보안에 대한 기업의 혁신적인 투자 마인드 변화 필요

[보안뉴스 성기노 객원기자] 정부가 숙박 O2O 서비스 업체 ‘여기어때’에서 발생한 개인정보 침해사고를 계기로 업계 전반에 대한 보안 실태 점검에 나선다. 미래창조과학부는 오는 13일부터 O2O(Online To Offline) 서비스의 보안성 강화를 위해 전반에 대한 개인정보 보안 실태 점검을 실시한다고 밝혔다. O2O 서비스는 유형에 따라 사생활 등 민감한 정보를 다루는 경우가 많아 침해사고로 해당 정보가 유출될 경우 이용자에게 2차 피해를 유발할 가능성이 있다.


최근에는 숙박 O2O 서비스 업체 ‘여기어때’에서 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 해커에 의해 침해된 것으로 확인돼 큰 충격을 주었다. 사실 ‘여기어때’는 월 사용자 200만 명을 자랑해 온 우량기업이었다. 그리고 업계 최초로 e-Privacy 인증마크를 획득하는 등 자발적으로 보안을 강화해 온 업체로 인정받아왔다. 그러나 보안업계에서는 e-프라이버시 인증마크는 법이 규정하는 최소한의 요건을 준수하는지를 볼 뿐, 정부기관이 심사하는 공식 인증 기준에 비해서는 보안 수준이 낮다는 지적이 있었다.

특히, ‘여기어때’가 당한 해킹 방법이 비교적 대비하기 쉬운 ‘SQL인젝션’ 방식이어서 논란이 커졌다. 해킹 수법이 보안 점검과 업데이트 등을 통해 대부분 막을 수 있는 것이었는데, 맥없이 무너졌다는 지적이다. 이번 사고는 국내 O2O 업체의 보안 현주소가 고스란히 드러났다는 점에서 정부도 마냥 팔짱만 끼고 있을 수 없어 이렇게 적극적인 대책 마련에 나선 것이다. 대부분의 O2O 사업자들은 서버를 구축하는 데만 비용을 집중적으로 쓰고 바로 마케팅비부터 늘려 나가는 경향이 있다. 보안 대책은 후순위로 밀려나기 마련이다. 미래부는 관련 기업의 유사 피해 발생을 예방하기 위한 보안 점검을 실시해 보안취약점을 개선하고 보안의식을 강화해 나갈 계획이다.

이번 점검은 이용자의 사생활·결제정보 등 민감한 정보를 다룰 것으로 예상되는 숙박, 교통, 쇼핑, 예매, 결제, 배달, 의료, 부동산 등 70여개 O2O 서비스 분야를 중심으로 기업의 신청을 받아 점검할 예정이다. 그리고 미래부는 향후 보안 점검을 O2O 서비스 전체에 단계적으로 확대해 나갈 계획이다. 해당 기업은 한국인터넷진흥원(KISA) 홈페이지와 모바일앱에서 정보유출, 부정결제, 악성코드 유포 등에 이용되는 주요 보안취약점을 무상 점검 받을 수 있다. 점검결과 확인된 보안취약점은 기업에 통보해 기업 스스로 개선할 수 있도록 안내하고, 취약점 개선을 위한 기술적 지원도 실시할 예정이다.

문제는 정부가 아무리 보안 대책을 마련해 기업들에게 가이드라인을 제시한다고 해도 관련 업체들의 보안의식이나 투자 마인드가 결여돼 있으면 정부 대책도 아무 소용없다는 점이다. 정부의 이번 점검은 O2O 서비스 기업들이 유지해야 하는 기본적 정보보안 사항을 점검하는 것이다. 정부의 점검에만 대비해 수박 겉핥기식으로만 대책을 마련하면 제2의 여기어때 사태는 또 일어날 수 있다. 서버구축이나 마케팅비의 일부만 투자해도 한층 강화된 보안대책을 마련할 수 있을 것이다. 보안에 대한 기업의 혁신적인 투자 마인드 변화가 필요한 때다.
[성기노 객원기자(kino@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>