포털 사이트 다음(Daum) 이 위기에 빠졌습니다. 메일 서비스를 업그레이드 하는 도중 문제가 발생해 다른 사람 메일 목록이 보이거나 심지어 본문까지 보이는 등의 피해가 생겼습니다. 삭제된 메일도 있다는 얘기가 있고, 개인정보가 유출되었는지도 모를 일입니다. 만약 기업에서 쓰이는 중요 메일을 누출당했다면, 그 피해는 이만 저만이 아니겠지요.

피해보상, 명확한 기준 없어

daum-crisis-1이 사고에 Daum 은 사과 공지를 올리고 메인 페이지 중간에 사과 내용을 볼 수 있는 배너를 삽입해서 피해 상황과 대처 내용들을 알리고 있습니다. 이례적으로 기자회견을 열어 대표가 직접 사과의 말을 전했습니다만, 이번 피해에 대한 명확한 보상 기준이 없어서 보상 조치가 애매한 상황입니다.

Daum 은 피해에 대해 분명히 보상하겠으며, 책임을 다 하겠다고 했습니다. 허나 그 피해 정도를 어떻게 판단하고, 어떤 기준을 두고 무엇으로 보상하겠다는 얘기는 없습니다. 외국에서의 사례도 없을 뿐더러, Daum 에서 자체적으로 보상 기준을 마련하는 것도 뭔가 앞 뒤가 안맞는 일이기 때문입니다. 게다가 피해 보상과는 별도로 피해를 입은 소비자들의 소송이 예고되고 있어서 앞으로의 Daum 행보가 순탄치 않음을 예고하고 있습니다.

내부적으로 자체 테스트를 거쳤다고는 하지만 어찌 되었든 결과적으로는 문제가 발생했습니다. 빠른 대응이라고 하지만 뭔가 석연치 않은 점들도 눈에 띕니다. 예컨데 Daum 의 서비스 장애 후 발표한 자료에 따르면 장애는 오후 3시 10분에 발생했는데 실질적인 차단 조치는 오후 4시나 되어서야 시작된 점, 메일 내용이 노출된 사례 혹은 메일 열람 피해에 대한 집계의 정확성 문제 같은 게 있을 수 있습니다. 조용히 메일만 열람되었을 경우, 설령 그 열람된 내용이 고객 입장에서는 매우 중요한 데이터(혹은 극비 문서)라 할지라도 피해 사례로 집계 되는가 하는 점입니다.

피해보상에 대한 기준도 애매합니다. 만약 치명적인 자료를 노출당한 고객이 있다 하더라도, 그 '피해' 에 대한 정확한 증거를 제시할 수 있는가가 문제가 됩니다. 가령 제 메일에 회사 극비 마케팅 문서가 있고, 경쟁사에 노출되어서는 안되는 전략이 담겨져 있다고 합시다. 그런데 그 걸 경쟁사 직원이 '우연히' 보게 되었고, 그 결과 유/무형의 막대한 피해를 입게 되었다고 한다면 이 걸 어떻게 증명하는가 하는 겁니다. 이런 물증 없는 애매한 피해는 설령 Daum 에서 도의적인 책임을 다하기 위해 보상을 한다 하더라도 뭔가 석연찮은 보상이 될 수 밖에 없습니다.

Daum 의 대응과 사용자들의 반응

daum-crisis-2현재 Daum 에서는 긴급대응반을 운영해서 피해 사례를 수집하고 고객 문의에 대응하고 있습니다. 또한 사용자분들의 목소리를 담기 위해 다양한 경로를 통해서 의견을 수집하고 있습니다. 서비스 장애 사과 공지의 댓글, 한메일 개발팀 블로그의 사과 포스트 댓글, 한메일 고객센터 등이 그 것입니다.

반응을 일부 살펴보니 대체로 호의적인 반응이 많았습니다. 정권의 음모설을 주장하는 분들도 있고 다음부터는 잘하자는 격려도 있었습니다. 반면 Daum 의 시스템에 문제가 많다는 점을 지적하시는 분들도 적지 않게 있었습니다. 철저하게 준비하고나서 작업을 해야 함이 당연한데, 사전에 제대로된 준비 없이 일을 하니 사고가 난 것이 아닌가 하는 지적도 있었습니다.

사실 저는 이번 Daum 메일 서비스 장애에 피해자가 아니기 때문에 별로 Daum 에 유감을 가지고 있다거나 하지는 않습니다. 주로 사용하는 이메일은 Google Mail 이고, 그나마도 저라는 녀석이 메일을 잘 쓰지 않기 때문에 별다르게 피해를 입을 일은 없습니다. 사고 후 확인차 Daum 한메일에 로그인해서 이메일 목록들을 봤지만 대부분 스팸성 메일이어서 노출되더라도 문제가 없는 것들이었습니다.

