삼성전자가 올해 발생한 두 번의 보안 사고로 곤욕을 치르고 있다. 삼성이 처음 사이버 공격의 희생양이 된 것은 지난 3월이다. 당시 삼성은 생체 인식 잠금 해제와 관련된 기술과 알고리즘 소스 코드 등 기밀 데이터가 유출됐다고 밝혔다. 해당 공격은 엔비디아(NVIDIA), 브라질 보건부의 데이터를 훔친 랜섬웨어 갱단 ‘랩서스(Lapsus$)’의 소행이었다. 이후 회사는 유사한 보안 사고를 방지하고자 강력한 조치를 취하겠다고 밝혔다.
하지만 보안 사고를 막는 것은 말처럼 쉽지 않았다. 지난 7월 말 발생한 해킹은 회사를 지금까지 괴롭히고 있다. 해당 데이터 유출과 관련해 외신의 보도가 잇따라도 묵묵부답으로 일관하던 삼성이 입을 연 것은 이달 초였다. 회사는 홈페이지 공지로 “제 3자가 무단으로 삼성전자 미국 고객 관리 시스템에 침입해 정보를 탈취했다”며 해킹 사실을 밝혔다.
비판의 시발점 된 애매한 공지…결국 집단 소송으로
삼성이 해킹 사실을 발견한 것은 지난 8월 4일(현지 시간)이다. 회사는 공지에서 주민등록번호와 신용카드 번호 등은 유출되지 않았다고 명시했다. 그러나 이름과 연락처, 생년월일, 제품등록 정보, 인구 통계 데이터 등의 정보가 유출됐다. 회사 측은 인구 통계 데이터가 어떤 정보를 포함하는지 정확히 고지하지 않았다. 삼성 대변인은 마케팅과 광고에 활용되는 고객 정보라고만 설명했다. 이름과 연락처, 생년월일 등 다양한 개인 정보가 포함돼 논란은 커질 수밖에 없었다.
회사는 고객별로 유출된 정보 종류와 양이 다를 수 있다고 다소 애매한 답변을 남겼다. 또한 얼마나 많은 고객이 피해를 입었는지도 설명하지 않았다. 삼성조차도 얼마나 많은 데이터 유출이 일어났는지 파악하지 못한 것이 아니냐는 비판을 피할 수 없었다. 외신은 피해 고객수를 명시하지 않은 회사의 대응을 즉각 비판했다. 삼성은 전 세계적으로 수억 명의 사용자를 보유한 가장 큰 기술 회사 중 하나다. 그렇기에 고객의 피해 사실을 명백히 고지할 의무가 있다는 것이다.
하지만 회사는 데이터 유출 피해 고객을 위해 무엇을 할 것인지 명확한 아이디어조차 제시하지 않았다. 그저 피해 사실을 발견했고, 사이버 공격을 수사하고자 전문 기관과 협력하겠다고 밝혔다. 실제로 삼성은 사건 이후 외부 사이버 보안 회사를 고용했다. 이후 피해 고객에게 피싱 사기를 주의하고 프로필을 면밀히 모니터링할 것을 권고했다. 또한 의심스러운 이메일, 링크 등을 클릭하지 말라고 경고했다.
모두 원론적인 말뿐이었다. 정작 고객에게 고지해야 할 중요한 정보는 최소한의 것만 제공했다. 피해 고객들의 불만은 커질 수밖에 없었을 터. 결국 불만은 집단 소송으로 이어졌다.
‘해킹 사실 8월에 발견해놓고’…고객에게 알리는 데 한 달이나 걸린 삼성
8일(현지 시간) 블룸버그 통신에 따르면 지난 7월 말 데이터 유출 피해를 본 고객들은 삼성을 상대로 집단 소송을 제기했다. 고소장은 지난 6일 미국 네바다주 연방 법원에 제출됐다. 블룸버그는 원고인 셸비 하머(Shelby Harmer)를 비롯해 3000명 이상의 고객이 데이터 유출의 피해를 입었다고 전했다. 원고는 삼성이 개인 정보 수집 주체로서 의무를 다하지 않았다고 주장했다. 피해 고객들은 삼성이 자신들의 정보를 보호하지 못했다고 비난했다.
물론 대부분의 기업이 해킹 사실을 발견하는 데까진 최소 몇 주에서 몇 달의 시간이 걸릴 수 있다. 하지만 집단 소송의 원고가 제기하는 문제는 회사가 해킹을 8월에 인지하고도 고객에 공지하는 데 한 달이나 걸렸다는 점이다. 이달 초 삼성이 해킹 사실을 처음 보고했을 때도, 주요 외신은 회사가 사실을 알리는 데 왜 한 달의 시간이 걸렸는지 의문을 제기했다. 하지만 회사는 구체적인 응답을 피했다.
IT 매체 안드로이드 센트럴(Android Central)은 회사가 문제를 발견하고 해결하느라 고객에게 해킹 사실 고지를 놓쳤을 것이라고 분석했다. 하지만 회사의 공지 내용이 상당히 간소했던 점을 감안하면, 해킹 사실을 빠르게 알리고 문제를 해결했어도 상황은 크게 달라지지 않았을 것이다.
한편 일각에서는 삼성이 의도적으로 입을 다물고 있었을 가능성도 제기한다. 조용히 문제를 해결하려다가 잘 되지 않자, 어쩔 수 없이 문제 상황을 공개하게 됐다는 것이다. 보안 취약성은 기술 대기업 이미지에 악영향을 미치기에 또 한 번 공개적으로 문제가 드러나는 것을 꺼렸다는 것이다.
의도가 어떻든, 삼성은 보안 사고를 제때 고지하지 못해 집단 소송에 직면했다. 삼성과 같이 전 세계적으로 대규모 사용자를 거느린 기술 대기업은 더 나은 제품과 서비스를 제공하고자 고객의 데이터를 수집한다. 그만큼, 상당한 양의 고객 데이터를 보유한다. 그렇기에 고객 데이터 보호에 더 각별한 책임감을 가져야 할 것이다.
테크플러스 에디터 이수현
tech-plus@naver.com
[fv0012]
