컨텐츠 바로가기

12.23 (월)

[김호광 칼럼] 스타트업 보안, 선택이 아닌 필수

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
전자신문

지난 19일 스티비(stibee)라는 메일링 서비스가 해킹 공격으로 고객의 민감한 정보가 유출되었다는 소식이 전해졌다. 이번 사고로 이메일 주소, 암호화된 비밀번호, 이름, 연락처, 카드번호, 생년월일 등 여러 민감한 정보가 유출되었으며, 이는 고객 신뢰와 스타트업의 생존을 위협하는 심각한 결과를 초래할 수 있다.

특히 한국의 결제 환경을 고려할 때, 카드번호와 비밀번호 일부가 유출된 것은 카드 무단 도용으로 이어질 가능성이 크다. 스티비 사례는 보안이 선택 사항이 아니라 스타트업의 생존을 좌우하는 필수 요소임을 다시금 상기시켜 주는 사례라고 할 수 있다. 여기에 더해 보안 사고로 인해 몰락한 기업들의 사례는 보안 투자와 실천의 중요성을 보여주고 있다.

전자신문

보안 사고로 고객 정보를 유출하여 피해 입은 사례들

대표적인 사례로, SK커뮤니케이션즈의 고객 정보 해킹 사건을 들 수 있다. 이 사건에서는 약 3500만 명의 고객 정보가 유출되었으며, 주민등록번호와 같은 민감 정보까지 포함되어 큰 파장을 일으켰다. 이 사고로 인해 SK컴즈는 수많은 법적 소송과 고객의 신뢰 상실을 겪으며 점차 시장에서 영향력을 잃었다.

또 다른 사례로, 미국의 소셜 네트워크 플랫폼인 Formspring은 비밀번호 해킹으로 4200만 명의 사용자 계정 정보가 유출된 후 사용자의 이탈과 신뢰 상실로 인해 서비스를 종료하게 되었다. 이러한 사례들은 데이터 보안이 단순한 IT 이슈가 아니라, 기업의 생존과 직결된 문제임을 보여주고 있다.

메일링, 뉴스레터 서비스인 스티비 계정 해킹으로 인해 외교부로 위장한 스팸 메일이 스타트업 알스퀘어 계정을 통해 대량 발송되는 사고가 발생한 것으로 18일 확인되었지만, 다른 고객사에 사고 고지는 20일 오후 7시로 늦은 감이 있다.

해킹 상황을 종합해 보면, 18일 오전 8시 40분쯤 알스퀘어 공식 메일 계정을 통해 대한민국 외교부가 발신한 것으로 나오는 '귀하의 사회보장 명세서가 준비되었습니다'라는 제목의 메일이 발송됐다. 명세서 다운로드를 클릭하면 명세서로 위장한 감염된 파일 다운로드와 스팸 연락처로의 전화를 유도하는 형태의 피싱 공격이 발생하는 구조이다.

알스퀘어의 스티비 계정을 통해 스미싱 메일이 발송된 것을 18일 당일 10시쯤 인지한 알스퀘어 측은 고객사 피해를 줄이기 위해 긴급하게 대응했다. 알스퀘어측은 고객에게 메일을 보내고 “당사 메일 계정을 통해 의도치 않은 스팸 메일이 발송된 것이 확인됐다”며 “해당 메일을 수신한 경우, 절대 열람하지 말고 즉시 삭제하고 절대 클릭하지 말아달라”고 경고를 알스퀘어 회원들에게 했다. 알스퀘어는 4만명가량의 기업 고객에게 메일이 발송되었다.

아직 외교부를 사칭한 스미싱에 대해 피해 상황조차 집계되지 않은 상황이다. 통계적으로 회사나 단체에서 보내는 뉴스레터의 평균 오픈율은 14.6%, 개인 뉴스레터의 평균 오픈율은 31%로 가정했을 때. 5800명에서 최대 1만 2천명은 악성 코드에 노출 되었던 것으로 예측된다.

