[심층 리포트] '열린 문'인가 '도둑 든 집'인가… 기업 운명 가르는 두 단어의 무게

'유출'과 '노출'의 위험한 줄타기… 용어 혼용이 낳은 2차 피해와 신뢰의 위기

AI 생성 자료 이미지.

지난 8월, 20대 직장인 A씨는 악몽 같은 경험을 했다. 개인 클라우드에 비공개로 저장해 둔 사적인 영상이 모바일 앱 설정 오류로 인해 잠시 외부에서 검색 가능한 상태가 된 것이다.

누군가 찰나의 순간을 포착해 커뮤니티에 퍼날랐고, 여론은 확인되지 않은 사실을 근거로 A씨를 비난했다. 일부 언론은 이를 두고 '사생활 유출 사건'이라 대서특필했다.

조사 결과, 해킹이나 악의적 침입은 없었다. 단순한 '설정 오류에 의한 노출'이었다. 하지만 A씨에게 남은 상처는 깊었다. 그는 "기술적 실수였을 뿐인데, '유출'이라는 단어가 나를 부주의한 사람 혹은 고의적 유포자로 낙인찍었다"며 "사고 그 자체보다 잘못된 명명이 가져온 시선이 더 고통스러웠다"고 토로했다.

데이터가 밖으로 나간 '유출(Leak)'과, 보일 수 있었던 '노출(Exposure)'. 단 한 글자 차이지만, 이 두 단어 사이에는 기술적 진실, 법적 책임, 그리고 기업의 생사가 걸린 거대한 간극이 존재한다.

◇ 홍길동의 비애?… 아버지를 아버지라 부르지 못하는 기업들
보안 현장에서는 『홍길동전』을 빗댄 자조 섞인 목소리가 나온다. "노출을 노출이라 말하지 못하고, 유출을 유출이라 인정하지 못한다"는 것이다.

기업 입장에서 '유출'이라는 단어는 공포 그 자체다. 유출은 해킹, 내부 공모, 계정 탈취 등 구체적인 침해 행위를 통해 정보가 물리적으로 울타리를 벗어난 '도난 사고'를 의미한다. 이는 곧 개인정보보호위원회의 강제 조사, 막대한 과징금, 심지어 형사 처벌로 이어지는 직행열차다.

반면 '노출'은 정보가 있는 방의 창문이 잠시 열려 있었던 상태에 가깝다. 도둑이 들었는지는 불분명하지만, 문단속을 잘못한 과실은 존재한다.

이 때문에 기업들은 사고 보고서를 쓸 때마다 단어 선택에 목숨을 건다. 단순한 설정 오류로 데이터가 잠시 보였을 뿐인데 언론이 '대규모 유출'이라고 보도하면, 그 즉시 기업의 신뢰도는 바닥으로 추락하기 때문이다.

서울의 한 보안 전문가는 "유출은 도둑이 물건을 훔쳐 간 사건이고, 노출은 대문을 열어둔 상태"라며 "이 둘을 혼동하면 기업의 책임 소재가 왜곡되고, 피해자 역시 사안의 경중을 오판하게 된다"고 지적했다.

◇ 공포를 파는 언론
문제는 이 모호한 경계선에서 벌어지는 '언어의 왜곡'이다.

일부 언론은 클릭 수를 위해 '노출'을 '유출'로 둔갑시킨다. 최근 한 대기업의 내부 정보가 검색 엔진에 잡히자, 다수 매체는 이를 '유출 사고'로 보도했다. 실제 데이터가 반출된 흔적은 없었음에도, 자극적인 제목은 대중의 불안을 증폭시켰다.

전문가들은 "정확한 분석 없는 '유출' 보도는 늑대가 나타났다는 양치기 소년의 외침과 같다"며 "불필요한 공포 조성이 정작 중요한 보안 경고를 무뎌지게 한다"고 비판한다.

◇ '정명(正名)'이 보안의 시작이다
결국 '유출'과 '노출'의 구분은 단순한 말장난이 아니다. 이는 사고의 본질을 규정하고, 그에 합당한 책임을 묻기 위한 사회적 약속이다.

정부와 수사 기관은 사고 발생 초기부터 용어 사용에 엄격한 기준을 적용해야 한다. 언론 역시 속보 경쟁보다 정확한 팩트 체크를 통해 사고의 성격을 명확히 전달할 의무가 있다. 무엇보다 중요한 것은 '팩트'다. 실제로 데이터가 울타리를 넘어갔는가, 아니면 울타리 틈이 벌어졌을 뿐인가. 이 질문에 대한 정확한 답만이 A씨와 같은 억울한 피해자를 막고, 기업에 합당한 책임을 물을 수 있는 유일한 길이다.

보안 업계의 한 관계자는 이렇게 강조했다. "유출인데 노출이라 부르는 것은 기만이고, 노출을 유출이라 부르는 것은 선동이다. 사고를 있는 그대로 부르는 것, 그것이 정보보호의 첫걸음이다."