사이버보안에서 ‘안전지대’는 없다는 뜻이다. 사이버공격자, 즉 범죄자들은 공격 대상을 가리지 않는다. 대상이 생명을 다루는 병원 정보라도, 국가의 최전방인 국방망이라도 예외는 아니다.

사이버보안과 가장 가까이 있는 보안기업들도 해커의 먹잇감이다. 기업이나 기관 등을 해킹하려 할 때 도입된 보안제품, 관련된 취약점이나 우회로를 찾는 것은 기본이다. 이를 넘어 최근에는 보안기업 자체를 노리기도 한다.

이번 이스트소프트의 개인정보 침해사고만 봐도 알 수 있다. 일반 국민들에게도 익숙한 백신 ‘알약’으로 유명한 이스트소프트는 종합 소프트웨어(SW) 기업이지만, 보안분야를 주요사업으로 다루고 있다. 이 회사는 올해 초, 보안사업 확대를 위해 100% 자회사인 이스트시큐리티를 설립하기도 했다.

이스트소프트는 13만여건 이상의 고객정보 침해사고를 당했다. 정확한 경위는 조사결과가 발표된 후에 알겠지만, 현재까지는 유출보다는 도용 가능성이 높다. 이스트소프트는 이러한 침해사고를 해커의 협박메일을 받고 나서야 인지했다. 현재 정부는 암호화 조치 등 이스트소프트의 보안정책과 해커의 정보침해 경위 등에 대해 조사하고 있다.

세계적으로 유명한 글로벌 보안기업 파이어아이도 해커의 노림수에 당한 바 있다. 해킹그룹이 파이어아이 침해사고대응전문조직인 맨디언트 직원의 소셜네트워킹서비스(SNS) 계정을 해킹에 내부 네트워크에 접근한 것이다.

이 사건으로 맨디언트 소속 보안연구원들의 개인정보 및 파일을 포함한 370MB에 달하는 정보가 외부에 공개됐다.

이스트소프트, 파이어아이 모두 각각의 분야에서 전문적인 보안기업이다. 아무리 해커라도 보안기업의 방어막을 뚫기란 쉽지 않다. 이 때문에 직원의 SNS 계정을 해킹하거나 이미 유출된 개인정보로 아이디와 비밀번호를 대입해 접근하는 등 우회전략을 사용하기도 한다.

결론적으로, '보안회사가 보안사고를 당했다'는 것은 그 자체로 드라마틱하다. 그러나 이 세상에 난공불락의 성은 없다.

연간 막대한 보안투자를 하고 있는 국내 굴지의 대기업도 최근 보안 사고를 당했다. 해당 대기업의 홍보 담당자는 "오해다. 잘못 알려진 것"이라고 강변했지만 결과적으로 이는 변명에 불과했다. 경위야 어찌됐든 피해가 발생했다면 그건 사고다. 막대한 보안투자를 하는 자신들이 설마 해커가 먹잇감이 될 것이라고 생각했겠는가.

이번 보안사고와 관련, 단지 언어적 유희로 해당 기업을 지나치게 비난하고 조롱하는 것은 보기에 불편하다. 보안 사고는 누구도 예외가 될 수 없기 때문이다.

오히려 이스트소프트가 이번 사고를 전화위복의 계기로 보다 단단한 보안기업으로 거듭나기를 기대한다. 우리 조상들이 '번개맞은 나무'로 소중한 물건을 만들었듯이 이번일이 새로운 각성의 계기가 되길 바래본다.

<최민지 기자>cmj@ddaily.co.kr