스냅챗, 부적절한 해킹 대응

 하루 사진 공유 건수 4억, 스냅챗이 어떤 서비스인지 바로 보여주는 말입니다. 10대들 사이에서 큰 인기를 얻는 것과 함께 사용자 폭이 점점 확대되면서 미국 내 새로운 소셜 강자로 떠오르고 있죠. 페이스북이 30억 달러의 인수 제안을 했을 만큼 그 가치는 높게 평가받고 있습니다.
 

---

스냅챗, 부적절한 해킹 대응
 

 지난 1일, 스냅챗의 사용자 정보 460만 건이 유출된 사실이 드러났습니다. 정체를 알 수 없는 해커는 'SnapchatDB.info'라는 사이트를 개설해 빼돌린 사용자 정보의 아이디와 전화번호가 담긴 파일을 누구나 볼 수 있도록 공개했습니다. 그는 '사생활 침해와 스팸에 악용될 것으로 우려해서 전화번호 뒤 2자리를 가린 상태로 공개했지만, 상황에 따라서 전부 공개할 수 있다.'고 밝혔습니다.
 
 

 
 스냅챗을 해킹한 이유는 직접적인 이득을 취하려는 것이 아니라 '스냅챗의 보안 취약점을 지적하기 위해서'라고 말했는데, '최근 스냅챗의 보안 취약점이 드러났지만, 스냅챗이 너무 소극적이었다.'면서 '사용자 정보를 기업들이 더 신경을 써야 한다.'고 주장했습니다.
 
 이미 지난 12월 25일, 깁슨 시큐리티(Gibson Security)라는 해커 그룹이 '스냅챗의 보안에 심각한 문제가 있어 사용자 정보가 유출된다.'고 문제를 제기한 바 있지만, 스냅챗은 크게 반응하지 않았습니다. 해커가 말한 '상황'의 스냅챗이 어떻게 상황을 정리할 것인가 하는 상황을 의미하는 것으로 보이는데, 그러나 스냅챗은 상황을 더 악화시켰습니다.
 
 RE/Code는 스냅챗의 창립자이자 CEO인 에반 슈피겔(Evan Spiegel)이 이번 문제를 해명하기 위해 NBC의 투데이 쇼에서 단독 인터뷰를 방송했다고 보도했습니다. 인터뷰에서 슈피겔은 이렇게 말했습니다.
 
 '우리는 충분히 조치를 했다고 생각했지만, 이런 사업에서 뒤를 돌아보는데 시간을 보내는 건 자신을 죽이는 일이다.'
 
 사과한다는 말은 없었습니다. 단지 할 만큼 했는데 공격을 당한 것이고, 그렇다고 이것을 생각하고 있는 것은 자멸하는 것이라면서 그렇게 하지 않겠다는 얘기를 꺼낸 겁니다. 지난 2일에는 자사 블로그를 통해 '깁슨 시큐리티가 보안 취약점을 지적한 탓에 스냅챗이 해킹을 당했다.'는 말도 안 되는 얘길 하더니 인터뷰에서조차 사과 대신 변명만 늘어놓았습니다.
 
 또, '유출된 것은 전화번호와 계정뿐이며, 스냅 내용 등의 다른 정보가 유출되진 않았다.'면서 사태의 심각성에 대해서 별문제가 없다는 듯이 대응했습니다.
 
 

 슈피겔이 어떤 다른 의도를 두고 한 얘기일 수도 있습니다. 그러니까 '새로운 보안 체계를 갖추는 것이 중요하지, 기존 유출된 문제를 곱씹고 있는 것은 다시 당할 수 있다.'거나 말이죠. 하지만 고객들이 생각하는 건 전혀 다릅니다. 현재 닥친 문제에 대한 수습과 이후 대응에 대해 묻고 있는데, 이를 두고 '할 만큼 했으니, 앞을 내다보자.'와 같은 얘길 한다는 건 잘 못된 것입니다.
 
 그리고 이 사태를 자신들이 아닌 외부의 책임으로 돌리는 건은 아주 못된 일입니다. 어쨌든 보안 취약점을 지니고 있었다는 사실을 지적해준 것은 사실 기업으로써는 고마운 일입니다. 놓치고 있던 부분일 수 있으니까요. 수정하고, 보완하면 됩니다. 그러나 자신들의 콧대가 얼마나 높다고 생각하는 것인지 늦장을 부렸고, 결국에는 사태가 벌어졌습니다. 이걸 두고 다른 곳을 탓한다는 건 있어선 안 됩니다.
 
 스냅챗의 대응은 어린아이가 떼쓰는 것과 같습니다. 하지만 어린아이야 사탕이나 장난감에 떼를 쓴다지만, 스냅챗은 회사이고, 고객을 상대로 떼를 쓴다는 건 경영에 책임을 물어야 하는 중요한 사안입니다.
 
 차라리 이런 식으로 대응할 거면, 페이스북의 인수제안이나 받아들였어야 합니다. 그러면 슈피겔은 비난을 받는 대신 큰돈과 함께 떼쓰는 버릇을 이런 중요한 사안이 아닌 것에서 부리고 있었겠죠. 스냅챗은 자신들이 회사라는 것을 망각해서는 안 되며, SNS의 스타가 되었다고 해서 자만해선 안됩니다. 기술 기업에 있어서 보안 문제는 고객을 한순간에 등 돌리게 하는 가장 중요한 문제입니다. 지금이라도 진중하게 받아들이고, 대처해야 합니다.
 
 
 

 기술 기업의 대형 해킹 사건은 익숙합니다. 익숙하지만, 그 대응법은 가지각색이죠.
 
 대표적으로 최근 보안 문제에 긍정적인 반응을 얻은 곳은 '에버노트(EverNote)'입니다. 지난해 3월, 에버노트는 공격이 감지된 시점에 바로 모든 계정의 비밀번호를 초기화합니다. 암호화된 비밀번호가 유출되긴 했으나, 전 계정의 비밀번호를 초기화하면서 의미 없게 만들어버린 겁니다. 고객들의 항의가 있긴 했으나, 재빠른 안내 메일과 자세한 상황 설명, 그리고 과감하지만, 적절한 방법으로 하루 만에 마무리되고, 고객들도 이런 에버노트의 대응에 신뢰를 얻습니다.
 
 반대로 좋지 못한 평가를 받은 곳은 '어도비(Adobe)'입니다. 처음에는 290만 명의 어도비 계정이 해킹된 것으로 발표되었지만, 보안업체인 라스트패스에 의해 1억 5,000만 건의 레코드가 포함된 것으로 발견되었습니다. 그리고 초기 고객 통보도 느렸고, 레코드는 곧 파기할 예정이었다는 해명을 합니다. 이 건으로 어도비는 몇 주를 시달려야 했죠.
 
 규모의 문제도 있겠지만, 대응에 따라서 반응은 극과 극으로 나뉩니다. 만약 에버노트가 공격을 빨리 감지하지 못했다면 저런 대응을 할 수도 없었을 테고, 애초부터 보안에 신경을 쓰고 있다는 느낌을 고객들에게 주었기에 안내 메일도 설득력을 얻고, 하루 만에 상황이 종료될 수 있었습니다.
 
 스냅챗의 대응은 어도비보다 더 못한 것이며, 한동안 여기에 대한 책임을 지는데 시간을 보내게 될 것입니다. 이런 시간을 보내는 건 자신을 죽이는 일이죠.