보안이라는 사치

6월 9일 - FORECAST

©일러스트: 김지연/북저널리즘

밀리의 서재에서 해킹으로 인해 개인 정보가 유출됐다. 스타트업에게 사이버 보안은 사치인가 필수인가.

  • 밀리의 서재는 지난 6월 3일 해킹 공격으로 개인 정보 1만 3182건이 유출됐다.
  • 스타트업을 노린 해킹 사건이 연일 일어나고 있지만 이들은 사이버 보안에 투자할 여력이 없다.
  • 작은 정보 유출로도 큰 피해가 발생할 수 있으며 세계의 보안 관련 기준은 점점 높아지고 있다.

BACKGROUND _ 밀리의 서재

밀리의 서재(이하 ‘밀리’)는 2016년 창업해 2017년 3월에 오픈한 월정액 전자책 구독 서비스다. 국내 최대 규모의 전자책을 보유한 업계 1위 플랫폼으로 누적 회원 수는 450만 명에 이른다. 지난 2021년 9월에는 KT 지니뮤직이 38퍼센트가량의 지분을 사들여 최대 주주가 됐다. 밀리는 지난 5월 27일 한국거래소에 상장 예비심사신청서를 제출하며 연내 코스닥 상장을 추진하고 있었다.
INCIDENT _ 두 번째 유출

6월 3일, 해킹 공격으로 개인 정보 1만 3182건이 유출됐다. 유출된 정보는 이메일 주소, 전화번호, 비밀번호다. 이메일 주소 말고는 암호화 처리가 돼 있다. 문제는 이번이 두 번째라는 점이다. 지난 2019년 6월에도 해킹 공격을 받아 11만 7800명의 이메일 주소가 유출됐다. 기업 공개(IPO)를 앞둔 밀리에게 엄청난 악재다.
DEFINITION _ 개인 정보 침해

밀리는 홈페이지 사과문에 ‘개인 정보 유출’에 대한 사과문을 게재하며 중간에 ‘침해 사실’을 인지했다고 적었다. 의도한 것은 아니겠지만 이는 중요한 함의가 있다.
  • 개인 정보 침해는 개인 정보 유출, 불법 유통, 오남용, 홈페이지 노출, 관리 허술 및 방치를 망라하는 개념이다.
  • 개인 정보가 유출되면 2차, 3차 피해 즉 불법 유통 및 악용 등에 노출된다.
  • ‘침해’라는 단어는 ‘권리’와 짝꿍이다. 일련의 유출은 ‘데이터 주권’의 침해로 볼 수 있다.

REFERENCES _ 샤넬, 발란, 토스

개인 정보 유출은 다양한 방법으로 일어날 수 있다. 클라우드 서비스 사용에 있어서의 관리 미흡, 해킹을 당하고도 고지를 명확하게 하지 않아 피해가 확산하는 경우, 혹은 해킹 없이도 개인 정보를 보안이 취약한 곳에 제공하는 경우 등이다.
 
  • 샤넬코리아는 2021년 8월 멤버십 고객의 개인 정보가 해킹을 받아 유출됐다. 유출된 정보는 이름, 전화번호, 생일, 화장품 구매 내역이다. 멤버십 당시 제공에 동의한 정보도 함께 넘어갔다. 주소, 성별, 이메일 등이다. 샤넬은 아마존웹호스팅서비스(AWS)를 쓴다. 이용자 개인 정보 역시 이 클라우드에 보관했는데 국외로 개인정보를 이전하며 이용자 동의를 받지 않았다. AWS를 사용하는 대표적인 국내 기업 네 곳(야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩) 역시 AWS 관리자 접근 권한을 IP로 제한하지 않아 도합 938만 건가량의 개인 정보 유출이 있었다.
 
  • 명품 거래 플랫폼 발란(BALAAN)두 차례 해킹이 있었다. 지난 3월 16일과 4월 9일이다. 첫 해킹에서는 이름, 닉네임, 이메일, 휴대폰번호, 마지막 로그인 IP, 생년월일 등이 유출됐다. 유출 건수는 밝히지 않았다. 두 번째는 발란에서 ‘추가적인 해킹 시도 가능성’을 언급하며 비밀번호 변경을 권유하는 내용의 공지가 발단이었다. 의심스런 공지였다. 발란은 한국인터넷진흥원(KISA)에 두 차례 개인 정보 유출 사실을 신고했는데 4월 해킹 시도는 3월 해킹의 연장선이라며 두루뭉술한 답변을 냈다. 그러나 조사를 맡은 개인정보보호위원회 조사3팀은 두 건이 각각 접수됐으며 동일 건이 아닌 개별 건으로 조사 중이라고 밝혔다. 앱을 여니 다른 고객 정보가 기록돼 있는 고객 간 정보 유출도 발생했다.
 
