단이 안된다.
제일 큰 문제는 이 사태에 대해 제대로 상황의 심각성을 이해하고 있는 사람이 별로 없는 것 같다. 단지 저 3,500만이라는 숫자에만 집중할 뿐, 뭐가 문제인지 모른다. 이 사태의 핵심은 다음 몇 개로 간추려 진다.
- 국가 안전망과도 깊숙히 관련되어 있는 개인식별코드가 거의 전국민이라해도 될만큼 대량으로 유출되었다. 이 자료가 적국으로 넘어간다면 사회 시스템의 안전을 사실상 보장할 수 없게 되는 위기가 와도 별로 안 이상하다. 그런데 정부는 이상하리만치 신경을 안쓰고 있다. 이제 주민등록번호라는 시스템을 버리고 아예 틀을 새로 짜야 할 판이다. 여기에 들어가는 비용도 세금아닌가? SK컴즈만의 ‘사고’인가?
- “IT 강국”이라는 환상에 가려 똥과 된장을 구분못하는 지경에 이른 정보 보안 의식 수준을 이제라도 재점검해야 하지 않을까, 그런데 역시 아무도 그런데는 관심을 두지 않는다. 고작한다는 것이 “비밀번호 유출되었나 확인하고 빨리 바꾸세요”라니. 이게 얼마나 닭짓인지는 뒤에서 다시 이야기 하도록 하자.
- 이미 많은 사람들이 누누히 지적했지만, 주민등록번호라는게 공공연히 거래돼 온 것도 10년이 넘는 오랜 역사를 가진 사업(?)이다. 생각해봐라, 털리면 엄청난 사회적 비용이 드는 사고의 원인되는 그런 민감한 정보를 떡하니 서버에 저장해 두는 게 말이 되는지. 그걸 법으로 못하게 해도 모자랄판에 법으로 강제하고 있었다. 그런데 지금 그 어떤 언론도 이 문제는 입닫고 있다. 뭔가, 그 때 그 빌어 처먹을 법을 제정하신 분들하고 기자라는 분들은 공통된 단골 식당에서 뭔가 잘못 드신게 분명하다. 아무래도 그 식당이 북한과 연관되어 있을지 모르니 국정원은 그 식당을 빨리 찾길 바란다.
- 이미 털린 건 털린 거다. 잔해를 치우고 새로 지으면 되는 화재 같은 사고가 아니란 말이다. 보다 안전한 금융거래, 행정, 의료 보건… 사회 전반에 걸친 보안 체계를 처음부터 새로 짜야 한다. 그게 이 사건을 수습하는 유일한 길이다. 지금와서 어찌해보고 앞으로 잘 막아보자는 건 죽은 자식 고추만지는 것보다도 더 못한 일이다.
- 어쩌면 한 편으로는 일부 대형 포탈들이 서비스를 독과점하고 있는 구조도 문제가 있다. 안 그런가? 네이트에 이어서 네이버가 털렸다고 생각해보자. 다음도 털렸다. 그럼 이제 어느 서비스를 써야 할 건가? 만화는 어디서 볼 건가? 블로그는 어디 껄 쓸껀가? 이 3대 포탈을 벗어나면 쇼핑 말고는 사실상 독립적으로 돌아가는 서비스가 별로 없다. 안그런가? 왜 그런가? 이건 어디서 꽤 괜찮은 서비스가 시작한다고 하면 포탈이 똑같이 베껴버리거나, 사들여서 없애버리는 일 들을 꾸준히 해 온 거 모르는가? 생각해보자. 우리 나라 그렇게 인터넷 강국인데, 전국에 피씨방만 많았지 웹 서비스란게 몇 개나 있는가? 내가 몰라서 그런거 아니냐고? 그럼 당신은 몇 개나 아는가?
2. 개인정보를 안전하게 보호하고 있다고 자신하는 공지들. 미쳤구나 너네들.