그렇지만 이번 일을 계기로 저는 Daum 이 정말 제대로된 대책방안을 마련해 주었으면 합니다. 메일이라는 건 개인적인 것들입니다. 스팸 메일이 많아진 요즘 그런 인식이 옅어진 것은 사실이지만 그래도 메일이라는 것은 개인적인 것들을 나타내고 있습니다. 외부에 공개되는 블로그의 포스트 같은 게 아니라 오직 단 한사람, 사용자 본인만을 위한 서비스입니다. 혼자서 봐야 할 메일들을 불특정 다수에게 여과없이 노출시킨 것은 매우 큰 사고라 할 수 있습니다. 이는 Daum 에 대한 신뢰성에도 금이 가는 사고입니다.

인터넷 서비스에 대한 신뢰성 구축 필요

그리고 비단 Daum 뿐만 아니라 다른 인터넷 서비스 업체들도 개인정보보호에 보다 만전을 기해줬으면 합니다. 요즘따라 빈번히 들려오는 소식이 '해킹 피해' 니 '개인정보유출' 이니 하는 소식들 뿐이라는 것은, 우리나라 인터넷 업계 전반에 걸쳐 문제가 있는 것은 아닌지 의구심이 들게 합니다. 보안 책임자 분들이나 개발자 여러분들의 노고를 비하하는 것이 아닙니다. 여러분들의 노고는 격려 받아 마땅하지만, 지금의 수준으로는 문제가 있으므로 좀 더 높은 사용자들의 기대에 응해 달라는 것입니다.

이번 일을 계기로 이런 일련의 사고들에 대한 근본적인 해법은 없는지 고민하게 되었습니다. 만약 Daum 한메일이 아니라 Google Mail 이였다면? 별로 메일 서비스에 대한 의존도가 크지 않는 저라도 꽤 타격입니다. Google Korea 가 있긴 하지만 피해에 대한 보상을 어디까지 해줄 것인지 확신 할 수 없습니다. 근본적으로 외부에 자신의 데이터를 맡기는 것은 '신뢰' 를 기반으로 합니다. 만약 이 신뢰에 금이 가게 된다면, 사용자 입장에서는 자신이 직접 메일서버를 구축하지 않는 이상은 믿을 데가 없어져 버립니다.

Daum 에 제안하는 해법

daum-crisis-3 제가 Daum 에게 제안하고싶은 해법은 아래와 같습니다. 뭐, 원론적인 이야기입니다만...

1. 피해를 입은 메일 사용자 ID 를 알려줄 것.
   (로그인 하면 관련 정보를 사용자가 확인할 수 있도록)
2. 피해 정도에 대한 정확한 자료를 투명하게 공개할 것.
3. 노출된 데이터에 대한 '객관적인' 중요도 선별 기준을 제공할 것.
   (정보/홍보성 메일, 스팸 메일들에 대한 노출은 제외한다던지...)
4. 메일 내용의 유출로 큰 피해를 입게 된 고객들에겐 1:1 맞춤 대응을 해줄 것.
5. 재발 방지를 위한 Daum 의 노력을 계속 사용자들에게 알려줄 것.

크게 5가지 정도 제안을 하고 싶습니다. 그 중에서 일단 자신이 피해를 보게 되었는지의 여부는 꼭 알려주었으면 합니다. 피해를 입지 않았는데도 공연한 불안감에 시달릴 사용자도 있을 수 있고, 또한 피해를 입었는데 입지 않은 것으로 알고 있을 사용자도 있을 겁니다. Daum 에서는 이런 사용자의 불안을 해소하기 위해서 가급적이면 빠른 시일내로 피해를 입은 사용자들에게 별도로 알려주거나 해야 합니다.

"한메일" 에 대한 기대와 신뢰, 저버리지 말기를...

이 시대, 메일 서비스의 존재 필요성에 대해 의문을 제기하는 사람들이 많습니다. 이미 킬러 서비스에서 한참 벗어나버린 이메일, 기업 입장에서는 별로 중요하지 않게 다룰 수도 있습니다. 허나, 적어도 한메일의 성장을 기반으로 커온 Daum 만큼은 메일 서비스에 대해서 남다른 자세를 보여주지 않으면 안된다고 생각합니다. 이는 비단 저 혼자만의 바램은 아니겠지요. 한메일이라는 브랜드는 네티즌들에게 있어 설령 그 서비스를 사용하지 않더라도, "메일 서비스 의 대명사" 같은 겁니다. 그 만큼 믿음을 가지고 있기 때문에, Daum 이 이번 사고를 보다 심기일전하여 해결해 주길 바랍니다.

...고생하고 계실 Daum 의 직원 여러분들, 화이팅 하세요! ^^;; (보실런지는 모르겠지만...)