영원히
개인정보 유출은 기술·사람·프로세스가 얽힌 확률적 사건이다.
사람은 실수하고, 시스템은 취약점을 만들고, 공격자는 계속 진화한다.
따라서 “유출은 절대 일어나서는 안 된다”라는 사고는 현실과 완전히 어긋난 목표를 세우게 만든다.
만약 "개인정보유출이 절대 일어나서는 안 된다" 라는 관점을 가지고 있다면,
→ 사고가 발생하면 원인과 책임자를 찾는 것에 집중한다.
→ 보안과 개인정보의 처리방식이 관료화가 된다.
→ 포지티브 규제가 생겨난다.
→ 사회적 비용이 크게 늘어난다.
"개인정보유출은 언제든 일어날 수 있다" 라는 관점을 가지고 있다면,
→ 유출을 막으려고 하기보단 어떻게 하면 줄일 수 있는지에 신경을 쓰게 된다.
→ 개인정보유출이 발생하고 나서는 어떻게 할 것인지를 대비해두게 된다.
→ 개인정보라는 것을 아예 받지 않을 수는 없는지 생각하게 된다.
→ 시스템으로 해결될 것이 아니라는 것을 알게 된다.
문제가 터지면 원인과 책임자 추궁에 들이는 리소스는 최소한으로 쏟고, 앞으로 어떻게 할 것이냐를 고민하면 좋겠다. 생각보다 쿠팡 사건의 원인은 매우 간단하고 명확하다.
모든 나라가 문제를 불필요하게 관료적인 방법으로 처리하려고 한다. 복잡하게 처리해야 일을 많이 하는 것처럼 보여서 그런 것일까.