얼마전에 스마트폰을 기반으로 한 모 텍스트 메시징 서비스의 공지사항에도 “여러분의 개인정보는… 안전하게 서버에 보관되어…” 이런 말이 있던데. 미친거다. 진짜 미친거다. 그대들은 노트북하나에 원격으로 접속해서 관리자 권한도 필요없이 그냥 금융 기관 전산망을 무력화시키는 신의 경지에 이른 해커들이 북한에 있다는 사실을 잊은거냐. 뭐, 이건 그냥 헛소리고. 암튼 이번 네이트 사건이 가장 잘 설명해주는 사실은 “절대 완전한 보안은 있을 없다”는 사실을 증명해줬다는 거 정도다.
근데, 내가 봤을 때 이 사건은 이후 (아마 아무런 조치도 없겠고 오히려 더 독소조항으로 가득한 똥만도 못한 법안이 생길거라 확신하지만) 벌어진 후속 사건들 혹은 진짜로 사회적 보안 체계를 새로짜는 데 들어가는 엄청난 사회적 비용을 분담해야 할 것이지만, 적어도 이 일에서 그런 것들을 깨닫고 배울 수만 있다면 이 사건에서 제대로 값어치 있는 교훈을 얻게 되는 거다. 안타깝게도 현실은 정반대의 병신크리로 가득 넘치고 있어서 그것이 심히 우려스럽기는 하지만 말이다.
네이트의 그 공지도 웃기는 짜장면이다. 서비스 이용에는 아무런 문제가 없단다. 서버를 뜯어간게 아니니 서비스는 잘 돌아가겠지. 이 말을 알아 듣기 쉬운 일상 용어로 풀어주자면 “우리 서버는 그래도 남아있으니, 너님들이 피해를 보든말든 그건 알거 없다”는 말이다. 아주 이번 비 피해로 서버에 물이라도 들어갔으면 서비스가 중단돼서 죄송스러 목이라도 매달았을 기세다.
3. 그럼 어쩌자는 건데?
이렇게 묻는 사람들이 이 글을 읽는 사람의 2/3는 넘을 거라 확신한다. 어쩌자는 거냐고? 알려주면 그대로 할 것인가? 너님의 썩어빠진 의식 수준이 문제라는 것이다. 몇 몇 친구들이랑 같이 보려고 화장실에서 셀카 찍은 사진을 남이 보는 게 찝찝한 수준…. 딱 그정도의 피해를 보고 있다고 생각하는 것 부터가 막막하다.
의식 수준을 바꿔야 한다. 인터넷에 본인의 의지로 업로드된 그런 사진이나, 글, 대화 그런게 아니라 마땅히 남이 알지 못해야 하는 정보는 애초에 올리지 말아야 한다. 그리고 지금처럼 이렇게 대량으로 민감한 정보가 털리면 그게 얼마나 큰 일인지 알아야 한다. 알아야 행동을 할 것 아닌가.
인터넷 실명제? 조까라 그래라. 그래 인터넷 실명제 하고 나서 악플로 상처 받는 사람이 싹 없어졌는가? 내가 알기론 이전이나 이후나 거의 비슷한 수준이다. 아니, 혹은 더 늘어났다는 기사도 본 적 있는 것 같다. 그래, 이 인터넷 실명제가 이제 얼마나 유효할 거 같나? 털린 주민번호가 거래되기 시작하면 무용지물이 된다. 인터넷 실명제를 현실화하기위해 그동안 부담했던 비용. 각종 인증체계를 만들고 유지하던 비용들이 그냥 떡사먹은 돈만도 못한게 되었다.
나라면 말이지, 이정도의 개인정보 덩어리를 손에 들고 있다면 서명운동하는 사이트 만들어서 죄 가입해서 여론 조작질에 써먹겠다. 인터넷에서 ‘여론을 만들어 내는’ 가장 쉽고도 확실한, 그리고 정직하게 하려면 아주 힘든 그런 일 말이다. 그게 이슈만 되면 정치적으로는 상당히 힘이 실리는 무기가 될 수 있다고 생각할 수 있지 않을까?
