해킹 사고가 터지면 "어떤 경로로 유출됐다고 생각하느냐"고 물어오는데 유출 경로는 그다지 중요하지 않다. 고객 데이터베이스(DB)가 해킹됐다는 사실 자체가 중요하다. 이번 사고는 SK커뮤니케이션즈(이하 SK컴즈)가 그동안 메신저 피싱이나 보이스 피싱 공격에 적극 대처하지 않은 데서 비롯됐다고 본다.

SK컴즈 관련 사이트는 해커들 사이에서는 악성코드(키로그 등 해킹 프로그램)를 설치해 아이디와 패스워드를 알아내기 쉬운 곳으로 여겨져 왔다. 특히 네이트온은 메신저 피싱의 온상이었다. 조직화된 피싱 범죄가 네이트온을 통해 이뤄졌다.

SK컴즈는 '서버는 안전하다'고 생각했을 것이다. 그러나 이런 생각이 이번 사태를 초래한 계기가 됐다. 메신저 피싱 등으로 돈을 챙긴 피싱 조직은 좀더 많은 개인정보를 획득하고 싶었을 것이다. 메신저 피싱에 적극 대처하지 않은 것이 서버를 공격해 고객 데이터를 훔쳐가는 '스니킹(악질 해킹)'을 초래했다고 본다.

네이트온은 아주 취약한 부분을 서비스 차원에서 담고 있다. 원격제어인데 이것을 이용하면 네이트온에 연결된 타인의 PC를 방화벽과 상관없이 마음대로 조작할 수 있다. 편리하다고 생각할지 모르겠지만 해킹에 악용되고 있다.

서버를 보호하는 수많은 보안 제품들이 있지만 데이터를 완벽하게 보호하기 어렵다. 개인정보를 암호화해 보관한다 하더라도 그 암호를 해독할 키값 한 번만 알아내면 모든 데이터는 무력화된다.

해킹은 관리자 계정을 획득해 서버에 들어 있는 모든 데이터를 마음대로 탈취하는 방식으로 이뤄지고 있다. 그렇지 못한 상황이라도 여러 차례에 걸쳐 데이터를 수집하면 모든 자료가 스니커(악의적 해커)의 손에 들어간다.

이번 사태를 보면서 유사한 해킹 사고가 연달아 발생할 수도 있다는 우려감이 든다. 악의적인 해커를 사법기관이 잡는다고 하더라도 스니커가 가져간 데이터를 완전히 수거할 수는 없다.

3500만명이라면 거의 모든 국민의 고객정보가 유출됐다고 할 수 있다. 사상 초유의 사태가 소 잃고 외양간 고치는 수준이라도 됐으면 하는 바람이다. 기업들은 자신들이 보관하는 고객정보가 자사 소유가 아니라 고객 소유란 사실을 다시 한 번 인식하고 고객정보 보호에 만전을 기해야 한다.