  • 토스의 사례는 다르다. 지난 6월 7일, 토스는 회원 DB를 계열사인 토스인슈어런스개인 보험설계사들에 유료로 판매해 온 것으로 드러났다. 유출된 정보는 일반 정보와 보험 가입 정보로 구분된다. 일반 정보는 이름, 휴대폰 번호, 생년원일, 보험 연령, 성별 등이고 보험 가입 정보는 보험사 정보, 상품명, 계약자 이름, 납입 여부, 보험 가입일, 보험료 등 보험에 관한 대부분의 정보다. 개인 보험설계사의 경우 보안이 취약한 데다 2차 불법 유통까지 우려할 수 있는 상황이다.

RISK _ 2차 피해

밀리의 유출은 위 사례에 비하면 다행스럽다. 이메일을 제외한 정보는 암호화되어 있기 때문이다. 암호화된 정보는 통상 볼 수 없다. 물론 암호화에 사용되는 ‘해시 알고리즘’을 해커가 역변환할 가능성도 있지만 비싼 정보가 아니라면 상대적으로 가능성은 낮다. 유출된 우리 정보는 어떻게 악용될까? KB데이타시스템 그룹사 IT 운영부의 구한나 전문가에게 물어봤다.

유출된 정보의 대표적 악용 사례를 소개해 달라,

사람들은 아이디나 패스워드를 주로 쓰던 것을 쓴다. 개인 정보를 구성하는 수많은 요소 중 일부 정보를 획득하게 되면 다른 사이트에 이를 재조합해 악용할 수 있으며 대표적으로 사전 공격(Dictionary Attack)이 있다. 정보를 조합해 비밀번호를 알아내는 방식이다. 보통 사이트에서 패스워드를 일정 횟수 이상 틀리면 접근이 제한되는 이유다.

이메일 유출 정도면 그나마 괜찮은 것 아닌가? 

이메일 유출은 스미싱에 악용될 수 있다. 실존하는 이메일이기 때문이다. 전화번호의 경우 신상 정보가 조각 모음처럼 구성되면 주변인을 특정할 수 있게 된다. 명의를 도용해 보이스피싱 등에 악용될 수 있다.
COST _ 시가

불법 유통된 정보는 어느 정도 가격에 거래되고 있을까? 구 전문가는 개인 정보는 한 건당 가격이 천차만별이라고 말한다. 작게는 몇십 원부터 많게는 몇만 원까지도 거래될 수 있다. 데이터가 포함하는 정보량이나 정보 출처에 따라서 가격이 달리 책정된다. 특히 여권이나 금융 정보의 경우 가격이 더 비싸다고 전했다. 2021년 8~9월 동안 다크웹에 거래 목적으로 올라온 한국인의 개인 정보가 1600만 명에 이른다는 보도도 있다. 가해자 역시 찾기 어렵다. 이용자의 정보가 암흑가에서 시가로 손쉽게 거래되는 탓에 사회 전반엔 “어차피 내 정보도 털렸을 것”이라는 허탈감이 만연하다. 구 전문가는 유출 여부를 간단히 조회할 수 있는 시스템이 마련됐다며 아직 해보지 않았다면 꼭 해볼 것을 권유했다.
REALITY _ 안전 불감증

이웃 나라의 핵무기는 위험하다. 하지만 몇십 년을 머리에 이고 살면 ‘안전 불감증’에 걸린다. 보안도 그렇다. 머리론 아는데 행동은 쉽지 않다.
 
  • 과학기술정보통신부와 한국정보보호산업협회(KISIA)의 〈2021 정보보호 실태조사〉에 따르면 사업체의 88퍼센트 이상이 정보 보호 및 개인 정보 보호의 중요성을 잘 인식하고 있다. 주로 80퍼센트 후반을 나타내며, 사업체 규모가 커질수록 인식률이 더 높았다.
  • 다만 관련한 정책이나 조직의 보유율에서 큰 차이를 보였다. 1~4인 규모의 사업장은 정책 보유율 16.4퍼센트, 조직 보유율은 4.5퍼센트에 그친 반면, 50~249명 규모의 사업장은 정책 보유율 78.4퍼센트, 조직 보유율 64퍼센트를 나타냈다.

