클라우드 사용시 '정보유출' 조심하세요

세일즈포스 소프트웨어를 쓰는 일본 기업에서 고객 정보 유출 가능성이 제기됐다. 세일즈포스는 클라우드 기반 고객관계관리(CRM) 소프트웨어 분야에서 세계 1위 기업이다. 세일즈포스 고객사 중에 데이터가 유출됐을 것으로 추정되는 기업들이 계속 늘면서 파장이 커지고 있다. 일본 정부까지 나서서 기업들에 시스템 점검을 당부하고 있다. 한국에서도 작년 기준 600여개 기업들이 세일즈포스를 도입한 만큼 주의가 필요하다는 지적이 나온다.

2일 니혼게이자이신문과 정보기술(IT) 업계 등에 따르면 세일즈포스를 쓰는 야후재팬의 간편결제 서비스 업체인 '페이페이'가 작년 말 영업정보를 관리하는 시스템에 해외에서 해커 등 제3자가 침입해 가맹점 주소, 연락처 등 최대 2000만건의 데이터가 유출됐을 가능성이 있다고 발표했다.

이어 일본 이커머스 1위 업체인 라쿠텐도 자사가 도입한 세일즈포스의 클라우드 기반 영업망에 해외를 통해 부정한 방법으로 접근한 흔적을 발견했다. 라쿠텐 측은 기업 대출 관련 사업자명, 주소, 전화번호뿐만 아니라 개인 계좌번호와 연봉 등 약 148만건의 고객 정보가 샜을 가능성이 있다고 밝혔다. 올 들어서도 일본 최대 유통업체인 이온(AEON), 일본 최대 항공사 전일본공수(ANA), 일본 종합완구회사 반다이 등이 비슷한 문제로 홍역을 치렀다.

결정적 원인은 이들 기업이 소프트웨어상 데이터 접근이나 보안 관련 권한 설정을 적절하게 하지 않았기 때문이란 분석이 나온다. 세일즈포스 측은 "커뮤니티와 세일즈포스 사이트상에 구축한 일부 기능을 이용한 기업에서 발생한 문제"라며 "세일즈포스 플랫폼의 취약성에서 비롯된 것이 아니다"는 입장을 내놨다.

일본 IT 업계는 사내 클라우드상에서 데이터 관리 실수나 사고가 발생한지조차 모르는 기업이 적지 않을 것으로 보고 있다. 사태가 심각해지자 일본 정부까지 나서 세일즈포스 제품을 쓰는 기업들에 클라우드 이용 상황과 기능 등을 점검하도록 당부했다. 현재 한국 세일즈포스 이용 기업 중에는 피해가 없는 것으로 전해졌다.

통상 클라우드 서비스는 이를 쓰는 기업이 데이터와 관련된 다양한 권한을 설정하도록 돼 있다. 이에 따라 권한 설정 오류나 실수 등으로 인한 고객 정보 유출의 기본적인 책임은 이용 기업에 있다는 얘기다. 특히 소프트웨어를 업데이트할 때 기업들은 자사의 데이터 관리에 문제가 없는지 자체 점검이 필수라는 게 전문가들의 공통된 조언이다. 세일즈포스는 매년 세 차례 소프트웨어를 대대적으로 개선한다.

일각에선 모든 설정 점검을 소프트웨어 이용 기업에 온전히 떠맡기는 것은 너무하다는 지적도 나온다. 클라우드 관련 소프트웨어만 많게는 수백 개에 달하는데, 업데이트할 때마다 설정 메뉴얼을 일일이 확인하는 게 만만치 않은 작업이기 때문이다.

IT 업계 관계자는 "클라우드는 디지털전환을 위한 핵심 인프라스트럭처지만 자칫 설정에 오류나 실수가 있으면 막대한 피해가 발생할 수밖에 없다"며 "전사 차원에서 데이터 보호 대책을 세워야 한다"고 조언했다.

[임영신 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]