이종현 칼럼

[취재수첩] ‘ESG’ 외치다가 해킹당하면 나몰라라··· 선택적 투명성 만연

이종현
[디지털데일리 이종현기자] 대부분의 기업은 자사 이미지에 좋지 않은 이슈가 있을 경우 쉬쉬하며 확산되지 않도록 노력한다. 이는 해킹 사고가 있을 때도 그대로 적용된다. 기업 내부 정보가 유출됐더라도 ‘모르쇠’로 대응하는 것이 한국 기업의 흔한 모습이다.

지난 1월 8일 다크웹에 기업 데이터가 업로드된 모 기업의 경우 경위를 묻는 기자의 질문에 “우리 데이터는 맞지만 내부적으로 유출 흔적이 보이지 않아 대응하진 않을 것”이라는 다소 황당한 입장을 표명했다.

해당 기업 만의 문제가 아니다. 이름만 들으면 알 법한 국내 대기업들도 유사한 입장을 취한다. ‘그걸 왜 묻냐’, ‘좋은 게 좋은 거 아니냐, 굳이 캐내지 말자’는 식으로 넘어가려 하는 일도 비일비재하다.

문제는 이들 기업들이 대외적으로 ‘ESG(환경·사회·지배구조)’를 강조하고 있다는 점이다. 투명한 기업을 표명하면서 불리한 일이 있을 때는 그 어느 곳보다 불투명해지는, ‘매직미러’ 같은 투명성을 보인다.

이와 같은 모르쇠 전략이 실제 기업에 유리한지부터 진지하게 따져봐야 한다. 애당초 드러나지 않았으면 모를까, 의혹이 드러난 상황에서 모른척 뭉개고 넘어가려는 것은 호미로 막을 일을 가래로 막는 일의 단초가 될 수 있다.

국내 기업에 비해 해외 기업은 민감한 정보라 할지라도 대외적으로 공개하는 일이 잦다. 2020년 12월 전 세계를 뒤흔든 ‘솔라윈즈(SolarWinds)’ 사태에 피해를 입은 보안기업 맨디언트(당시 사명 파이어아이)가 대표적인 예다.

맨디언트는 보안기업임에도 솔라윈즈의 솔루션을 기점으로 하는 공급망 공격에 피해를 입었다. 다른 이들을 지켜줘야 하는 기업이 되려 공격 당했다는 것에 논란이 일었는데, 맨디언트는 스스로 피해 사실을 공표하며 정면돌파에 나섰다.

1년여가 지난 지금의 시점에서 보면, 당시 맨디언트의 선택은 옳았던 것으로 보인다. 투명하게 피해를 밝히고, 유관 기관과 협력해 공격자를 추적해 피해 확산 예방에 일조했다는 평가를 받는다. 맨디언트를 향한 산업계의 신뢰도 여전하다.

국내에서도 2021년 보안기업 지니언스가 자사 제품에서 취약점이 발견되자 이를 공표한 사례가 있다. 만약 이를 숨겼다면 지니언스의 제품을 이용하는 기업들은 취약점을 이용한 공격에 속수무책으로 당할 수밖에 없었다.
오지스와 티오리가 함께 마련한 클레이스왑 사건 보고서
오지스와 티오리가 함께 마련한 클레이스왑 사건 보고서

지난 2월 3일 발생한 탈중앙화금융(De-fi, 디파이) 서비스 ‘클레이스왑’에서 발생한 해킹도 해킹 사고 이후 좋은 대응의 사례로 남길 만하다.

22억원 상당의 암호화폐가 클레이스왑 이용자 지갑에서 유출된 건이다. 클레이스왑 개발사 오지스는 피해를 인지한 후 웹사이트를 닫아 추가 피해를 막고 보안기업 티오리와 함께 피해 범위 및 원인 규명에 착수, 3일 만에 사건 보고서를 공개했다. 사건 개요부터 전개, 해킹 방법, 대응, 재발 방지를 위한 제언까지 담겼다.

오지스와 티오리가 공개한 보고서가 정확한 내용인지는 불명확하다. 해킹 방법 등은 기술적인 영역인 만큼 조사에 따라 세밀한 내용은 달라질 수 있다. 오지스가 한국인터넷진흥원(KISA)에 피해를 신고한 만큼, 이에 대한 추가 조사가 이뤄질 것으로 보인다.

다만 기술적인 영역을 빼고라도, 해킹 사고에 투명하게 대응한 모습은 많은 국내 기업이 배워야 할 점으로 보인다. 기업들의 ‘선택적 투명성’이 아닌, ‘진짜 투명성’을 기대한다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널