이랜드 그룹 계열사 랜섬웨어 감염
이랜드 그룹 계열사 중 쇼핑몰로 유명한 NC백화점, 뉴코아아울렛등 23곳이 랜섬웨어 감염으로 휴점을 했다는 뉴스가 나왔다. 그런데, 뉴스 기사를 보고 의아한 생각이 들었던 것이 뉴스 기사에서는 이것을 ‘공격’으로 표현하고 있다는데 있다.
랜섬웨어는 몇해전부터 유명해진 방법이다. 대상이 되는 컴퓨터 시스템에서 활동해 관련 자료들을 전부 암호화 해버린다. 만일 암호화된 자료를 복호화 할려면 패스워드를 알아야 하는데, 랜섬웨어를 유포한 일당들은 이것을 빌미로 돈을 요구한다. 대부분 돈을 요구한데로 보내줬다고 하더라도 나몰라라 하는 경우가 많다.
랜섬웨어는 공격을 하는 형태가 아니다. 랜섬웨어의 주요 경로는 불법적인 소프트웨어 다운로드에 있다. 정식경로가 아닌 경로에서의 소프트웨어 다운로드는 그 소프트웨어가 어떤 변형을 가지고 있는지 보증하지 않는다. 두번째는 이메일이다. IT 업무를 하는데 있어 이메일은 중요한 수단인데, 업무용 이메일과 사적인 이메일을 함께 설정해 사용하는 경우가 많다.
랜섬웨어는 이렇게 알게 모르게 첨부된 형태의 프로그램이다. 단지 그 프로그램이 실행될 것이라고 알아차리지 못하는 것이다. 그래서 이런 형태를 공격이라고 보긴 어렵다. 감염이라는 말이 더 맞는 말이다.
‘감염’ 그건 곧 이랜드 그룹 ‘책임’
뉴스에서는 ‘공격’ 이라는 표현을 썼는데 분명 잘못된 것이다. 그런데, 왜 이런 공격이라는 표현을 쓰는 것일까? 답은 간단하다. ‘감염’ 이라는 표현을 쓸 경우에 이것은 이랜드 그룹이 IT 업무를 하는데 있어 보안상의 주의의무를 다하지 않아 발생된 책임을 지게 된다.
결국에 이랜드 그룹의 책임이 없다는 함의를 전달하기 위해서 ‘랜섬웨어 공격’ 이라고 표현한 것인데, 명백한 책임회피다.
기업은 자신이 하는 일에 대한 책임을 져야 한다. 아니 기업까지 갈 필요도 없이 사람도 마찬가지다. 특히나 IT 관련 기업들은 개인정보를 다루는 경우 뿐만 아니라 많은 사람들이 그 IT 기업이 운영하는 서비스에 의존해 생계를 유지하는 경우도 많다.
그런데, 한국에서 IT 기업의 책임을 묻거나 그것에 대해서 배상을 한 적은 단 한번도 없다. ‘배상’ 은 물질적인 책임, 정신적 책임에 대해서 보상을 하는 것을 말한다. 하지만 언제부터인가 IT 기업은 말로만 ‘사과’ 하고 끝이였다.
여론을 다루는 언론사마져 기업 책임에 대한 인식이 없다
기업이 책임을 다하지 않는다는 모습을 보일때에 사람들은 분노한다. 하지만 오래전부터 내려온 IT 기업의 개인정보 유출 사건과 대법원의 현실을 외면한 판결로 인해서 이제는 그러려니~ 하는 분위기다 팽배하다.
기업은 당연히 책임을 지려고 하지 않을 것이고 대법원이야 법대로 처리하는 곳이라고 한다면 여론을 다루는 언론사만이라도 ‘그러려니~’ 하는 시각을 가져서는 안되는 것 아닌가?
언론들 마져도 랜섬웨어 ‘공격’ 이라고 하고 앉았으니 절망적이라고 봐야 한다. IT 를 잘 모르는 대부분의 국민들은 최선을 다하는 기업이 엄하게 공격을 받아서 영업에 지장을 받은 것으로 인식할게 뻔하지 않나.
이랜드 그룹사의 랜섬웨어 감염은 공격 받아 발생한 문제가 아니다. 이 말은 평소 이랜드 그룹사에서 IT 업무를 할때에 보안적인 측면에서 업무 프로세스가 없거나 설사 있다고 하더라도 업무하는데 지장을 준다는 이유로 이행하지 않았을 것이 분명하다.
이랜드 그룹사가 보안에 대한 업무를 제대로 하지 않는 바람에 랜섬웨어에 감염됐다는 것이 이번 사건의 본질이다. 이에 따른 영업 손실에 대한 배상은 당연한 것이다.
대충사는 인간들도 문제
프리랜서로 일을 하다 보면 다양한 인간 유형을 만난다. 10에 9명은 자신의 행동을 통제하려고 하지 않는다. IT 라는 업무는 나름대로 규격이 정해져 있다. 다른 분야는 잘 모르지만 IT 산업은 매우 체계적이여서 접근하기도 쉽고 배우기도 쉬운 편에 속한다.
하지만 IT 를 한다는 인간들 대부분이 그러한 업무를 하는데 있어서 개인적인 행동에 제약이 존재한다는 것을 배우려 하지 않는다.
대표적인 것이 이메일이다. 이랜드 그룹사에 경우에도 회사의 메일서버를 운영한다. 개인마다 회사 업무를 위한 메일을 발급하는데, 대부분 사람들이 자신의 업무용 PC 에 Outlook 과 같은 메일 클라이언트를 설치해 POP3 프로토콜을 이용해 메일을 사용한다.
문제는 이 Outlook 에 개인이 사용하는 메일들, 예를들어 네이버 메일, 다음 메일등도 함께 등록해 사용하는 사람들이 존재한다는데 있다.
업무용 PC 는 인터넷과 연결해 사용한다고 하더라도 사적인 일을 해서는 안된다. 하지만 Outlook 에 개인이 사용하는 이메일을 연결하는 행위자체가 문제가 된다는 인식이 없다.
업무용 PC 를 이용해 쇼핑을 하는 경우도 허다하다. 쇼핑을 하는데 무슨 문제가 되느냐 하겠지만 문제는 결제할때 발생한다. 그 말도 안되는 ActiveX 프로그램들을 죄다 설치해야 하는데, 이벤트를 진행하는 경우, 분초를 다투면서 업무는 둘째고 급하게 결제를 하는 인간들도 있다.
이미 업무용 PC 에는 회사에 보안 정책에 기반한 각종 보안 프로그램들이 작동되고 있는데, 쇼핑 결제를 하겠다고 설치한 ActiveX 가 작동되지 않을 경우 어떻게든 회사에서 설치한 보안 프로그램을 우회할려고 피나는 노력을 아끼지 않는 인간도 있다.
이것도 기업 책임
그런 인간유형을 활개치게 놔두는 것도 기업의 책임일 수밖에 없다. 이런 유형의 인간들을 집어내 내치는 것 또한 기업이 책임져야할 일이 아니겠나. 더 나가 그렇게 하지 못하도록 기업의 문화를 만들어내는 것도 기업의 책무다.
뭐.. 하지만… 대충하는 인간들이 정치질에 승승장구하는게 세상이니..