개인정보 유출 확인 사이트 'haveibeenpwned.com' (캡처=HIBP)
자신의 이메일 주소와 비밀번호 유출 여부 등을 알려주는 유명 보안 웹사이트 'Have I Been Pwned? (HIBP)' 매각에 무려 141개 업체가 응찰했지만 운영자가 매각을 돌연 취소하면서 그 의중에 관심이 쏠리고 있다.
HIBP는 2013년 12월 웹 보안 전문가 트로이 헌트가 만든 개인정보 침해 확인 사이트다. 그해 10월 어도비 시스템즈(Adobe Systems)의 1억 5500만개에 달하는 대규모 개인정보 유출 사고를 접한 뒤 사용자에게 경각심을 심어주기 위해 홀로 개발에 뛰어들었다.
현재까지 헌트 혼자 운영하는 HIBP는 2015년 어도비의 개인정보 100만명 추가 유출, 포브스, 야후, 지메일, 보다폰, 소니, 드롭박스 등 유명 기업이나 기관 사이트의 유출 데이터 등을 업데이트하며 명성을 쌓았다. HIBP에는 현재 431개 사이트에서 유출된 95억4300만개 이상의 계정 유출 여부를 무료로 확인할 수 있다.
HIBP에 방문해 개인 이메일을 입력하면 해당 이메일과 연결된 개인정보 유출 목록을 확인할 수 있다. 자신의 이메일로 제3자가 특정 사이트에 가입하거나 추가 개인정보가 유출될 경우 경고해주는 이메일 알림 서비스도 구독할 수 있다.
하지만 6년간 HIBP를 운영하면서 방문자 수는 급증했지만 업무 부담이 계속해서 늘어났다. 결국 그는 작년 6월 블로그에 "한 사람이 시간이 될때마다 일을 하는 수준을 넘어 자원과 자금이 풍부하고 더 많은 인력을 갖춘 조직으로 마이그레이션 할때"라며 매각 의사를 밝혔다.
헌트는 HIBP 사이트 매각을 '프로젝트 스발바르(Svalbard)'로 명명하고 국제 회계법KPMG을 매각 주관사로 선정했다. 매각 프로젝트가 성공하면 억만장자가 되는 일만 남았다.
인수를 신청한 업체는 무려 141개사에 달했다. 조건에 부합하는 업체 43곳을 추려 심층 면담을 진행했다. 최종 업체 선정만 남았지만 헌트는 돌연 매각을 취소했다. 인수를 희망한 한 IT 기업과의 면접이 그의 생각을 바꿔놨다.
HIBP 사이트 1인 운영 및 개발자 트로이 헌트 (캡처=HIBP)
HIBP를 인수하면 헌트의 상사가 될지도 모르는 유력 IT기업 관계자가 면접에서 그에게 "당신 사무실에서의 완벽한 하루가 어떤 것인지 설명해줄 수 있겠냐"는 질문을 던졌다.
헌트는 "매우 합리적인 질문었지만 무척 불편한 질문이었다"고 회고하며 대부분 조직에 소속된 기업문화가 자신에게 맞지 않고 독립적으로 일할 수 있는 HIBP 운영이 자신에게 더 맞다는 결론에 이르렀다고 한다.
질문을 받은 이튿날에는 HIBP 이용자로부터 감사 편지를 받고 HIBP 이용자들의 신뢰가 얼마나 중요한 것인지 실감했다. 결국 그는 HIBP를 당분간 1인 기업으로 지속 운영할 계획이다.
배부른 돼지보다 배고픈 소크라테스를 선택한 헌트는 매각 진행에 대한 상당한 비용 처리와 후유증으로 잠시 휴식을 취한뒤 HIBP 운영에 복귀하겠다고 전했다.