지난 3월 숙박 검색 모바일 애플리케이션 ‘여기어때’의 홈페이지가 해킹당하면서 99만건의 개인정보가 유출됐다. 유출된 개인정보에는 이름과 e메일 주소뿐 아니라 숙박 예약정보 등 민감한 내용이 담겨 있어 회원들의 큰 반발을 샀다. 해커는 허술하게 설계·관리되는 서비스를 공격할 때 흔히 쓰는 ‘SQL인젝션’이라는 수법으로 여기어때 홈페이지를 해킹했다. 충격적인 것은 회원 수가 300만명에 달하는데도 가장 기본적인 보안 시스템을 갖춰놓지 않았다는 사실이다. 유명 연예인을 모델로 기용해 수백억원을 광고비로 쓰면서도 보안 시스템은 나 몰라라 했던 것이다. 보안 업계의 한 관계자는 “스타트업들이 저렴한 비용으로 서비스를 제공해 회원 수를 확대하는 데만 급급한 나머지 정보보호나 사이버 보안에는 신경을 거의 쓰지 않는다”면서 “집을 싸게 임대해준다고 해서 소방시설을 제대로 갖추지 않는다는 게 말이 되느냐”며 개탄했다.
해킹 기술이 갈수록 지능화하면서 기업들이 사이버 보안을 강화하고 있지만 대기업과 중소기업 간 정보보호 격차는 여전히 크다. 대기업들도 해킹 사고의 위험에서 완전히 자유로운 것은 아니지만 전담 부서를 운영하면서 보안 시스템을 강화하고 있는 데 반해 중소기업과 스타트업들은 사실상 무방비 상태다. 특히 개인정보를 다루는 O2O(Online to Offline) 업체가 크게 늘고 있는 상황에서 사이버 보안에 대한 인식이 바뀌지 않을 경우 제2, 제3의 여기어때 사고가 이어질 수밖에 없다는 지적이 나온다.
12일 미래창조과학부와 한국인터넷진흥원에 따르면 지난해 9,000개 기업을 대상으로 정보보호 실태조사를 실시한 결과 정보보호 조직을 운영하는 곳은 11.0%로 전년에 비해 3.1%포인트 늘었다. 정보보호 예산을 편성한 기업도 32.5%로 2015년의 18.6%에 비해 크게 증가했다. 기업들이 정보보호의 중요성을 인식하고 대응노력을 기울이고 있다는 얘기다.
하지만 회사 규모에 따라 정보보호 수준은 차이가 난다. 종업원 250명 이상 기업의 90.9%는 정보보호 관련 예산을 편성하고 있지만 10~49명은 62.4%에 그쳤다. 종업원이 5~9명인 기업의 79.3%는 정보보호 담당 인력이 없고 10~49명인 기업도 절반 이상(56.5%)이 보안 관련 인력을 두지 않고 있는 것으로 조사됐다. 오남호 한국인터넷진흥원 정보보호정책기획팀장은 “기업 규모에 따라 보안 분야 투자 규모가 차이 날 수밖에 없지만 가장 중요한 것은 정보보호에 대한 인식”이라면서 “중소기업은 물론 스타트업들이 서비스에 치중하느라 보안에 소홀한 경우가 많다”고 말했다.
은행·카드사와 대형 전자상거래 업체들은 수차례 해킹 사고를 겪으면서 보안 시스템 구축에 대대적으로 투자해 방호막을 높게 쌓아올렸지만 중소기업과 스타트업들은 투자 여력이 부족해 상당수가 정보보호 관련 업무를 아웃소싱하는 형편이다.
무엇보다 정보보호에 대한 인식이 낮은 게 문제다. 지난해 기업 대상 실태조사에서 정보보호 예산 미편성 사업체의 58.4%가 ‘정보보호 사고로 인한 피해가 없어 예산 편성의 필요성을 느끼지 못한다’고 응답했고 29.0%는 ‘정보보호를 어떻게 해야 하는지 모른다’고 답변한 것이 이를 방증한다.
반려견 관련 앱을 운영하는 스타트업 A사 대표는 “우리 같은 스타트업이 시장에 하루빨리 정착하기 위해서는 독자기술 개발, 인재 유치, 특허 출원, 마케팅 등에 투자하는 게 더 중요하다”며 “자연스레 보안 관련 투자는 뒷전으로 밀릴 수밖에 없다”고 말했다. 그는 이어 “보안 사고가 한번 터지면 큰 타격을 입는다는 것을 알고 있지만 대부분 스타트업들이 예산도 부족하고 ‘나는 안 걸리겠지’라는 생각에 정보보호나 보안에 신경을 덜 쓰는 게 사실”이라고 덧붙였다.
이처럼 정보보호에 취약한 기업들이 해킹 사고를 당하면 고객 신뢰가 하락할 뿐 아니라 엄청난 금전적 손실을 입을 수 있다는 점에서 경각심을 가질 필요가 있는 지적이 제기된다. 여기어때는 물론 웹호스팅 업체인 인터넷나야나 등 최근 해킹 사고를 당한 기업들은 과징금은 물론 개인정보 유출 피해자들로부터 손해배상 소송을 당할 수도 있다. 사업자의 고의나 중대한 과실로 개인정보가 유출됐다고 법원이 판단할 경우 지난해 7월 도입된 ‘징벌적 손해배상’ 제도에 따라 손해액의 최대 3배 범위에서 손해배상액이 정해진다.
김승주 고려대 정보보호대학원 교수는 “미국의 온라인 결제 업체 페이팔도 스타트업으로 출발할 당시에는 보안 수준이 그리 높지 않았으나 잇따른 보안 사고로 막대한 손해배상금을 지불하면서 보안 시스템을 강화할 수밖에 없었다”면서 “보안 사고로 인한 손해배상은 기업의 규모를 고려하지 않는 만큼 중소기업과 스타트업들이 이제라도 사이버 보안 의식 수준을 높일 필요가 있다”고 강조했다.
대기업과 중소기업 간의 정보보호 격차를 줄이고 중소기업의 보안 리스크를 최소화하기 위해 사이버보험제도 정착이 필요하다는 목소리도 나온다. 사이버 보험은 사이버 공간에서 발생하는 해킹 등의 사고로 인한 피해를 보험사가 보상해주는 것으로 보험 선진국인 미국과 영국 등을 중심으로 관련 산업이 빠르게 성장하고 있다. 업계 관계자는 “모든 것이 연결되는 사물인터넷(IoT) 시대가 도래하면 보안 사고가 급증할 수밖에 없고 아무리 보안 시스템을 강화한다고 해도 모든 공격을 완벽하게 방어하기는 불가능하다”면서 “기업들이 당연히 보안 투자를 늘려야 하지만 사이버보험제도가 정착되면 보안 사고로 인한 리스크를 완화할 수 있을 것”이라고 말했다. /성행경·한동훈기자 saint@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >