이번 Win32/Induc 사태에 제가 대응하는 정도가 점점 더 깊어지면서 백신 업계에서 불만을 가지실 거라고 미리 짐작은 했습니다만, 역시 댓글로 올리신 분들이 있네요. 이번 사태 말고도 요즘 제가 눈코뜰 새 없이 바쁩니다만, 제기된 문제니까 답변을 드리지요.

댓글에서 한분이 “문제를 일으킨건 델파이 개발프로그램에 삽입된 악성코드이지 백신 제품이 아니죠”라고 하셨는데, 말씀하신 “문제”의 정의가 무엇입니까? 기술적으로 바이러스를 정의하자면 물론 바이러스가 문제임은 틀림없지만, 고객에게 바이러스에 대해 기술적으로 정의하는 것이 현실적으로 무슨 의미가 있습니까. 고객이 입고 있는 피해보다 기술적인 판단이 더 중요하다면, 여러분이 만들어 팔고 계시는 것은 사용자 고객들에게 팔 ‘제품’이 아니라 연구 프로젝트 결과물일 뿐입니다. 고객은 연구 과제를 구입하는 것이 아닙니다.

말씀하신 ‘문제’의 핵심은 고객사의 현실적인 피해라고 하면 뭐라고 답하시겠습니까? 고객이 바이러스 자체로 인해 조금이라도 피해를 입었습니까. 그런데 백신으로부터는 피해를 입지 않았습니까.

비유를 해볼까요. 백신은 의사 A, 일반인 고객은 환자 B라고 해봅시다. 환자 B가 소화 불량으로 의사 A를 찾아왔습니다. 의사 A는 구체적인 증상을 들어보지도 않고 배가 아프다니까 새로 개발된 최신 위암 약을 처방했습니다. 그런데 그 약이 너무 독해서 환자 B가 죽어버렸습니다. 의사 A는, 탈이 나서 의사를 찾아온 환자이므로 당연히 약을 처방했을 뿐이다, 라고 말합니다.

여기서 문제가 무엇입니까? 사람이 배가 아프다고 해도 가벼운 배탈도 있을 수 있고 위궤양 같은 좀 더 위험한 것도 있고 위암 같은 치명적인 것도 있습니다. 병의 종류와 위험 정도에 따라 약을 처방하고 치료를 하는 것은 너무나 당연한 상식입니다.

이번 사태에서, 핸드폰 업체의 부가 프로그램 단순한 유틸리티 정도라서 큰 문제가 안되는 경우도 많았지만, 핵심 기간 업무 시스템의 프로그램이 삭제되어버린 일반 기업들도 수없이 많았습니다. 대부분의 직원 PC에서 핵심 업무 프로그램이 삭제되고 나면 해당 기업의 업무 진행은 올스톱되어버리지 않겠습니까? 이번에 그런 사태가 발생한 겁니다. 바이러스에 의해서? 아닙니다. 백신에 의해서 일괄 삭제된 것입니다.

백신 업체들에서 검출하는 바이러스는 누적해서 수십만, 수백만 가지쯤 될 겁니다. 하루 하루 계속 늘어가지요. 그런데 과연 장소팔님의 백신에는, 그 바이러스들의 위험도에 따라 등급을 매기고 그에 따라 처방을 하고 있습니까? 이번 사태를 되돌아보시지요. 배탈난 데에 위암 약을 처방한 것이 아니라고 주장하시겠습니까?

향후 더 위험한 바이러스로의 변이 가능성, 물론 큽니다. 그리고 물론 많이 위험합니다. 그런데 그 향후의 바이러스는 말 그대로 아직 출현하지 않은 미래의 바이러스이며, 현재로서는 존재하지 않을 뿐만 아니라 존재한다고 해도 개별적으로 대응해야 할 건입니다. 아직 출현하지 않은 신종 플루를 대비한다고 감기 환자에게 타미플루를 처방할 수는 없는 것입니다.

백신이 당장 새로운 기법 자체를 가지고 동종 기법의 바이러스를 탐지할 수 있는 것도 아니고, 백신 업체에서도 각각의 변종마다 다른 패턴으로 검색하지 않습니까. 향후의 응용 바이러스가 나올 가능성이 높다고 해도 그것과 이번의 Win32/Induc은 별개인 것입니다. 향후의 가능성이 아무리 위험하다고 해도, 당장 돌아다녔던 것은 “향후의 바이러스”가 아닌, 일반인 PC에서는 완전히 무해한 바이러스입니다.

제가 백신업체에 요청했던 것은 원래 바이러스 리스트에서의 삭제가 아니었습니다. 위험도에 따라 다르게 취급하기만 했으면 충분했습니다. 이번 Win32/Induc 바이러스를 더 위험한 다른 바이러스들과 별도로 취급하여, 검출 메시지를 띄울 때 일반인 PC에서는 완전히 무해하며, 해당 파일을 삭제할 경우 업무 중단 등 다른 부작용이 발생할 수도 있다, 라는 사실을 사용자에게 알려주는 정도를 더 우선적으로 요청했던 겁니다.

그런데 이런 제 요청에 대해, 정작 백신 업체에서는 별도의 메시지로 안내를 하는 안에 대해서는 들은 체도 하지 않으면서 백신의 바이러스 리스트에서의 바이러스 항목 제거만을 거론했습니다. 아시겠습니까. 제가 유일한 대안으로서 백신 업체에 바이러스를 검출하지 말 것 만을 요청한 것이 아닙니다.

네, 그게 더 어렵고 귀찮을 겁니다. 바이러스 단 하나만을 위한 별도의 메시지 처리 코드를 넣기 싫었을 겁니다. 또 그게 전례가 되어 지금까지 쌓인 모든 바이러스와 앞으로 나올 바이러스들에 대해 사실상 무해한 바이러스를 가려내기는 더더욱 귀찮을 겁니다. 하지만, 의도하지 않은 피해라고 해도 백신으로부터의 피해가 발생하는 이상 대책을 강구하는 것은 백신 개발사의 당연한 책임입니다.

여러분의 백신 업체 역시도 개발업체이며, 거기도 핵심 개발자가 있지 않습니까. 그런데 다른 업계의 개발업체들, 다른 개발자들 대부분은 의도하지 않았더라도 고객의 피해에 대해 민감하게 대응하는데, 그 백신 업체는 ‘바이러스의 기술적인 정의’와 ‘내부 처리 원칙’과 ‘업계의 관행’을 내세워 대응하기를 전면적으로 거부했습니다. 그래서 심하게 다투게 된 겁니다.

제가 모 업체와 크게 싸웠던 데에는 이런 식의 무사안일한 대응이 있었기 때문입니다. 고객의 피해가 급증하고 있다니까 책임자라는 분이 뭐라고 했는지 아십니까? 검토는 해보겠는데 검토가 언제 끝날지 우리도 모른다, 그러니까 그냥 기다리고 있어라, 이렇게 답하더군요. 네, 정확히 이렇게 말했습니다.

아마도 항의를 바로 받아들여 긴급조치를 먼저 취한 안연구소가, 다른 백신 업체들 및 보안 업체들 사이에서 눈총을 좀 받겠지요. 하지만 고객의 입장을 생각하는 기업으로서는, 너무나 당연한 조치였습니다. 저도 십몇년을 개발자로 살아오면서 고객 우선을 항상 마음에 두며 살아왔다고 자부해왔는데, 안연구소의 그 신속한 대응에 대해서는 저절로 존경심이 솟아오를 정도였습니다.

보안 전문가? 해당 업계 전문 엔지니어? 안연구소의 긴급 조치가 전문가로서의 견해로는 해서는 안되는 일이었다고 말씀하고 싶으신 분이 많겠지만, 저는 바로 이런 고객 최우선의 운영 정책이 안연구소가 업계 1위를 고수하는 이유라고 생각됩니다. 저는 이번 사태를 겪으면서 진심으로 안연구소의 대응에 감탄했으며, 고객의 피해를 우선적으로 배려한 좋은 실례로서 주위에도 널리 알리고 있습니다.

다시 의사와 환자로 비교해볼까요? 위암 약을 잘못 처방한 의사 A는, 처방받기 전보다 몇배로 심한 고통으로 바닥을 데굴데굴 구르는 환자 B를 보고 큰 실수를 했다는 것을 깨닫고 긴급 위세척을 실시했습니다. 반면 똑같은 상황에서 임상 의사보다는 연구자에 가까운 다른 의사 A’는 독한 위암 약 탓에 고통에 온몸을 비틀면서 눈물을 줄줄 흘리는 환자에게, “과연 위세척을 실시하는 것이 맞는 것인지 검토를 해보겠다. 검토가 언제 끝날지는 의사인 나도 모르겠으니까 일단 무조건 참고 기다려라” 라고 대응했습니다.

백신 업계의 여러분은, 다음에 배가 아프면 어느 의사에게 가시겠습니까?