2017년 초, 미국의 신용평가사 에퀴팩스(Equifax)의 데이터 유출 사고로 전체의 40% 이상에 달하는 미국인들이 개인정보 노출 피해를 입었습니다. 에퀴팩스사는 시스템의 취약점을 알고 있으면서도 보안 패치를 하지 않았고, 이로 인해 해커들은 미국민의 사회보장번호(SSN), 운전면허, 주소, 생년월일, 금융거래 기록 등에 접근할 수 있었습니다. 2019년, 에퀴팩스는 이 커다란 사고에 대해 미국 연방거래위원회(FTC, 한국의 공정거래위원회 격)의 제재를 받았으나 기존의 데이터 침해사고들에서 그랬듯 실질적인 타격을 받지 않았습니다. 오히려 기업의 잘못된 보안 관리로 인해 대가를 치른 것은 정보가 유출된 개개인들이었죠. 돌이킬 수 없는 개인정보가 노출되고 공공에 유포되었기 때문입니다.
경제학에서는 이러한 경우를 외부 효과(externality)라고 부릅니다. 어떤 경제 주체의 행위가 다른 경제 주체에게 피해를 입히지만 피해를 입은 경제 주체는 이에 대한 보상을 받지 못하는 경우죠. 규제 당국들은 이러한 외부 효과 문제를 해결하고 소비자들이 부당하게 지는 부담을 줄이기 위해 노력하고 있지만 딱히 성공을 거두었다고 말하기는 어렵습니다. 기업들이 보안 시스템 개선에 막대한 초기 투자를 하기보다는 일단 사건이 발생한 이후 약간의 합의를 하는 것으로 만족했기 때문입니다.
그러나 머지않아 의미 있는 변화가 나타날 것입니다. 그리고 그 변화는 장기적으로 소비자들에게 이익이 될 것입니다. 랜섬웨어 공격(Ransomware attacks)의 위협이 커짐에 따라 고객들의 중요한 개인정보를 저장, 관리하는 기업들이 회사 시스템 방어에 관해 느끼는 압박 또한 커지고 있기 때문입니다.
해커가 악성 프로그램을 이용해 기업의 컴퓨터 시스템을 잠그거나 데이터를 암호화해 사용하지 못하게 한 뒤, 이를 풀어주는 대가로 몸값, 즉 금전을 요구하는 랜섬웨어 공격은 최근 커다란 뉴스거리가 되고 있습니다. 지난 1년 동안 카세야,콜로니컬 파이프라인,마이크로소프트 익스체인지, 그리고 세계 최대 육류 가공 업체인 JBS USA 등이 랜섬웨어 공격으로 약 3억5000만 달러의 피해를 입었습니다. 이는 2019년에 비해 3배나 증가한 수치죠.
랜섬웨어 공격 피해가 증가하는 이유는 무엇일까요? 몇 가지 중요한 요인으로는 코로나19로 인한 록다운으로 원격 네트워크, 시스템 접속과 사용이 증가했다는 것을 들 수 있습니다. 또 최근 가상화폐 거래가 늘고 결제 시스템이 진화하면서 해커들이 몸값을 요구하고 받는 것도 쉬워졌죠.
그러나 주목해야 할 점은 사실 랜섬웨어 공격이 우리가 지난 수십 년간 봐왔던 통상적인 보안 공격과 다르지 않다는 점입니다. 해커들이 랜섬웨어 공격에 의존하는 기술은 사실 새로울 게 없습니다. 새로운 것은 해커들이 개별 소비자보다는 기업을 공격하고 있다는 점이며, 이것이 데이터 보안의 경제를 변화시키고 있다는 점입니다.
에퀴팩스의 데이터 침해와 같은 전통적인 보안 사고의 경우, 기업은 보안에 대해 부적절한 관심을 받는 정도의 간접적인 손해만 입습니다. 익스페리언(Experian)의 자료에 따르면, 35%에 달하는 기업들이 처음 보안 시스템과 체계를 마련한 이후 보안 업데이트를 하지 않고 있는 이유가 바로 이것이라고 합니다. IBM은 미국에서 데이터 침해로 인한 평균 피해 금액이 864만 달러라고 추정했으며, 이는 기업이 인식하거나 설명하기 어려운 비용입니다. 데이터 침해 사고로 인해 해당 기업의 평판이 실추되고 일부 비즈니스에서 손실을 볼 수 있지만 이러한 문제들은 일시적일 수 있습니다. 보안 사고로 인한 전체 피해 금액이 너무 분산되어 있다 보니 회사 경영진들이 이 문제를 심각하게 보거나 중점적으로 다루지 않게 됩니다. 결국, 이러한 통상적인 데이터 침해 사고로 가장 큰 피해를 보는 당사자는 해당 회사의 고객입니다. 해커에게 유출되는 정보는 바로 고객, 소비자 자신의 것이기 때문입니다.