"아뇨. 웹이 앱보다 위험하죠."

종종 알고 지내는 기자들로부터 기술 관련 질문을 받곤 한다. 나도 딱 당신만큼 기술자가 아니라서 함부로 대답할 수 없으니까 뭘 좀 아는 기술자를 연결해 주겠다고 해도 거절한다. 기술자 말은 어려워서 들어도 무슨 말인지 모르겠다고. 기술입국이 선택 아닌 생존인 시절에, 심각한 문제다. 1)기술자들은 비기술자들도 알아듣게끔 쉽게 말하는 방법을 배우면 좋겠고, 2)명색이 기술 전문기자라면 그쯤은 대충이나마 알아듣는 사람이면 좋겠는데, 1)과 2) 둘 다 그리 쉬운 일이 아닌가 보다. 암튼 이번 질문은,

"앱이 웹보다 위험하다고 써도 돼요?"

아마 이 정도 뜻으로 하는 말일 거다.

'웹' = PC로 하는 인터넷

누가 돈을 훔쳤다. 돈이 위험하다!" 이것과 비슷한 흐름 같다. 그러나, 순전히 오프라인에서만 동작하는 단순한 앱이 아니라면 앱은 결국 웹에 연결되고 대부분의 사고는 웹 영역에서 터진다. 최근 떠들썩했던 사고들을 보더라도,

"숙박앱이 털렸대! 숙박앱이 위험하다!"

아니? 뽐뿌가 SQL 인젝션에 무너졌다고?" 를 보면 그 얼마나 허무한 수법인지 알 수 있다. 그러니 제발, 이러쿵저러쿵 긴 말 쓸데없다 싶고, WAF를 쓰자. 싸다. 사고 터진 뒤 수습 비용에 비하면, 너무 싸다.

"배달앱이 털렸대! 배달앱이 위험하다!"

하지만, 돈을 벌어야 하니까 막는다는 말은 다시 말해, 당장 돈이 오가지 않는 곳은 막지 않는다는 뜻이기도 하다. 그러니 그런 초보적 수법에 KT 등 숱한 대기업들, 그리고 작년 가을엔 공기업 코레일까지 당했다. 심지어 문제 많은 주민등록번호를 대체하겠다고 호언장담하던 공공 아이핀 부정발급 사건에도 사용된 수법이다. 이건 뭐, 살얼음판 위를 걷는 듯 정말 무시무시한 사회 아닌가,,

그런데, 소란이 "잠깐"에 그쳤던 까닭도 중요하다. 문제의 위험과 직접 관계도 없는 '배달의민족' 등 업체 PR팀의 빠르고 효과적인 대응은 리스크 관리가 뭔지 제대로 보여 줬다. 칭찬할 일이다. PR이란 일이 기자들 명함 모으며 시시때때로 어울려 밥 먹고 술 마시는 일이 아님을 잘 보여 준 좋은 사례로 남았다.

"아뇨. 웹이 앱보다 위험하죠."

아니 앱이 곧 웹이라고 해야 하려나, 모르겠다. 역시, 기술자들이 나서야.

이 글은 IT&보안 잡지 'decodr'에 게재된 글입니다.