며칠전에 터진 온라인 경매 사이트 옥션의 개인정보 유출 사건과 관련하여, 하나의 글을 봤습니다. 제 맘대로 좀 과격하도록 짧게 요약하자면, 개인정보 유출이라는 보안 사고를 당한 기업은 적극적으로 사건을 공개하여 유사 사건이 계속 재발하는 것을 막아야 한다...는 식이군요.

사이버 인질극에 대처하는 우리의 자세
http://www.ringblog.net/1212

원론적으로, 백번 천번 지당한 말씀입니다. 범죄자와의 타협은 제2, 제3, ... 제n의 피해자를 낳게 마련입니다. --;;
그런데, 이런 모범 답안적인 대처 방법이, 현실적으로도 좋은 대처법일까요..?

기억하시는 분들도 있겠지만, 저는 2006년 여름에 국내 최대의 결혼정보회사에서 유사한 보안 사고가 발생했던 당시에 그 회사의 전산 책임자이자 보안 책임자였습니다. 자세한 내용은 전에도 썼었으니까...
http://www.borlandforum.com/impboard/impboard.dll?action=read&db=free&no=13026

최선의 노력을 다해 범인 체포까지 이루었는데도 불구하고 오히려 매도당하는 상황까지 갔으니.. 그 언론 보도들을 접한 각 기업의 책임자들이 잘도 해킹 사실을 공개하고 경찰에 신고하겠습니다. 저 자신조차도, 그때 협박 메일을 받고 추적해서 범인을 신고한 것을 후회하고 있으니 말입니다.

지금 생각해보면, 차라리 범인을 못잡았으면 서울경찰청에서 그렇게 대대적으로 보도자료를 내고 법석을 떨지는 않았을텐데, 범인을 잡아준 덕분에, 그것도 1주일이라는 최단 시간에 체포까지 했으니 홍보용 보도자료로 떠벌리기에 딱이었죠. (신고 전에 추적해서 범인을 특정해서 신고했고, 거짓 협상을 하며 범인을 안심시키고 위치추적을 할 시간을 벌어줬는데도 1주일이나 걸린 것은 오히려 검거가 늦은 거죠) 결과만 단적으로 말하자면, 기업의 입장에서는 경찰이 범인을 잡도록 해줬기 때문에 도리어 2차 피해를 보게 된 거죠.

어쨌든... 이번 옥션 해킹 관련 기사들을 보면서 입맛이 참 씁니다. 기자들이 사태를 제대로 파악을 못해서 기사들 내용이 서로 모순적이기도 하고 자세한 내막을 알 수 없습니다만... 몇가지 짚이는 것들도 있기도 하구요. 이번 수사를 경찰청 사이버테러대응센터에서 한다는데... 거기는 서울경찰청 사이버수사대보다 얼마쯤이나 나을지 궁금하네요.