인식과 정책의 간극은 소규모 사업장의 단순한 방만이 아니다. 소규모 사업장이나 스타트업은 보안에 예산을 편성하기 빠듯하다. 기업의 정보 보안 최고 책임자를 의미하는 CISO(Chief Information Security Officer)나 개인 정보 최고 책임자인 CPO(Chief Privacy Officer)를 두는 것은 큰 투자를 받은 스타트업 등 대규모 사업장이다. 소규모 IT 기업의 경우 최고 기술 책임자인 CTO(Chief Technical Officer)가 이 역할을 수행하는 것으로 알려진다. 
SOLUTION _ ISMS

대규모 인프라가 필요치 않은 IT 계열의 스타트업 창업이 주를 이루며 플랫폼 사업자는 많아졌다. 이들 모두에게 확실한 보안 체계를 사전에 요구하는 것은 시장을 경직시킬지 모른다. 해외는 어떨까? 구 전문가는 모범 사례로 유럽을 들었다.

EU의 개인 정보 보호 조처를 소개해 달라.

‘유럽 연합 일반 데이터 보호 규칙(GDPR)’에 따라 기업은 개인 정보를 컨트롤하는 컨트롤러나 개인 정보 책임자를 꼭 지정하게끔 되어 있다. 그렇게 하지 않을 경우 과징금을 크게 맞는다. 메타처럼 그런 직책이 있어도 제대로 관리가 안 되면 역시 과징금을 크게 맞는다. CPO나 CSIO 등의 직책이 중요한 것이 아니다. 중요한 것은 체계다.

어떤 체계 말인가.

정보보호관리체계(Information Security Management System, ISMS)라고 부르는 것이 잘 잡혀 있어야 한다. 현재 KISA에서 인증 수단처럼 부여하고 있다. 이는 정책과 조직을 포괄한다. 보안 정책을 수립하는 사람이 있다면 조직원으로 뽑은 사원들에게 정확히 업무를 지정해주고 관리해야 한다. 애초에 기업체에서 사이버 보안에 별 관심이 없다면 자리만 만들어놓고 엉성하게 운영될 가능성이 크다.

시중에 나와 있는 보안 솔루션이 많다. 기업들은 왜 적극 활용하지 않는가?

최소한의 보안 인프라가 갖춰지지 않은 경우 컨설팅이 어렵고, 하더라도 많은 돈이 든다. 장비나 시스템을 갖추는 데 최소 몇천만 원 단위로도 지출이 발생할 수 있다. 게다가 단발성이므로 영세한 스타트업은 보안 체계를 유지 및 보수하기에 어려움이 있을 것이다.
MONEY _ 어디에 투자할 것인가

보안도 신경써야 하고 시장 확장에도 나서야 하는 스타트업의 딜레마에 정답이 있을까? 다만 전술한 밀리의 서재나 발란은 투자 금액의 상당량을 광고 선전비로 사용했다. 시장 확대와 맞바꾼 것은 수익성 악화와 소비자의 피해다. 어디에 투자할 것인가는 그들에게 달렸다.
 
  • 밀리의 경우 출시 초부터 이병헌, 변요한 등을 광고 모델로 기용했고 지금도 조정석을 모델로 내세우고 있다. 지난 2021년의 영업 비용 434억 원에서 광고 선전비는 약 127억 원이다. 2019~2020년 동안엔 151억 원의 광고 선전비를 집행했다. 명확한 수익성 개선 방안이 없어 ‘테슬라 요건’[1]으로 상장을 시도하고 있다.
  • 머스트잇, 발란, 트렌비 등 온라인 명품 플랫폼 3대장도 광고 전쟁으로 엄청난 영업 손실을 기록했다. 김혜수를 기용했던 발란은 2021년 광고 선전비로 191억 원가량을 지출했고 김희애, 김우빈 등을 기용한 트렌비299억 원가량을 지출했다. 발란과 트렌비 모두 개인 정보 유출을 겪었다. 지금도 영업 손실 및 적자폭이 상승하고 있다.

