블로그
2016년 01월 06일 09시 11분 KST | 업데이트됨 2017년 01월 06일 14시 12분 KST

헬로 키티, 너마저

초월적 인기 캐릭터 '헬로 키티'의 팬 커뮤니티 사이트 '산리오타운닷컴'의 이용자 330만 명의 정보가 유출되었다. 범죄 발견 경위도 예사롭지 않다. 인터넷상에 그냥 아무렇게나 덜렁 노출되어 있었던 것이다. 키티의 주인 '산리오닷컴'의 안전에 대한 의혹도 있지만, 이에 대해 회사는 아무 대답도 하지 않았다. 키티는 대충 막 흔한 그런 고양이가 아니다.

2016-01-05-1451981961-3549838-32_00.jpg

키티가 털렸다. "Hello Kitty?" 아니, 나 전혀 헬로하지 않아,, T_T

초월적 인기 캐릭터 '헬로 키티(Hello Kitty)'의 팬 커뮤니티 사이트 '산리오타운닷컴(Sanriotown.com)'의 이용자 330만 명의 정보가 유출되었다. 범죄 발견 경위도 예사롭지 않다. 인터넷상에 그냥 아무렇게나 덜렁 노출되어 있었던 것이다. 키티의 주인 '산리오닷컴(Sanrio.com)'의 안전에 대한 의혹도 있지만, 이에 대해 회사는 아무 대답도 하지 않았다.

키티는 대충 막 흔한 그런 고양이가 아니다. (고양이가 아니라 고양이처럼 표현한 사람이라는 주장이 전 세계 키티 팬들의 아름다운 마음을 박살냈지만, 산리오 본사는 "고양이의 의인화일 뿐"이라며 공식 부정했다.) 단독 캐릭터의 자산가치가 무려 20조 원이 넘는 걸로 평가되고 시장규모 또한 연간 3,500억 원에 이른다. 세계 70여 개 나라에서 팔리는 상품 종류도 5만 종이 넘는다. 무기와 마약 빼곤 모든 물건에 키티가 붙어 있다 해도 과언이 아니다. 빌 게이츠가 6조 원을 내밀며 디지털 판권을 인수하려 했지만 산리오는 거절했다. 만약 제안을 받아들였다면 윈도우즈 바탕화면이 보다 화사해졌을텐데..

쓸데없는 여담 계속하자면, 키티가 일본 극우파의 첨병이라는 설이 파다하다. 심지어 확실한 팩트로 여기는 사람들도 많다. 근거랍시고 욱일승천기를 든 키티 그림을 내민다. 아니, 유럽에 가면 하켄크로이츠 철십자훈장을 단 키티도 있는데 뭐,, 근거 없는 낭설일뿐더러, 오히려 반대다. 산리오 창립자 쓰지 신타로(辻信太郎) 회장은 평화주의자다. 자사가 발간하는 잡지의 '딸기 임금님' 칼럼을 통해 "지난 전쟁을 잊어서는 절대 안 된다. 전쟁 통에 많은 친구들이 죽었다. 지금의 평화를 꼭 지켜야 한다"고 호소하고, 이에 공감한 팬들이 아베 신조가 추진하는 안보법에 반대하는 집회를 벌이기도 했다. 산리오는 '키티는 무조건(!) 사랑과 우정 등 평화적 가치를 전달해야만 한다'는 결벽증 수준의 정책을 바꿀 생각이 아예 없다. 오히려 일본 우익 집단은 한복 입은 키티를 팔았다는 이유로 친한(親韓) 기업이라며 욕한다.

뭐 어쨌거나, 바로 그 키티가 털린 것이다. 사이트 이용자 개인정보가 언제 털렸는지는 알 수 없고, 2015년 11월 22일에 처음 온라인상에 노출된 걸로 파악된다. 그리고 1개월 넘도록 330만 명의 개인정보가 완전히 무방비로 까발려져 있었다. 굳이 해킹이라고 말할 것도 없는 단순 검색만으로 찾을 수 있는 상태로. 여기서 개인정보라 함은 사용자 이름과 아이디, 생년월일, 성별, 거주지역, 이메일 주소, 비밀번호 힌트 등의 내용이다. 비밀번호 유출 가능성도 제기되고 있지만 이에 대해서도 회사는 묵묵부답. 늘 그렇지 뭐.

