미주알고주알 어원이 흥미롭습니다. 미주알은 '창자의 끝 항문'을 뜻하는데, 미주알고주알은 '미주알'에 '고주알'을 합친 말입니다. 어문학계는 고주알이 미주알과 운을 맞추기 위해 덧붙인 말로 해석합니다. 창자 밑구멍의 끝인 미주알은 '눈으로 보기 어려워 숨은 사소한 일까지 속속들이 말하거나 캐묻는 것'을 뜻합니다. 더경남뉴스 기자들이 숨은 기삿거리를 찾아 '사랑방 이야기식'으로 소개합니다. 편집자 주

국내 최대 이커머스(전자상거래) 업체인 쿠팡에서 가입자 3370만 계정이 털린 사고가 발생했습니다. 사실상 쿠팡 가입자 계정이 모두 탈취된 상황입니다.

그런데 쿠팡은 소식을 알리면서, 개인정보가 털리면 통상 사용하는 '유출' 용어를 쓰는 대신 '노출'이란 단어를 차용했습니다. 다분히 사고 규모와 책임 소재를 축소시켜 대중들로 하여금 사태의 심각성을 덜 인식시키려는 의도입니다. 꼼수인 셈이지요.

기자는 쿠팡의 발표문에 적힌 '노출'이란 용어를 보면서 의아해 했습니다.

발표를 서울에서 해 현장 분위기를 제대로 인식하기 어려웠습니다. 곧 이어 현장에 있던 중앙 매체 기자들의 기사를 훑어보니 모두 '노출'로 썼더군요.

사안이 커 속보 기사를 송고해야 하기에 발표문 그대로 받아썼겠거니 했습니다. 곧 '유출'이나 '해킹' 단어로 바뀔 것으로 짐작했습니다.

한편으론 '노출'을 쓴 이유가 있겠지, 현장 기자들이 쿠팡에서 이 용어를 굳이 사용한 이유를 후속 기사로 쓸 것으로 생각했지요.

참고로 기자는 중앙일간지에서, 정보통신부(지금의 과학기술정보통신부와 방송미디어통신위원회릎 합친 부처)와 IT 업계를 수년 간 담당하며 '악성 코드 공격' 관련 기사들을 더러 쓴 적이 있어 이 사고의 후속 그림이 낯설지 않습니다.

개인정보가 노출됐다면, 회사 내부에서 직원 실수나 시스템 고장으로 인한 '자진 노출'일 수 있고 이것이 아니면 누군가가 훔쳐 가 '강제 노출'을 시켰다는 것이겠지요.

두 경우는 둘러치나 메치나 같은 맥락의 말입니다. 개인정보가 새 나간 것으로, '유춭'입니다.

보안 분야로만 좁혀 '노출'과 '유출' 차이를 살펴 보고, 보안 사고가 터지면 다반사로 접하는 '해킹'에 관해서도 알아 보겠습니다.

'노출'의 뜻은 '드러나다'입니다.

노출(露出)은 드러날 로(露), 날 출(出)로 '겉으로 드러나거나 드러냄'을 뜻합니다. 또 '어떤 환경이나 상황에 처하거나 처하게 하는 것'을 의미합니다.

다음으로 유출(流出)은 '물품이나 정보가 불법적으로 조직의 밖으로 나가거나 내보내는 것'(예시; 문화재 유출) 또는 '밖으로 흘러 나가거나 흘려 내보냄'(예시; 기름 유출)의 뜻을 지니고 있습니다.

비슷한 낱말로 누출, 반출이 있습니다.

쿠팡 사고에서 개인정보가 바깥으로 나간 것은 정확히 말해 '유출'입니다. 내부자가 했든 외부자가 했든 회사 입장에선 탈취를 당한 것이지요. 쿠팡은 발표에서 4천 여개의 개인정보가 '노출' 됐다고 신고하는 잔머리를 굴렸습니다. 신고 후 경찰과 한국인터넷진흥원(KISA)에서 뒤졌더니 3370만 개라는 어마어마한 개인 계정이 털린 것으로 밝혀졌습니다.

