내 메일함에 꽂힐 수도 있는 그 경고장
솔직히 현업에서 담당자들 만나보면 가장 많이 하는 말이 "우리는 약관에 다 적어놨는데요?"입니다. 그런데 말이죠, 대법원이 이번에 짚어준 핵심은 약관에 적었느냐가 아니라 이용자가 '진짜로' 알았느냐는 겁니다. 페이스북은 친구 정보를 넘기면서 정작 그 친구들에게는 아무런 동의를 안 받았죠. 이거 생각보다 위험한 지점이에요. 우리 회사 서비스 중에도 '사용자 A가 동의했으니 A의 관계자인 B의 정보까지 넘겨도 되겠지'라고 막연하게 생각하는 로직이 하나쯤은 있을 겁니다. 제가 본 최악의 케이스는 개발팀에서 편의상 API 권한을 다 열어줬는데, 법무팀은 그것도 모르고 약관만 고치고 있었던 경우였습니다.
범인은 유출 경로가 아니라 '방치'였습니다
여기서 우리가 진짜 소름 돋아야 할 지점은 67억이라는 돈이 아닙니다. 2012년부터 2018년까지, 무려 6년 동안이나 이 무단 제공이 계속됐다는 사실이죠. 왜 6년 동안 아무도 몰랐을까요? 데이터가 나가는 통로는 열어뒀는데, 정작 어디로 얼마나 흘러가는지 감시하는 '수도계량기'가 없었기 때문입니다. 대부분의 실무자가 유출 사고라고 하면 해커가 뚫고 들어오는 것만 생각하는데, 진짜 무서운 건 이렇게 합법의 탈을 쓰고 시스템적으로 새어나가는 데이터입니다. 이건 보안 솔루션을 깐다고 해결되는 게 아니라, 데이터의 흐름 자체를 추적할 수 있는 거버넌스가 없으면 절대 못 잡아내거든요.
사고 치고 수습할 건가요, 아니면 미리 막을 건가요
이제는 "몰랐다"는 말이 통하지 않는 시대입니다. 제가 추천하는 고수들의 방식은 단순합니다. 일단 우리 회사의 데이터가 어디서 생성되어 어디로 흘러가는지 데이터 맵부터 다시 그리세요. 특히 기업용 데이터 보관 솔루션인 Enterprise Vault 같은 툴을 활용하면 데이터의 생애주기를 관리하고, 누가 언제 어떤 데이터에 접근했는지 명확하게 기록을 남길 수 있습니다. 나중에 문제가 터졌을 때 "우리는 최선을 다해 관리했다"는 것을 입증할 수 있는 유일한 방법은 말뿐인 규정이 아니라 디지털 로그뿐입니다. 지금 당장 우리 서비스의 API 권한 설정부터 다시 훑어보세요. 생각지도 못한 '뒷문'이 열려 있을지도 모르니까요.
결국 사람이 실수하고 시스템이 뚫리지만, 그 구멍을 메우는 건 결국 꼼꼼한 기록과 집요한 확인뿐입니다. 오늘 퇴근 전에 한 번만 더 체크해 보시죠.
0 댓글