사이버보안 거물의 몰락, 업계는 어떻게 반응해야 할까

2,300건의 문서가 한 사람의 경력을 끝장냈다

지난 1월 30일 공개된 제프리 엡스타인 관련 문서에서 한 이름이 2,300번 이상 등장했다. 빈첸조 이오조(Vincenzo Iozzo). 애플 모바일 해킹의 선구자이자 사이버보안 스타트업 CEO였던 그는 일주일 만에 업계 최대 컨퍼런스들에서 자취를 감췄다.

블랙햇과 코드블루 같은 주요 보안 컨퍼런스 심사위원회에서 그의 이름이 삭제됐다. 13년간 블랙햇 심사위원을 지낸 그에게 무슨 일이 일어났을까?

엡스타인과의 4년, 그리고 FBI 제보자의 증언

공개된 문서에 따르면 이오조는 2014년부터 2018년까지 엡스타인과 교류했다. 당시 그는 25세 MIT 출신으로 스타트업 자금 조달 중이었다. 문제는 시기다. 2018년 말 마이애미 헤럴드가 엡스타인의 성범죄를 폭로한 직후에도 그는 엡스타인의 뉴욕 저택에서 만남을 시도했다.

더 충격적인 건 FBI 제보자의 증언이다. 문서에는 엡스타인이 '개인 해커'를 두고 있다는 제보가 있었고, 신원은 가려졌지만 여러 정황이 이오조를 가리킨다고 이탈리아 언론이 보도했다.

이오조는 모든 혐의를 부인했다. "엡스타인을 알게 된 건 순전히 사업상 이유였고, 지금 생각해보니 당시 올바른 질문을 하지 못했다"며 "그를 위해 해킹을 한 적도, 불법 행위를 목격한 적도 없다"고 해명했다.

업계의 선택: 조사 vs 즉시 제명

사이버보안 업계의 반응은 엇갈렸다. 이오조는 블랙햇에 "자발적으로 사임하지 않겠다"며 "철저한 조사를 환영한다"고 밝혔지만, 컨퍼런스들은 조용히 그를 명단에서 지웠다.

코드블루 측은 "수개월 전부터 비활성 위원들을 정리할 계획이었고, 엡스타인 문서 공개와는 우연의 일치"라고 해명했다. 하지만 타이밍이 말해주는 건 다르다.

업계 관계자들은 딜레마에 빠졌다. 한편으로는 '무죄 추정 원칙'을, 다른 한편으로는 '평판 리스크 관리'를 고려해야 했다. 특히 사이버보안은 신뢰가 생명인 분야다.

한국 보안업계는 어떻게 볼까

국내 보안업계도 이 사건을 주목하고 있다. 한국의 주요 보안 컨퍼런스나 기업들도 비슷한 상황에 직면할 수 있기 때문이다.

네이버, 카카오, 삼성SDS 같은 국내 IT 대기업들은 해외 보안 전문가들과 협업이 많다. 이런 상황에서 협력 파트너의 '과거'를 어디까지 검증해야 할까? 단순히 기술적 역량만 볼 것인가, 아니면 윤리적 기준도 적용할 것인가?

국내 한 보안업체 임원은 "기술과 윤리를 분리해서 생각하기 어려운 시대"라며 "특히 개인정보보호가 중요해진 지금, 협력사나 자문위원 선정 기준을 재검토해야 할 때"라고 말했다.