이전에 해커는 보이지 않는 존재들이었다. 왜 그런가 생각해보면, 당시 관심이 없었던 것도 있겠지만, 눈에 보이지도 않았고 국내에서 유명해커가 검거되었단 소식도 들어본 적이 없었기 때문이라 생각한다. 단순히 그 시기의 해커 이미지는 얼굴에 검은 그늘이 있는 사람이거나 범죄자와 같은 모습의 굉장히 어두운 이미지로 보였다. 혹은, 도박에 찌든 아저씨처럼 컴퓨터에 찌든 아저씨 같은 느낌일 수도 있었을 것 같다. 그 시기에는 비치는 모습이 그랬던지라, 아마도 많은 사람이 그대로 믿었을지 모른다. 하지만 시간이 흘러 해커가 방송, 언론매체를 타고, 취약점을 공개적으로 제보하는 등 이제는 컴퓨터를 하지 않는 일반 사람들에게도 있는 그대로 보이는 존재가 되었다. 마치, 이전에 느꼈던 해커의 이미지가 어두컴컴했다면, 앞에 나서서 보안 강화에 더 힘쓰는 운동가 같은 느낌이랄까. 이처럼 좋은 이미지로 알려지는 해커들이 많아지는가 하면은 반면에 해킹 범죄를 일으켜 존재감을 드러내는 이들도 많아졌다. 선례로, 랜섬웨어가 기승을 부리며 일반인 피해자도 속출하게 되고, 해커의 존재감은 확실하게 커졌다고 생각한다. 아무튼, 이 같은 얘기를 꺼낸 이유는 오늘날의 해커가 이전보다 더 큰 존재감을 나타내고 있다는 것이다. 그것도, 나쁜 쪽으로 말이다. 문제는 우리가 이런 상황을 만들어가고 있는 것이 아니겠느냐는 것이다. 며칠 전 Uber가 두 명의 해커에게 해킹을 당했는데, Uber 측에서는 이 해킹 사실을 입 막음 하기 위해 해커에게 십만 달러를 줬다는 이야기가 논란이다.[1]
우버(Uber Technologies, Inc)는 스마트 폰 기반의 교통서비스를 제공하는 미국의 교통회사로, 실질적인 서비스를 시작한 것은 2010년부터다. 이 기업은 고용되거나 공유된 차량의 운전기사와 승객이 모바일 앱을 통해 서로 중계하는 서비스를 제공한다. 쉽게 생각해서 카카오 택시와 같은 느낌으로 우버는 현재 전 세계 많은 도시에서 서비스를 제공하고 있다. 아시다시피 차량의 예약은 텍스트 메시지나 모바일 앱을 통해 진행되며, 모바일 앱에서는 예약된 차량의 위치가 승객에게 실시간으로 제공된다. 현재 2014년 기준 우버의 기업가치는 18조 원이 넘어 Airbnb와 샤오미를 제쳤으며[2], 우버의 기업가치는 세계 스타트업 가운데 가장 높은 약 75조 3000억 원으로 추산되고 있다.[3][4][5] 물론, 해킹사건이 터지기 전 이야기겠지만 말이다.
최근 2016년 10월, 두 명의 해커가 우버를 해킹하여 5,700만 명의 사용자와 드라이버의 개인 데이터를 훔쳐냈고, 우버는 이를 1년 동안 숨겼다가 2017년 11월 21일 최근에서야 공개했다.[6] 그들은 해커가 우버에서 사용하는 타사 클라우드 기반 서비스에 저장된 사용자 데이터에 접근하였고, 회사 시스템이나 인프라는 침범하지 않았다고 밝혔다.[7] 당시 해커가 가져간 정보는 전 세계 5천만 명의 Uber 사용자의 이름과 이메일 주소, 전화번호 등이 포함되어 있었고[8], 약 60만 개의 미국 운전 면허증을 포함한 약 700만 명의 운전자에 대한 개인 정보에 접근했었을 것으로 보고 있다.[9] 그들의 말에 따르면 조금은 다행히도 사용자의 여행 위치 기록, 신용 카드 번호, 은행 계좌 번호, 주민 등록 번호 또는 생년월일과 같은 아주 개인적인 정보는 가져가지 못했을 것으로 보고 있다.[10]
사건 발생 당시 그들은 데이터를 보호하기 위해 무단 접근을 차단하기 위한 즉각적인 조처를 했다. 하지만 이미 개인 데이터가 다운로드 되어 파괴되었음을 확인하였고, 이에 대해 클라우드 기반 스토리지 계정에 대한 접근을 제한하고 제어를 강화하기 위한 보안 조치를 구현했다고 밝혔다. 더불어, 당시 그들은 사건이 일어난 즉시 어떻게 된 것인지에 대한 철저한 조사를 요청했다고 했다. 하지만 그들의 말에 따르면, 사건과 관련한 개인이나 당국에 얘기하는 대신 사건에 대한 몇 가지 조처를 하길 원했으므로 이에 대해 함구하길 바랐다는 것이다.[11] 즉, 그들은 연방 거래위원회(FTC, FAIR TRADE COMMISSION)에게만 이 사건에 대해 이야기를 했고, 개인 정보 보호 합의에 대해 협상을 진행했다. 이에 회사는 그들의 잘못을 인정하지 않고 두 명의 해커에게 10만 달러를 내는 대신 도난당한 정보를 삭제하고, 사건에 대해 함구하길 3개월 전에 FTC 합의에 동의했다는 것이다.[12][13] 한마디로, 사건을 비밀로 하고 정보를 삭제하는 대가로 데이터를 가져간 두 명의 해커에게 몸값으로 10만 달러를 냈다는 것이다.