인터넷 실명제와 그를 잇는 온갖 거꾸로 정책들을 반대해야 한다. 목소리를 내야한다. 이건 정치적인 선동질이랑은 무관하다. 애초에 털리면 안되는 정보는 웹에 없어야 한다. 그래야 안전하다. 인터넷 실명제 같은 정책이 살아 있으면 당신들은 울며 겨자먹기로 귀한 개인 정보를 ‘훔쳐가세요’하고 어딘가에 넣어두는 꼴이된다. 지금와서 생각해보자. 네이트는 회사다.
네이버도 회사다. 이들 회사에서 가장 중요한 게 뭐냐, 자기네들의 이윤이다. 그딴 정보들 털리면 “비밀번호 바꾸세요” 공지 한 번으로 슬쩍 넘어가면 그만이다. 응? 네이트에 소송해서 피해보상 받겠다고? 예전에 옥션 털린 거 기억나지? 그 땐 얼마 받았는지 기억나나? 열심히해서 받아내보기 바란다. 그렇게 금방 잊어먹는 습성만 가지고는 아무것도 바뀌지 않는다. 최소한 이런 사건들을 계속 remind 하기만 했다면 이런 문제는 진작에 해결되고 예방되었을거다.
4. 네이트는 예전부터 좀 수상했다
SK컴즈 사장님이 ‘자기도 털렸다’고 말했다지? 그래서 살림살이 좀 나아지는 기분이 드셨는지? 제대로 병신 크리하고 있다. 사고의 시발점이 되는 회사의 수장이라는 사람의 지능 수준이 저기까지다. 네이트 쓰면서 뜬금없이 비밀번호를 바꾸라는 캠페인을 ‘당한’ 경험들, 혹시 없나? 왜 보통 사이트들은 요즘은 3개월에 한 번 정도 그런 팝업을 띄워주는데, 그 때는 보통 “다음에 변경하기” 뭐 그런 걸로 넘어가는 선택지가 있는게 보통이었다. 근데 네이트는 그게 안통하는 비밀번호 변경 캠페인을 대대적으로 한 번 한 적이 있다.
모든 사용자들이 전부 강제적으로 비밀번호를 바꿔야 하는 그런 이유. 뭘까? 왤까? 비밀번호를 안 바꾸면 큰일이 나는… 그래서 거의 매일 서비스를 쓰는 사람이라면 꼭 바꿔야하는 그런 중요한 이유가 뭘까. 힌트는 많이 줬으니 잘 한 번 생각해보자.
5. 싸이월드 탈퇴하려고 사진 다운 받는 바보님들
싸이월드 약관 중에 그런 게 있다. 그러니까 싸이월드에 올리는 컨텐츠의 저작권은 SK컴즈도 가지게 된다는 것이다. 예를 들면 싸이월드가 무슨 이벤트나 캠페인을 하는데 사진이 필요하다. 그런데 그걸 돈주고 사긴 좀 그렇고해서 사용자들의 사진을 가져다가 배너도 만들고 홍보 책자도 만든다. 물론 당신들의 동의 따위는 필요없다. 약관에 명시돼 있으니까 말이다.
그런데 이번엔 좀 더 무서운 이야기를 해 보자. 싸이월드에 사진을 올렸다가, 왠지 찜찜해서 지웠어. 근데 위에서 설명한대로 그건 싸이월드의 지적재산권이 깃든 자료이기도 하거든? 그래서 어떻게 되냐고? 그 지운 사진은 당신 미니 홈피에서만 “안보이는”게 되는거야. 뭔말이냐면 당신의 친구가 그 사진을 재빨리 퍼갔다면, 그 친구의 미니홈피에선 계속 그 사진이 나온다는 거야.
사진다운받고 탈퇴하면 여러분의 온갖 민망한 사진들은 영영 사라질 줄 알았지? 네이트는 말한다. “훼이크다 병신아!”
계속 남아있는게, 사진 데이터뿐일까?
또 있는게, 내가 예전에 하나로 통신 인터넷을 쓰다가 해지를 하고 약 1년 반 뒤에 다시 신청을 했는데, 그 때 가입에 필요한 건 그냥 전화 한통이었다. 내 핸드폰 번호만 가지고 모든 가입에 필요한 정보가 대체되었지. 탈퇴해도 개인정보는 그대로 남아있게 되었다는 건데, 물론 금융거래가 얽힌 서비스니까 그렇다고치자. 근데, 심지어는 서비스가 중단되고 사이트가 사라지는 경우에, 서버에 저장되는 회원 DB 들이 어디로 가게 될지 혹시 누구 한 사람 생각해 본 사람 있을까?