두 단어의 뜻으로 순서를 따지면, 개인정보가 '유출'이 된 후에 '노출'이 된 것으로 봐야 하겠지요.

아무튼 쿠팡은 상대적으로 파장의 강도가 낮은 '노출'이란 단어를 끌어와 사용했습니다.

쿠팡 입장에선 도둑질 당한 개인정보 파장을 최소화하려는 단어를 찾았을 것이고, '노출'이란 용어 앞에서 무릎을 탁 쳤겠지요.

외부의 시스템 공격을 받아 개인정보가 탈취당한 것이 아니라 단지 '노출'만 됐다는 점을 내세운 '자아 만족성' 대처입니다. 수사 및 보안 당국과 여론은 금방 내막을 알아차리게 되는데 말이죠.

요즘엔 물적·인적 감시망이 촘촘해 금방 탄로납니다. 머리를 너무 많이 굴려 악성 부스럼만 키운 셈이지요. 언론과 여론의 '하이애나 근성'을 너무 얕잡아 본 것이지요.

쿠팡의 잔머리는 자사에 대한 부정 인식만 키운채 안 해도 될 해명을 하고 있습니다. 개인정보를 빼낸 것으로 추정되는 중국인 퇴사자는 중국에서 '인증 키'로 개인정보를 빼냈다는 말이 나옵니다.

좋지 않은 큰일이 터졌을 땐 시쳇말로 전부 까고서 "잘못됐다. 최선을 다해 신속히 고치겠다. 정상화에 도와달라"고 해야 합니다.

노출과 유출의 차이를 살펴 보았으니 다음으로 내부망에 침입하는 '해킹'에 관해 알아봅니다.

개인정보는 통상 '해킹'을 당해 털립니다.

내부자가 자신의 조직을 해하는 경우는 그리 많지 않습니다. 내부자가 개인정보를 팔아 먹는 경우는 더러 있지만 주력 행위는 아닙니다.

해킹(hacking)이란 '다른 사람의 컴퓨터 시스템에 무단으로 침입해 저장된 데이터와 프로그램을 불법으로 이용하거나 바꾸거나 망치는 것'입니다.

거의 악성코드를 심지요.

외부인이나 내부인이 악성코드를 심어 빼내니 위에서 언급한 '단순 유출과 노출' 개념과 다릅니다.

물론 용어의 개념을 구분하면 해킹을 먼저 한 뒤 유출을 하고, 이어 노출을 시키는 것이지요.

쿠팡 사고는 현재 경찰 수사가 진행 중이어서 어떤 형태로 개인정보를 빼간 것인지 정확히 알 순 없습니다. 내부자가 자료만 빼 나갔는지 외부자가 해킹을 수단으로 빼나갔는 알 수 없다는 것입니다.

다만 유추할 수 단초는, 쿠팡에서 말한 '신원미확인 내부 직원'이 전직 중국인 직원으로 지목되고 있다는 것입니다. 그는 중국으로 출국한 상태입니다.

퇴사한 이 직원이 재직시 자료를 복사해 두고 중국으로 가져 나갔는지, 시스템 접속 경로를 숙지한 뒤 퇴사 후 중국에서 야금야금 빼냈는지 모릅니다.

일부 언론 매체에서 전 직원이 퇴사 후 중국에서 접속했다는 수사 경찰발 기사가 나오지만 정확한 것은 혐의자를 잡은 후에 나오겠지요.

기업에선 대체로 퇴사 전 당사자의 철저한 온오프라인 동태를 감시하기 때문에 자료를 갖고 나오긴 쉽지 않습니다.

대부분의 기업에선 내부 직원이 내부 정보를 빼가면 '정보 유출 방지시스템(DLP)'이 에 자동으로 파악합니다.

개인정보보호법 관련 고시에는 사내 개인정보처리자가 개인정보를 다룰 때 지켜야 하는 보호 기준을 제시하고 있습니다.