REGULATION _ 사이버 ‘안보’

새 정부는 어떤 해결책을 가지고 있을까? 윤석열 정부가 발표한 110대 국정 과제에서 사이버 ‘안보’는 비중 있게 다뤄지고 있다. 101번째에서 대통령 직속 국가사이버안보위를 설치하고 보안 산업을 육성할 계획을 밝혔다. 이는 민관군으로 나뉜 사이버 대응 체계를 해당 위원회로 일원화하여 사이버전에 대응하고 산업 전반에서 국가 핵심 기술 유출을 보호하는 것이 주요 골자다. ‘보안’이라는 단어가 아닌 ‘안보’라는 단어를 선정한 이유다. 다만 이는 위 사례에 대응하는 사이버 보안의 해결책과는 다소 결이 다르다. 구 전문가는 오히려 데이터 3법을 지켜봐야 한다고 전했다. 유럽의 GDPR을 모티브로 만들어졌지만 개인 정보 가명 처리 및 제공 동의에 있어 보완할 부분이 많기 때문이다.
INSIGHT _ 보안의 역설

위 〈2021 정보보호 실태조사〉에 따르면 정보 보호 애로사항으로 ‘예산 확보’가 60퍼센트로 가장 높고 ‘전문 인력 확보’가 45.9퍼센트로 뒤를 이었다. 구 전문가 역시 “보안 전문가는 있지만 보상이 충분치 않아 기피하는 경향이 있다”고 말한다. 실수라도 벌어지면 욕받이가 되어야 하는 직책이다. 정보 기술이 사실상 모든 산업에 침투한 오늘날 보안은 가장 중요하면서도 가장 애로사항이 많은 요소가 됐다. 다만 클라우드 시장의 빠른 성장이 유명 보안 업체의 인수와 동시에 이뤄지듯 보안은 더 이상 소홀히 여길 수 없는 요소다. 미국의 캘리포니아 소비자 프라이버시 보호법(CCPA)이나, 유럽의 GDPR은 한국의 데이터 3법에 비해 규제 강도가 높다. 플랫폼 형태를 위시한 기업이 세계로 나아가려면 역설적으로 보안의 가이드라인을 준수해야 할 필요가 생긴다. 사이버 보안에 대한 투자는 더 이상 사치가 아닌 필수품이다.
FORESIGHT _ 제로 트러스트

소비자의 마음은 양가적이다. 높은 보안 수준을 원하면서도 쉬운 방법을 원한다. 각종 보안 프로그램을 설치해야 하는 은행보다 핀테크를 선호하는 것이 대표적이다. 다만 최근 몇 년 사이 방화벽처럼 ‘차단’ 중심의 경계 보안 모델보다 ‘인증’을 중심으로 하는 ‘제로 트러스트’ 보안 모델이 각광받고 있다. 서버에 접속하는 기기라면 아무것도 믿지 않고 고도의 보안을 요구하는 시스템이다. 일련의 해킹 사건들로 스타트업 업계에서도 보안 솔루션을 도입하려는 움직임이 늘고 있지만, 개인 정보 침해 사건이 지속해 발생한다면 소비자들은 보안이 강한 대형 플랫폼에만 머물 가능성이 크다. 보안에 돈 아끼려다 뿌리 내리는 것이 어려워질 수 있는 이유다. 가장 경계해야 할 것은 소비자 마음속의 ‘제로 트러스트’다.


스타트업의 문제 해결 과정을 살펴보고 싶다면 《타트업 플레이북》을 추천합니다.
맞닥뜨린 다양한 위기에서 어떤 전략을 세웠는지 살펴볼 수 있습니다.
포캐스트를 읽으시면서 들었던 생각을 댓글로 남겨 주세요.
여러분의 의견이 북저널리즘을 완성합니다.
[1]
이익 미실현 특례 상장 제도를 뜻한다. 우리나라에는 2017년도에 도입됐다. 테슬라가 2010년 당시 적자에도 불구하고 나스닥에 상장을 성공해 테슬라 요건이란 별명이 붙었다. 구체적 요건은 링크된 기사에 잘 정리되어 있다.
다음 이야기가 궁금하신가요?
프라임 멤버가 되시고 모든 콘텐츠를 무제한 이용하세요.
프라임 가입하기
추천 콘텐츠