이번에 이메일 마케팅 플랫폼 스티비에서 해킹 사건이 발생했습니다. 개인적으로도 가입되어 있는 서비스여서 메일/이름/전화번호가 유출되었다는 메일을 받았습니다. 조금 화도 나고 당황스럽기도 했지만, 서비스를 개발하는 입장에서는 마음이 많이 착잡했습니다. 회사의 혼란도 걱정이 되었고, 이런 실수를 한 팀원들도 많이 걱정이 되었습니다. 다른 분들의 경우 결제를 진행한 카드번호까지 유출되었다는 내용을 보게 된 이후에는 왜 이렇게까지 되었는지 아쉬움도 느끼게 되었습니다. 그리고 스티비에서 해당 사건에 대해 대처하는 방식에 대해서도 아쉬움이 많았고, 나 자신을 점검해볼 필요성도 느끼게 되었습니다. 그중 가장 큰 아쉬움 두 가지를 이야기해보겠습니다.
스티비의 사후 대처에 대한 아쉬움
사실 내가 가장 놀란 부분은 피해자로서 이번 사건에 대한 내용이 회사 홈페이지나 블로그에 언급되지 않았다는 점입니다. 스티비는 이번 사건의 경위나 회사에서 취한 조치를 공유하고 고객들이 좀 더 안심할 수 있도록 조치할 필요가 있지만, 블로그나 회사 홈페이지에서 관련 내용을 전혀 찾아볼 수 없었습니다. 스티비에서 어떤 생각으로 그렇게 했는지는 모르겠지만, 블로그나 홈페이지에 공유하지 않는다고 해서 고객들이 모를 리 없을 텐데, 이번 사건을 숨기려는 듯한 이미지를 주는 것 같아 회사 이미지에 나쁜 영향을 줄 것이라고 생각합니다. 현재 상황을 투명하게 공개하고 회사의 공식 매체를 통해 상황을 공유하는 것이 더 나은 모습으로 보입니다.
민감한 정보 암호화에 대한 아쉬움
신용카드 번호와 신용카드 암호 앞자리 등의 민감한 정보는 소유하지 않는 것이 최선이겠지만, 만약 보유하게 된다면 반드시 암호화되어 있어야 합니다. 이러한 민감한 정보는 개발자나 운영자가 로그나 데이터베이스에서도 개인정보를 취득할 수 없도록 로그의 개인정보 마스킹에도 노력을 기울일 필요가 있습니다. 다만 개인정보를 마스킹 및 암호화한 경우, 운영자는 로그를 통해 고객을 판별하기 어려워 장애 대응과 디버깅에도 어려움이 생기고 데이터 조회나 입력에도 추가적인 업무가 발생하겠지만, 이러한 불편을 감수하더라도 민감한 정보는 암호화하거나 마스킹해야 합니다. 한번 유출되면 복구가 불가능한 피해를 입게 되기 때문입니다.
인터넷 서비스에서 해킹 사건은 어쩔 수 없이 발생합니다. 모두 막을 수 있다면 가장 좋겠지만, 인간은 완벽하지 않기 때문에 언젠가는 실수를 하게 됩니다. 그렇다면 피해가 발생한 이후의 대처가 더 중요합니다. 고객에게 피해 상황을 투명하게 공유하고, 대처에 최선을 다하는 모습을 보여준다면 최종적으로 회사 이미지 개선에도 도움이 될 것입니다. 그리고 이런 일은 대부분 팀 전체의 무관심에서 발생합니다. 이러한 무관심은 팀 전체의 책임이지, 어떤 개인의 실수로 치부해서는 안 됩니다. 이런 실수를 개인의 실수로 치부한다면 문제는 쉽게 재발하게 되고, 그동안의 무관심에 대한 면죄부를 주게 됩니다. 이러한 이슈일수록 특정 팀원이나 부서의 책임으로 돌리지 말고 전사적인 차원에서 대응해야 합니다. 스티비가 고객들에게 납득할 만한 설명을 하고, 이번 사건을 계기로 더욱 성장하는 서비스가 되기를 바랍니다.
참고로 12월 27일경 부터 스티비 회사 홈페이지에서 팝업으로 공지를하고 있습니다. 지금이라도 공지를 하기 시작해서 다행입니다.