정보보호의 세계에서 '로그(Log)'는 단순한 시스템 기록이 아니라, 사고의 실체를 규명할 수 있는 '디지털 증거'이자 '목격자'다. 로그에는 누가, 언제, 어떤 방식으로 시스템에 접근했는지 흔적이 남는다. 이는 침해사고를 추적할 수 있는 단서가 되며, 사이버 보안의 핵심인 '추적성'과 '가시성'을 확보하는 기반이 된다. 그러나 목격자가 존재하더라도 물증이 사라진다면, 진실은 끝내 드러날 수 없다.
얼마 전 한 통신사의 침해사고 관련 민관합동조사단 발표는 디지털 증거가 어떻게 무력화될 수 있는지 보여준다.
의도치 않았다 할 지라도 증거가 사라지면 심각한 후폭풍을 남긴다. 추적성과 가시성이 확보되지 않은 상태에서 이루어지는 보안 강화는 임시방편에 그칠 가능성이 높다. 그 결과 동일한 침해가 반복될 수 있는 구조적 취약성이 남는다. 국민은 자신의 개인정보 관련 향후 발생할 수 있는 2차 피해의 위험에 방치된다.
더구나, 최근 알려진 바와 같이 '통신망의 주민등록번호'라 할 수 있는 가입자 식별번호(IMSI)를 십수년간 이용자 전화번호와 동일하게 적용하고 있던 상황이라면, IMSI를 통한 이용자 특정, 위치 추적, 기존 침해사고와 결합된 유형의 피해 가능성에서도 자유로울 수 없게 된다.
어떤 사고든 증거를 의도적으로 없애면 우리 법체계는 사고 자체보다 도주 행위를 더 엄중히 처벌한다. 교통사고의 경우 일반 사고는 피해자와 합의 시 형사처벌을 면할 수 있지만, 도주 시에는 책임을 피할 수 없다. 피해자 사망 시 무기징역까지 선고될 수 있다. 도주에 따르는 대가가 가볍지 않다는 사회적 합의가 있기에, 사람들은 도주 대신 책임을 선택하고 사회의 기본 질서가 유지된다.
그러나 만약 해킹 증거 인멸에 대한 책임을 명확히 묻지 않는다면, 상황은 정반대로 흘러갈 수 있다. 사고의 전모를 투명하게 공개할 경우 법적 책임을 지는 반면, 증거를 제거한 기업은 책임을 피하는 역설적인 상황이 초래되기 때문이다.
지금은 해킹 증거 인멸에 대한 경찰의 조속한 수사 결과 발표와 함께, 정보보호의 기본 책무인 IMSI 관리 미흡에 대한 정부의 적극적인 법 집행 등으로 시장 질서를 바로잡아야 할 시점이다. 기업은 이용자 정보를 최대한 보호해야 할 의무와 사고 발생 시 진실을 투명하게 밝혀야 할 책임이 있다. '진실을 숨겨서 얻는 이익이 법 준수의 이익보다 클 수 없다'는 원칙이 현장에서 작동해야 한다. 우리 사회가 시급히 수선해야 할 '깨진 유리창'에는 이용자 정보 관리 소홀과 해킹 증거 인멸을 엄중히 다루는 정부의 확고한 의지가 작동해야 한다.
박기웅 세종대 정보보호학과 교수
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지