현재, 그들은 2009년 회사를 설립한 이래에 규제를 무시했다는 명성을 얻었고, 뇌물 수수, 불법 소프트웨어, 의심스러운 가격 책정 및 경쟁사의 지적 재산 도용에 대해 최소 5건의 범죄 조사를 하고 있다고 한다. 더불어, 1년 동안 사건을 숨기고, 돈으로 해결하려 했던 것에 대한 수십 개의 민사 소송에 걸려있다고 한다.[14]
그들은 단지 그 사건을 조용히 해결하기 위해 ‘돈’을 해커에게 주어 해결하려 했다. 문제는 이 행위가 상당히 좋지 못한 행동이라는 점이다. 일반적으로 랜섬웨어에 걸리면 이런 상황에 놓이는데, 이 상황에서 사용자는 선택을 요구받게 된다. 돈을 주어 데이터를 되찾을 것인 것, 아니면 데이터를 포기할 것인지 두 가지의 선택으로 놓인다. 이에 대해선 여러 의견이 분분한데, 막상 상황에 닥치면 어쩔 수 없이 돈을 낼 수밖에 없는 상황이 있다. 특히나, 기업에 있는 중요한 자료가 암호화 걸렸을 때는 회사의 존폐가 달려 있기 때문에 더더욱 어쩔 수 없는 상황이리라. 하지만 이와 같은 상황을 포함하여 돈을 내는 것은 해커의 존재감을 커지게 한다.
먼저, 만약 해커에게 돈을 지불하여 그들이 한 일에 대한 금전적 보상이 주어지게 된다면 그들은 보상이 확실하게 주어지는 목표물을 노리게 될 가능성이 있다. 예를 들어, 80% 확률로 치킨을 사줄 친구에게 치킨을 사달라고 하겠는가, 치킨을 한 번도 산 적이 없는 친구에게 치킨을 사달라고 하겠는가. 이 선택이다. 아마도 사줄 확률이 높은 친구에게 치킨을 사달라고 하지 않겠느냐는 것이다. 두 번째로, 실제 돈을 냈다고 하더라도 그만한 대가 처리가 제대로 될지 확실하지 않다는 것이다. 실제로 나야나 랜섬웨어 사건에서는 랜섬웨어 공격에 13억 원을 냈음에도 일부 서버는 복구에 실패하였다. 이번 사건만 해도 두 명의 해커에게 10만 달러를 냈지만 과연 언제까지 비밀로 처리할 수 있었을까 싶다. 세 번째로 처음 판돈이 10원에서 만원, 2만 원으로 올라가는 것은 일사천리라는 것이다. 판돈을 올리는 것도 따본 놈이 올리는 거라고, 해커에 의도대로 그 금액에 맞춰서 낸다면 그들은 이후 더 큰 금액을 노릴지도 모른다. 그들의 몸값은 더 높아질 것이고, 적은 돈으론 만족하지 못할 것이다. 마지막으로 전체적으로 봤을 때 해커에게 돈을 내면 해커를 독려하는 일만 된다는 것이다. 아마도 그들은 사용자에게 받은 돈을 기반으로 더 큰 범죄를 구상하게 될지도 모른다. 더불어, 따는 장사에 누가 참여를 안 하겠는가.[15]
구구절절 얘기했지만 쉽게 말해 돈을 줌으로써 범죄 행위를 양육한다는 것이다. 결국엔 안 걸리는 것이 최선이고, 걸리더라도 복구를 할 수 있는 백업 시스템을 마련해두는 것이 가장 차선이다. 하지만 선택의 순간에서 놓여 있는 상황은 다 다르니 절대적인 기준을 가지고 양자택일을 하라고만 할 순 없는 노릇이다. 결국엔 그때 상황에 따라 갈릴 수밖에 없는 것이 관건일 수도 있겠다. 여기에선 해커의 의도대로 따라주지 말아야 한다고 했지만, 만약 상황에 쫓긴다면 그것도 어쩔 수 없는 일. 예를 들어, 병원에 있는 데이터가 묶여 위급한 환자가 나온다면 차라리 비용을 내고 상황에 빠르게 대처하는 것이 현명할 수도 있단 것이다.[16] 결론적으로 말하면 사실 정답은 없다. 하지만 확실한 건 우리가 돈을 내고 해커의 의도대로 할 때마다 해커의 존재는 더욱 커질 것이라는 점이다. 이런 식으로 해커의 존재감이 커지는 것이 안타까울 뿐이다.