Shawn's Laboratory (+Popeyed World)

최근에 일어난 싸이월드 사태에 대해...200만 개인정보가 유출되었다느니, 해킹이냐 아니냐 말이 많은데

다른 것들은 논외로 하고 기술적인 문제만 꼽자면 두가지 정도의 심각한 개인정보유출에 대해 생각해 볼 수 있습니다.

1. 개인들의 개인정보보호 인식문제

"자신의 페이지 방문자 추적을 위해  ID/PASS 를 업체에 제공한 1만6천명의 개인정보 유출"

싸이월드의 유저들 스스로가 자신의 홈피에 방문하는 유저들의 리스트를 알기 위해 자신의 실명, 나이, 성별, 이메일, 주소 등등이 들어있는 개인 정보를 타사에 넘겨줬다는 자체가 좀 우스운 시츄에이션이 되었는데요. 어째든 이분들의 개인정보가 자의에의해 타사에 흘러들어갔으니 유출은 유출이겠습니다.

뭐 비단 한국의 이야기만은 아니겠습니다만, 인터넷 강국이라고 소리높여 외치면서도 각 구성원들의 개인정보 보오 인식율은 현저하게 낮다는 사실입니다 (31%) 10명중 3명만이 자신의 개인정보에 신경을 쓰고 있다는 말...

2. 한국 기업들의 개인정보보호 인식문제

"위 1만 6천명의 페이지를 방문한 200만명의 개인정보 유출아니다."

우리나라 기업들의 개인정보보호 인식률은 최악의 수준이죠. 비단 싸이월드의 이야기만은 아니고, 이전에도 수차례 개인정보 유출 사건이 있었음에도 불구하고 ( 옥션, GS칼텍스, 엔씨, LG텔레콤, 다음, 하나포스, ... ) 이에 대한 대처나 보상문제가 미흡해서 구설이 끊이지 않았었고, 빠른 사죄와 보상과는 거리가 먼 심한경우 자기 기업들을 지지해준 고객들하고 소송이나 하는 수준의 행태를 보여왔습니다.

쿠키에는 ID도 들어가고 성별이나, E-MAIL 도 들어가고 뭐 그런 사용자 정보가 들어가는데 단순히 이런정보만이 노출되었다고 해킹이 아니다(?) 라고 말하는 것은 억지가 아닌지 십습니다. 일례로 일본에서는 사용자의 이메일 한줄이라도 사용자가 원하지 않는 곳에 (자신이 가입한 페이지 이외에) 들어간다면, 이를 개인정보 관리 위반으로 강하게 클레임하고 있습니다. 실제로도 기업들의 개인정보위반이고요.

더 문제인것은 그 COOKIE에는 로그인에 관련한 세션정보도 들어가니까, 200만명의 세션이 가로채 진다면 이메일이나 단순한 쿠키정보에의 방문자 고객들에 대한 가입당시 기입했던 개인정보 유출은 당연한 것이 아닌가 하는 생각입니다.

일본의 싸이월드라는 MIXI는 '아시아토(足後)'라고 하는 방문자 기록을 기본적으로 제공하는데요. 원하지 않으면 사용하지 않을 수도 있고 타인의 페이지에 갔다가 자신의 방문기록을 지울수도 있습니다. 개인정보에 초-민감한 일본에서도 이런 기능을 위법이 아니라서 사용자의 판단에 의해 자유롭게 사용되어지고 있습니다.

저도 싸이월드의 오래된 사용자로써, 싸이월드의 방문자 공개 대한 요구는 이전부터 있었던 것 같습니다. 그래서 편법적으로 Flash나 Javascript를 이용해서 그런 것들을 구현해 왔던 고급(?)사용자들이 있었고요... 하지만 그러한 고객들의 목소리에 대한 소통의 부재 혹은 늑장대응이 이런 사고를 키운것은 아닌가하는 개인적인 의견입니다. 

아무튼 이러한 사건들을 통해서 유출한 기업을 질타하는 것에 그치지않고 개인들도 개인정보보호에 대한 인식을 각성하는 계기가 되었으면 합니다. 에전에 호주에서 살때, 일본인 친구에게 소포가 온적이 있었는데, 그 소포를 보자마자 개인정보라며 소포에  붙어있는 주소스티커(from ~ to 적혀있는 딱지)부터 발기발기 찢어냈던 일본친구의 모습이 갑자기 생각납니다.

http://www.inews24.com/php/news_view.php?g_serial=420559&g_menu=020900

http://www.asiae.co.kr/uhtml/read.php?idxno=2009060814321373769