이를테면 개인정보 취급자가 바뀌거나 직원의 업무가 바뀌면 개인정보처리시스템의 접근 권한을 조정하거나 말소하도록 해야 합니다.

해킹 행태는 크게 내부자가 해커에게 루트를 알려주거나, 해커가 도움 없이 독자적으로 보안 시스템을 뚫고 들어와 자료를 빼내는 경우입니다.

쿠팡 사태에서 보듯, 결론은 '노출'이나 '유출'이나 '해킹'이나 각각의 수단을 떠나 개인정보가 안전하게 저장돼야 할 곳에서 외부로 빠져나간 것입니다.

하지만 '자진 노출'이 아니라는 점에서 이 사고의 종착점은 해킹이 될 여지는 남아 있습니다. 어떤 행태로든 지키는 보완 시스템을 무력화해 들어왔기 때문이지요.

쿠팡은 여론의 비난을 의식해 파장을 가장 최소화할 수 있는 '노출'이란 단어를 끄집어 왔습니다. 시쳇말로 '나중에 어떻게 될깝세(되던간에)' 극한폭우성 소나기는 피하고 보자는 심산이었겠지요

조직이나 개인이나 큰 잘못이 발생하면 피해 규모나 내부 사정을 숨깁니다. 이는 인지상정이지요.

하지만 최근 잇따르는 개인정보 누출 사고를 보면 거짓말을 누가 누가 잘하나 하는 경연장이 돼버린 지경입니다.

그간의 비슷한 행태들도 다수 있지요.

SK텔레콤이 대규모 '유심 서버 해킹'으로 노출을 장기간 숨긴 것이 확인됐고 소형 이동중계기에 고객정보를 털린 KT나 롯데카드도 장기간 숨긴 혐의를 받아 죄값의 결과를 기다리고 있습니다.

보안이 생명줄인 통신업체 등 IT 대기업들이 이런 짓을 하니 '돈 놀이'를 제일로 삼는 해외 업체나 사모펀드 등이 최대 주주로 있는 쿠팡, 롯데카드 등은 오죽하겠습니까?

쿠팡은 대규모 일본 자금이 들어가 있고 미국 나스닥에 상장한 회사입니다. 대표는 '바지 사장' 격입니다. 롯데카드는 사모펀드에서 인수해 대주주로 있습니다.

기본적으로 돈 버는 곳에만 투자하고 돈 안 되는 보안엔 등한시하며 떼돈만 벌려는 속셈이 바탕에 깔려 있습니다. 앞에선 보안 투자를 하는 척하고, 뒤로는 돈만 챙기는 행태이지요.

역설적으로 이들 업체는 보안 구멍으로 큰 돈을 써야 할 형편이 됐습니다.

사안은 다르지만 요즘 문 닫을 지경에 처한 홈플러스도 마찬가지입니다.

21세기 AI가 주도하는 시대에 1960~80년대 개발 시대 마인드로 무장하고 꼼수와 로비로만 장사를 하려는 장돌뱅이 기업 심성이 도를 넘고 있습니다.

'천망회회 소이불루'라는 한자 성어는 단지 글자로만 머물지 않습니다. 하늘의 그물이 듬성듬성한 것 같아도 다 걸리게 돼 있다는 의미인데, 시시 때때로 우리 사회의 심장을 찌릅니다.

장돌뱅이 장사아치들이 새겨야 할 말입니다.

마지막으로 부탁합니다.

개인정보보호위원회 등에선 정확한 용어로 신고를 받아야 합니다.

'유출'이 아닌 '노출'로 신고하고 받는 이런 말도 안 되는 관행은 하루 빨리 쓰레기통에 버려야 합니다.

"3370만 신상 명세가 도둑 맞았는데 노출이 뭡니까. 대체"

대한민국에 이런 기업이 몸집을 최대로 키워서 떵떵거리며 상행위를 버젓이 하고 있습니다.