전자신문

스타트업이 실천해야 할 보안 가이드

1. 로그 데이터 암호화

로그는 서비스 운영과 보안 점검의 필수적인 도구이지만, 잘못 관리된 로그는 고객 데이터를 유출하는 또 다른 창구가 될 수 있다. 예를 들어, 시스템 오류나 접속 기록을 남길 때 민감한 데이터가 평문으로 저장되는 경우, 해커는 로그 파일을 통해 암호화된 데이터보다 훨씬 쉽게 정보를 추출할 수 있다. 특히 주의한 것은 테스트 서버의 경우 보안을 간과하는 경우가 있는데 해커들은 상대적으로 보안이 허술한 테스트 서버를 노린다.

스타트업이 따라야 할 로그 관리 원칙

민감 정보 비노출: 로그에 암호화되지 않은 비밀번호, 카드번호, 주민등록번호 등 민감 정보를 포함하지 않도록 설정해야 한다.

접근 제어: 로그 파일은 접근 제어 정책을 통해 오직 필요 권한을 가진 사용자만 접근할 수 있도록 제한해야 한다.

자동 삭제: 로그 데이터는 일정 주기 후 자동으로 삭제되거나 안전한 방식으로 보관해야 한다.

2. 데이터 암호화

스타트업의 성장 과정에서 데이터베이스 설계나 보안이 후순위로 밀리는 경우가 많다. 그러나, 데이터 암호화는 초기부터 설계의 기본 요소로 포함되어야 한다.

데이터 암호화의 필수 요소

암호화 알고리즘 선택: 민감한 데이터는 AES-256과 같은 강력한 알고리즘으로 암호화해야 한다.

키 관리: 암호화 키는 Key Management System(KMS)을 통해 별도로 관리하여 유출 위험을 줄여야 한다.

암호화된 비밀번호: 비밀번호는 반드시 해싱(hashing) 기법(SHA-256 등)을 사용해 암호화해야 하며, 솔트(salt) 값을 추가하여 보안을 강화해야 한다.

3. 보안 사고 대응 계획

투명한 공지: 사고 사실을 즉시 공지하고, 고객들에게 비밀번호 변경 및 카드 정보 보호 조치를 안내해야 한다. 이번 스티비의 경우 홈페이지에 해킹 사실을 고지 않고 개별 피해 회사에 고지 메일을 보냈다. 메일링으로 오는 메일을 잘 읽지 않는 일반 고객의 특성상 해킹을 인지하기 힘든 상황이다.

감사 및 재점검: 사고 이후 모든 시스템 로그와 접근 경로를 점검하고 보안 허점을 차단해야 한다.

보안 전문 인력 및 외부 컨설팅: 보안 팀이 부족한 스타트업은 외부 전문 기관과 협력하여 주기적인 보안 점검을 시행해야 한다.

결론: 보안은 신뢰의 기반

스타트업은 속도가 생명이라고 한다. 하지만, 보안 없는 속도는 성공이 아닌 실패를 앞당길 뿐이다. 스티비 사례와 과거의 여러 사건들은 보안 투자 없이 고객 신뢰를 얻을 수 없음을 보여주고 있다. 보안은 고객과의 신뢰를 유지하고, 장기적인 비즈니스 성공을 보장하는 가장 중요한 요소라고 할 수 있다.

빠르게 변화하는 시장 환경에서 스타트업이 성공하기 위해서는 초기 설계부터 보안을 고려하고, 이를 실천에 옮기는 노력이 필요하다. 보안은 이제 선택이 아니라 스타트업의 생존을 위한 필수가 되었다.

필자 소개: 김호광 대표는 블록체인 시장에 2017년부터 참여했다. 나이키 'Run the city'의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신러닝, 클라우드 등이다.

[Copyright © 전자신문. 무단전재-재배포금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.