사고 발생 후 산리오 본사는 아래와 같은 공식 입장을 발표했다.

- 완전히 새로운 보안정책을 적용했다.

- 내부조사 및 보안검토를 실시하고 있다.

- 데이터가 도난되었다는 건 어쨌든 확실한 듯하다.

뭐, 그런가 보다. 할 것 같던 말을, 했네, 대충.

3

키티를 '장난감'으로 분류하는 게 적당한지는 잘 모르겠지만 아무튼, 장난감 회사 웹사이트가 털린 게 이번이 처음은 아니다. 키티 사고 1달 전에도 홍콩의 장난감 회사 'VTECH'의 회원 중 485만 부모와 636만 아이들, 총 1,121만 명의 개인정보가 유출되었던 적이 있다. 어린이 가입자 정보를 주로 노리는 어떤 세력의 존재도 의심되지만 정황 근거가 아직 부족해 뭐라 단정적으로 말할 수는 없겠고.

범행 동기가 뭘까? 범인은 왜 결제능력 없는 18세 미만 회원 정보를 홀라당 다 털어서 인질 삼아 회사를 협박하거나 정보 매매를 시도하는 등 일반적인 범죄 수법 절차에 따르지 않고 그냥 막 공개해버린 걸까? (어린이 대상 범죄와의 연결도 생각해 볼 수는 있겠으나, 아니, 그건 너무 끔찍하니까 아, 그러지 말자,,) 그렇다면 이는 늘 주장하는 바 '해커는 돈이 될 만한 정보를 노린다'는 이른바 정보보안 경제학에 위배되는 일 아닌가?

아니다. 유명세란 말도 있듯, 유명함 자체가 충분히 노릴 만한 재화적 가치로 인식되는 것이 해커 세계다. "나, 무려 키티를 털었던 사람이야!" 일단 좀, 멋있어,,

여긴 돈이 돌지 않는 곳이라서 평화롭다..는, 헛된 믿음.

키티 해킹 사건에 있어 가장 중요한 핵심 문제는 뭘까? 바로 무모한 웹사이트들의 존재. 돈 거래가 일어나지 않기 때문에 안전하다고 자신하고 허술하게 관리했기 때문이다. 사고가 벌어진 곳도 '산리오닷컴'이 아니라 '산리오타운닷컴'이다. 실제로 웹사이트를 구축한 도구와 기술을 비교해 보더라도 둘은 구축 및 관리 정책이 아예 다르다. 산리오닷컴은 J2EE에 기반해 중무장으로 분류할 만한 장치들을 집적해 구축한 반면, 산리오타운닷컴은 아파치 PHP 등 비교적 가벼운 도구들로 가볍게 만들었다. 아마도 팬 커뮤니티 사이트니까 대수롭잖게 여겼기 때문으로 짐작한다.

하지만 앞서 말했듯 유명하다는 건 그 자체로 노릴 만한 가치다. 세상에 키티만큼 유명한 고양이가 어디 또 있겠어? 그럼 노리는 자들은 많다. 엄청 많다. 실제 돈으로 바꿀 수 있는 가치가 없기 때문에 안심해도 괜찮아, 매우 흔한 믿음이다. 하지만 무모한 상태를 유지하는 까닭은 순전히 게으름 때문이다.

"게으름이 아니라,, 그냥 커뮤니티 사이트일 뿐이라서 오픈소스 소프트웨어로 가볍게 만든 건데,, 오픈소스 소프트웨어는 방어할 방법도 따로 특별한 게 없잖아!?" 아니, 있다. 찾아보면 오픈소스 데이터베이스 전용 데이터 암호화 솔루션도 있고 무거운 하드웨어 없이도 오픈소스 웹 어플리케이션을 방어해 주는 웹 보안 서비스도 있고, 다 있다. 그러니 무모함의 이유는 순전히 게으름 때문인 거라.