[뉴욕타임스/Business]컴퓨터범죄는 보안허술탓

몇 달 전 중요 웹사이트들이 공격을 받은 사건과 최근의 ‘아이 러브 유’ 바이러스 사건은 인터넷이 얼마나 큰 약점을 지니고 있는지를 잘 보여줬다.

보안 전문가들은 암호작성이나 시스템 디자인 같은 어려운 문제에만 신경을 쓸 뿐, 인간의 실수를 막기 위한 조치의 개발 등 비교적 쉬운 문제는 도외시하는 경향이 있다. 그러나 이런 태도는 반드시 바뀌어야 한다. 예금 자동인출기가 좋은 예이다. 각 은행들은 예금 인출기의 보안설계와 암호기법 등에 상당한 신경을 쓰고 있지만, 몇 년 전 케임브리지 대학의 보안 전문가인 로스 앤더슨의 연구결과에 의하면 영국에서 일어난 예금 인출기 관련 사건 대부분이 인간의 실수로 인한 것이었다.

영국 은행직원들은 왜 이토록 실수를 많이 저지르는 걸까. 그것은 고객과 은행 사이에 분쟁이 발생했을 때, 은행의 실수를 입증할 책임이 고객에게 있기 때문에 은행이 적극적으로 사고방지에 나설 동기를 갖고 있지 않기 때문이다. 이와는 대조적으로 미국에서는 은행이 고객의 잘못을 입증할 때까지 고객은 잘못이 없는 것으로 간주되므로 미국 은행들은 좀 더 효과적인 보안장치들을 이용하고 있다.

일반적으로 컴퓨터의 보안이 허술한 이유도 사고가 발생했을 때 거기에 대한 책임이 분명하지 않기 때문이다. 예를 들어 웹사이트 공격 사건에서 범인들은 비교적 보안장치가 허술한 대학의 네트워크를 이용해 야후를 비롯한 중요 웹사이트의 작동을 중지시켰다. 이 때 범인들에게 네트워크를 점령당한 대학들은 이 사건을 언짢게 생각했지만 공격을 받은 웹사이트들에 손해배상을 할 책임은 없었다. 만약 대학들이 제 3자가 입은 손실에 대해 책임을 져야 했다면 보안장치에 좀더 신경을 썼을 것이다. 따라서 컴퓨터 범죄를 막기 위한 첫 단계는 범죄의 위험성에 가장 잘 대처할 수 있는 기업이나 기관에 법적인 책임을 지워 그들이 보안조치를 강화하도록 하는 것이라고 할 수 있다.

(http://www.nytimes.com/library/financial/columns/060100econ-scene.html)