HIBP(Have I Been Pwned?)는 자신의 이메일 주소와 비밀번호가 기업 개인 정보 유출 사건이 발생했을 때 유출됐는지 여부를 조사할 수 있게 해주는 무료 서비스다. 기업과 정부, 법 집행기관에 이용되는 서비스지만 실제 운영은 1명에 의해 이뤄지고 있다. 하지만 HIBP의 규모가 커지면서 작업도 방대해져 걷잡을 수 없게 된 탓에 이곳이 구매자를 찾고 있다고 한다.
주요 웹사이트와 웹서비스를 해커가 공격, 소비자의 개인 정보가 유출되는 건 목격한 온라인 보안 전문가이자 마이크로소프트 MVP인 트로이 헌트(Troy Hunt)는 데이터 유출은 앞으로 더 큰 문제가 될 것이라고 보고 2013년 HIBP 웹서비스를 공개했다.
이 서비스는 자신의 이메일 주소와 아이디를 입력하면 유출 여부, 어디에서 공개됐는지 여부를 알려주며 유출 사태가 발생하면 알려준다.
2013∼2019년까지 기업 개인 정보 유출 사태는 더 가속화됐다. HIBP를 필요로 하는 사람도 덩달아 계속 늘어나는 추세다. 올해 6월 시점 유출된 개인 정보는 80억 건으로 3,000만 명에 달하는 사람이 HIBP의 알람 이메일을 받는다. 실제로 보내진 알람 건수는 700만 회에 달한다고 한다. 이곳의 1일 방문자는 아무 것도 없을 땐 15만 명이지만 뭔가 사건이 터지면 1,000만 명에 달한다.
또 HIBP는 이메일 주소 유출을 조사하는 것이지만 비밀번호 유출에 대해 알려주는 서비스(Pwned Passwords)도 발표했고 이 역시 메일 많은 사용자가 쓰고 있다. 이들 서비스는 비즈니스 용도 외에 영국과 호주 정부 같은 법 집행 기관까지 사용하는 등 글로벌 도구가 되고 있다. 하지만 실제로는 헌트 1명이 구성과 코딩, 일상 유출 기록 갱신을 하고 있다.
그는 아키텍처를 설명할 필요가 있다면서 인포그래픽을 만들고 유출 여부, 기업 로고를 수동으로 편집하고 추가로 데이터 유출에 대해 인식하지 못한 기업에게 연락하기도 한다고 한다. 이 모든 작업을 여가 시간에 했지만 작업이 너무 방대해졌다.
그는 올해 들어 HIBP 취득에 관심이 있는 조직과 대화를 시작했다고 한다. KPMG에 근무하는 친구와 개인적 문제를 얘기하던 중 HIBP의 M&A를 권유했다고 한다. 무엇보다 먼저 HIBP의 M&A가 명백하게 이뤄지고 있다는 점을 알리기 위해 프로젝트명이 필요했다. 그는 전 세계 씨앗을 저장하는 거대 시설 스발바르 국제종자저장고(Svalbard Seed Vault)를 떠올렸다. 노르웨이에 위치한 이곳은 HIBP도 엄청난 수의 기록을 실시하고 있다. 헌트는 M&A 프로젝트명을 스발바르로 명명했고 이 프로젝트에 관심을 가진 사람들과 연락을 하기 시작했다.
그는 인수에서 강조하고 싶은 7가지를 말한다. 첫째는 소비자 검색은 무료로 남아 있어야 한다는 것. 다음은 인수 후에도 그가 HIBP 일을 계속 해야 한다는 것. 다음은 자신 혼자 할 수 없던 걸 앞으로 하겠다는 것. 이어 지금부터 더 많은 사람들에게 다가갈 수 있도록 해야 한다는 것. 또 소비자 행동을 바꾸기 위한 역할을 해야 한다는 것과 조직을 통해 이익을 얻을 수 있어야 한다는 것, 마지막으로 더 많은 데이터를 공개해야 한다는 것이다.
물론 그가 사람을 고용하고 HIBP를 상업화하는 방법도 있다. 실제로 그는 HIBP를 운영하면서 기업을 시작하거나 벤처캐피털 출자를 받을 기회도 있었지만 자신의 책임이 너무 무거워진다는 이유로 그 길을 가지 않았다. 지금은 자신이 투자한 돈과 시간을 감안해 회사 출범은 선택지에서 뺀 상태다. 관련 내용은 이곳에서 확인할 수 있다.