 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
“과거 주로 대기업을 노렸던 해커들이 O2O(온·오프라인 연계) 서비스에 눈독을 들이고 있습니다. 숙박정보 등 프라이버시에 민감한 정보들이 오히려 큰 돈이 될 수 있다는 판단에서죠. 대부분 O2O업체들의 보안 투자가 부실하다는 점도 해커들의 노리는 이유입니다.”
숙박 O2O 앱 ‘여기어때’ 해킹 사태 이후 스타트업들이 심각한 고민에 빠졌다. 온·오프라인상에서 취합되는 방대한 정보로 먹고 사는 O2O 스타트업들 사이엔 한 번의 사고로 자칫 회사 문을 닫을 수도 있다는 불안감마저 엄습하고 있다. 그렇다고 대규모 보안시스템 투자에 나서긴 현실적으로 어렵다. 하루 빨리 사업을 안정궤도에 올리는 것이 급선무이기 때문이다.
◇O2O 스타트업 대규모 마케팅에도 보안 투자 ‘0’ 왜?=‘여기 어때’가 비교적 평범한 해킹수법(SQL인젝션)에 90만명이 넘는 이용자 정보가 빠져나간 것은 부실한 보안 시스템 탓이다. 회원들의 민감정보에 대한 암호화 조치도 없었다. 여기어때 운영사인 위드이노베이션은 지난달 30일 보안 전담팀을 구성하고 회원정보·숙박 예약정보 DB 완전 분리, 휴대전화 번호 수집 자제 등 재발 방지대책을 내놨지만 ‘소잃고 외양간 고치기’에 불과하다는 지적이다.
스타트업 가운데 아예 보안 전담인력이 없는 곳도 부지기수다. 한국인터넷진흥원(KISA)이 발표한 2016년 정보보호실태조사에 따르면 직원 수 10인 이상 50인 미만 국내 기업 중 정보보호 조직을 운영 중인 곳은 37.2%에 불과했다. 직원 수 4인 이하 기업은 정보보호 담당 인력이 전무한 편(92.8%)이다. 9인 이하 직원을 둔 기업 10곳 중 6곳은 IT예산(2015년 기준) 중 보안 예산 자체가 없었고 정보보호 관련 제품도 이용하지 않았다.
이석래 KISA 보안산업지원팀 지역총괄센터장은 “통상 20인 이하 직원이 근무하는 중소기업만 해도 IT인프라에 투자할 여력이 없는 경우가 대부분”이라며 “직원 수 10명도 채 안되는 소규모 사업장에서 정보보호 전담 인력을 가져가는 것도 쉽지 않은 일”이라고 말했다.
그렇다고 돈이 없는 것은 아니다. 광고업계 관계자는 “2년여 전부터 O2O 업체들의 광고 비중이 급격하게 늘었다”며 “특히 경쟁업체들이 많을 경우 일단 인지도를 높여야 수익이 나기 때문에 TV를 비롯해 바이럴까지 다양한 종류의 마케팅에 매우 의욕적”이라고 말했다. ‘여기 어때’ 해킹사태를 두고 일각에선 TV광고 등에 쏟아부은 마케팅 비용의 10%라도 보안 투자에 나섰다면 이같은 일이 발생하지 않았을 것이라는 푸념도 나온다.
이들은 왜 보안투자에 인색할까. 스타트업에겐 빠른 사업 안착과 투자 유치가 생존과 직결되는 문제다. 투자자 입장에서도 이윤 회수가 우선이다. 가입자 확보 경쟁이 치열한 O2O 서비스 분야에서 이 같은 분위기가 더욱 심하다. 가입자 확보와 사업 마케팅에 사활을 걸다 보니 정작 보안 투자는 엄두조차 내지 못했던 게 현실이다. 2년 전 스타트업을 창업한 A씨는 “투자자들에게 성과를 보여주기 위해 주어진 시간은 결코 많지 않다”며 “해킹에 대한 두려움은 있지만 플랫폼 수익이 안정화되지 않은 상황에서 당장 인력과 시간, 즉 비용을 지불하면서까지 보안을 제대로 신경 쓰는 스타트업은 없을 것”이라고 털어놨다.
◇해커들의 최고 먹잇감 O2O 스타트업, 대책 없나=특히 O2O 스타트업들의 경우 그들이 취급정보가 주로 숙박, 미팅, 배달·주문, 건강 등 민감한 사생활 정보라는 점에서 문제가 심각하다. 보안 전문가들은 동일한 조건에서 유출될 경우 신원정보보다 이들 정보가 오히려 더 큰 피해를 유발할 수 있다고 경고한다. 특정인의 숙박 정보 등 은밀한 사생활 정보를 악용해 거액의 뒷돈을 요구하는 등 심각한 2차 피해로 이어질 수 있다는 얘기다. 대기업이나 대형 인터넷 쇼핑몰을 노려왔던 해커들이 최근 O2O 스타트업으로 빠르게 눈길을 돌리고 있는 이유다.
개인정보와 관련한 규제는 그동안 비밀번호, 주민번호 등 신원 확인 정보와 계좌 번호 등 금융거래 정보에 치중해왔다. 반면 민감정보에 대해선 암호 의무화 규정 등 구체적인 지침이 없다. 때문에 이들 민감 정보에 대한 보안 조치를 의무화하고 위반 시 강도 높은 규제를 시행해야 한다는 목소리가 커지고 있다. 그러나 국내 스타트업 업계의 현실을 외면하고 보안 규제를 대폭 강화할 경우 이제 갓 피어나기 시작한 창업 열기를 한순간 꺾는 장벽이 될 수 있다는 우려도 제기된다.
보안업계 관계자는 “정부의 창업 활성화 정책이 투자금 규모나 창업자 수 등 ‘양적 팽창’ 위주로 추진돼왔던 감도 없지 않다”며 “O2O나 핀테크 관련 스타트업들이 해킹 우려 없이 추진할 수 있도록 보안 등 인프라 지원정책이 강화돼야 할 것”이라고 강조했다. 일각에서는 스타트업에 보안 컨설팅, 관제 서비스를 제공하는 대신 그 비용을 지분으로 받는 형태의 새로운 상생 협력 모델이 나와야 한다는 의견도 있다.
김지민 기자 dandi@mt.co.kr
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