6. 네이트를 끊겠다? 그런데, 그게 쉽지 않은 것이
또 옛날 이야기를 좀 해주자면… 음 Pidgin 이라는 게 있다. 메신저 하면 우리한테 익숙한 건 MSN이나 네이트온정도가 되겠는데, 실제로 컴퓨터에 설치해서 쓰는 프로그램, 이걸 유식하게 ‘클라이언트’라고 하는데 이 프로그램을 만드는 제작사와 실제 메신저 서비스를 운영하는 회사가 같은 경우지. 근데 Pidgin은 이 서비스를 그 회사의 서비스를 같이 쓸 수 있도록 해주는 프로그램인 것이지. 한국 개발자가 만든 miniMSN이라는 것도 같은 맥락이다. Pidgin은 오픈소스로 개발되는 프로젝트인데, 국내 몇 몇 개발자분이 네이트온도 여기서 쓸 수 있도록 플러그인을 만들어 보려고 했다는 거지. 근데 그럴러면 실제로 대화 내용이나 로그인 정보 같은 걸 어떻게 암호화하는지 살펴 봐야 할텐데… 그걸 중간에 확인해봤더니 그냥 암호화 하지도 않고 평문 통신으로 주고 받더라는 거지. 그게 무슨 말이냐면, 중간 지점에서 그걸 가로채서 그대로 받아보면 아이디와 패스워드가 그냥 보인다는 거.
암튼 그게 이슈가 돼서 SK쪽에 이야기도 많이 들어갔는데 실제로 암호화 로그인이 적용된 건 한참도 한참 지난 한참 후라는 거. 그게 이슈가 되었을 때에도 이따위 서비스 안쓰고 말겠다고 했는데, 그게 쉽지가 않았다. 왜냐면 내가 아무리 다른 더 좋은 서비스로 옮겨간다 한들 메신저는 같이 쓰는 사람이 없으면 소용없는 서비스니까. “같이 쓰는 사람”이 가장 큰 무기가 될 수 있는게 소셜 서비스의 큰 특징인데, 사실상 메신저 서비스는 대표적인 소셜 서비스 아니던가. 싸이월드도 마찬가지. 네이트온이 국내 1등 메신저가 된 건 싸이월드 사용자 기반을 가지고 있기 때문에 가능한 것이었지.
그런데, 어쩌면 이번에 이렇게 이슈가 되어 네이트를 탈퇴하는 사람이 진짜 많아진다면 SK는 자기네가 뭘 잘못했는지 알기는 알게 될까. 아니, 내가 볼 땐 그냥 몇 백~몇 천명 정도가 탈퇴하고, 그리고 그 중 대다수는 아마 다시 돌아갈거다. 왜냐면 다른 친구들이 모두 네이트를 쓸 테니까. 그것 참 암울하지 아니한가? 이건 나만 예상하는게 아니고 SK컴즈에서도 충분히 예상하고 있다는 거다. (약관 개정이니 뭐니 이런 이슈가 사실 많았거든)
7. 말하는 김에 카카오톡도
여기서 카카오톡에 대한 이야기도 안하고 넘어갈 수 없다. 카카오톡. 다들 쓰잖아? 근데 카카오톡을 쓰면 걔네들한테 무슨 정보가 넘어가는지는 아는지. 물론 카카오톡을 가입할 때 이름이나 주민번호따윈 넣지 않지. 하지만 기기고유번호와 핸드폰 번호를 넘겨주게 되는데, 여기서 문제가 되는건 내 전화번호만 넘어가는게 아니라 내 핸드폰에 들어있는 모든 주소록 정보가 전송된다는 거다. 걔네들 말로는 친구추천 기능을 위해서 만들었다고 하는데, 사실 해외 메신저중에는 그냥 id 기반으로 해서 그런거 필요 없는 서비스도 많고, 심지어 What’s App 이라는 카카오톡보다 먼저 시작된 메신저 서비스는 아예 전화번호를 안올린다. 그냥 로컬에서 다 처리하지.
카카오톡 사용자가 얼마나 많은지는 그냥 알아서 예상하시고, 카카오톡은 사용자들의 핸드폰에서 ‘싱싱한’ 연락처를 모두 수집하고 있다는 건데 결국 내가 아무리 카카오톡을 안쓴다고 해도 이미 나를 아는 사람들에 의해 내 전화번호와 이름은 카카오톡 서버에 올라가 있다는 거다. 이게 진짜 무서운거지. 아마 네 다리만 거치면 대한민국 모두와 연결될 수 있는 이 좁은 세상에, 지금 카카오톡 사용자 규모라면 99.99% 가량의 대한민국의 유효한 핸드폰 번호는 모두 카카오톡에 올라와 있다고 해도 거짓말은 아닐거다.
그리고 카카오톡이 얼마나 보안을 잘 하고 있는지는 나도 모른다. 근데 한가지 확실한 건 ‘절대 뚫을 수 없는 건 아니다’라는 거다. 내가 만약 해커라면 카카오톡은 진짜 매력적인 목표물이 될 것은 확실하지. 하루 아침에 스팸의 왕으로 등극할 수도 있는 문제다 이건.
8. 지금부터 해야할 일은
잔뜩 병신들 지적질만 해왔으니, 이번에는 진짜 도움이 되는 걸 알려줘야 할 차례인 것 같다. 그냥 이유는 설명 안하겠다. 어차피 이유 설명 안해줘도 찌라시 쓰는 기자놈들이 양산해내는 똥같은 글도 잘 믿는 사람들이 넘치는 세상이지 않은가.
- 이건 중요하고 또 시급하다. 네이버, 다음, 옥션, 지마켓 기타 등등 기억나는 모든 사이트의 비밀 번호를 바꿔라. 단, 같은 비밀번호는 하나도 없도록 해야 한다. 이미 같은 아이디로 가입되어 있는 사이트가 많을텐데 같은 비밀번호가 없도록 모두 바꿔야 한다.
- 이것도 중요하다. 비밀번호는 본인에게도 어려운 걸 선택해야 한다. 예를 들어 “pretty1234”, “sexy5678” 이라든지 kcs0712 이런 거 하지 말라는 거다. 사실 이름약자+생일숫자로 뚫리는 게 무슨 비밀번호냐. 차라리 1111 해라. 비밀번호라고 명함을 내밀 수 있는 건 h2Y7gse*NTk@3#1 같은 걸 말한다.
- 가능하면 윈도 업데이트하고 백신을 설치해라.
- IE 쓰지 마라. 크롬, 파이어폭스, 오페라 같은 좋은 브라우저를 사용하라
- 무료 악성코드 잡는 프로그램 같은 거 쓰지마라. 그냥 이름 있는 백신만 써라. 악성코드가 발견됐다고 빽빽거리는 건 절대 쓰지 마라. 좋은 프로그램은 알아서 차단하고 알아서 치료한다. 빽빽 거리는 건 그 자체가 돈달라고 속이는 악성코드다.
- 가능하면 주민번호 요구하는 사이트는 더 이상 가입하지 마라. 그리고 탈퇴할 수 있으면 탈퇴해라.
- 그리고 끊임없이 요구하고 목소리를 내라. 개인정보 확실히 보호할 수 있도록, 믿을 수 없는 사이트에서 내 정보 가지고 있지 못하도록.
추가 – 이쯤에서 다시 한 번 곱씹어 볼 글들
- 인터넷에서 만날 수 있는 위협들 – 사이트마다 같은 비밀번호 쓰면 이렇게 낚일 수 있다.
- KISA 김희정 위원장님께 문의드립니다. – 김의원장님은 이 글을 읽고 메일은 주셨으나 답변은 주지 않았다.
그외, 공인인증서, 보안 따위로 이 블로그를 검색해 보시라.