최근 스타트업들이 연달아 해킹 공격을 받아 소비자 개인정보가 유출됐다. 해커들은 자본과 인력이 부족해 적절한 보안솔루션을 갖추지 못한 스타트업을 노린 것이다. 하지만 플랫폼을 기반으로 다수의 개인정보를 확보한 기업이 정보보호에 소홀한 것은 문제라는 지적이 나온다.
8일 구독형 전자책 플랫폼 밀리의서재에 따르면 회사는 홈페이지에 ‘개인정보 유출에 대한 안내 및 사과문’을 게재하고 1만3182명의 회원 정보가 지난 3일 새벽 유출됐다고 밝혔다. 유출된 정보는 암호화된 형태의 이메일 주소, 전화번호, 비밀번호 등이며, 밀리의서재는 한국인터넷진흥원(KISA)과 방송통신위원회에 이를 신고했다고 밝혔다. 앞서 2019년 6월에도 밀리의서재는 해킹으로 회원 11만여명의 개인정보가 유출되기도 했다. 밀리의서재는 지난달 27일 한국거래소에 코스닥시장 상장을 위해 상장예비심사신청서 제출한 상태다.
명품 쇼핑 플랫폼 발란에서도 지난 3월과 4월, 두 달 새 연이어 두 차례 해킹 공격으로 회원 닉네임, 이메일, 전화번호, 배송정보 등 개인정보가 유출됐다. 지난 3월 발란은 개인정보 유출 사태를 겪고 사과문과 조치 계획을 웹사이트에 올렸다. 그러나 바로 지난 4월 발란은 KISA에 다시 개인정보 유출 사실을 자진신고했다. 투자업계에서는 배우 김혜수를 앞세운 공격적인 마케팅을 이어가며 약 1000억원 규모의 시리즈 C 투자 유치를 진행 중이던 발란이 연이은 해킹 공격에 ‘꼼수 할인’ 등 논란이 가중되며 투자에 어려움을 겪을 것이라는 전망이 나온다.
보안 및 스타트업업계 관계자들은 스타트업이 다수 이용자가 이용하는 플랫폼을 운영하며 여러 소비자 개인정보를 확보해 활용하고 있음에도 정보보호 활동을 적극적으로 하지 못하는 상황이라고 입을 모았다. 스타트업의 경우 초기 투자금을 대부분 제품 및 서비스를 완성하기 위한 개발자 채용, 회사 인지도를 높이기 위한 마케팅 비용 확보 등에 사용하기 때문에 정보보호 정책 마련 및 인력 채용은 후순위로 밀린다는 것이다. 특히 대규모 투자금을 이미 확보한 일부 큰 스타트업을 제외하곤 정보보호최고책임자(CISO)나 개인정보보호최고책임자(CPO)가 없고 최고기술책임자(CTO)가 정보보호 역할도 모두 하고 있는 것으로 알려졌다.
스타트업업계 관계자는 “대부분의 스타트업은 법무팀조차 없어 외부 변호사나 법무법인에서 자문을 얻는 경우가 많은데, 과거 개인정보 유출 사건을 이미 한 차례 겪은 스타트업이나 관련 문제가 발생할 확률이 높은 일부 기업, 스타트업으로 시작했으나 현재는 ‘빅테크’로 분류되는 일부 기업을 제외하곤 대부분이 정보보호 책임자가 없다”라고 했다. 또 다른 스타트업업계 관계자는 “개인정보 데이터를 제대로 관리하는 직책을 신뢰도 확보 차원에서 반드시 가지고 있어야 하는 회사들이 있지만, 나중에 결국 문제가 생겼을 때 ‘욕받이’가 될 수 있기 때문에 관련 인력 채용에 있어 조심스러운 것도 사실이다”라고 했다.
보안업계 관계자는 “국내 스타트업의 경우 아직은 직접 정보보호 인력을 제대로 갖추거나 초기 비용 부담이 큰 보안 솔루션을 직접 도입하기보단, NHN클라우드나 아마존웹서비스(AWS) 등 이미 자체적으로 기본적인 보안이 된 업체를 활용해 그 안에서 자신의 서비스를 하려는 경우가 더 많다”라고 했다.
다만 스타트업업계에서도 정보보호에 대한 관심이 높아지면서 관련 솔루션을 도입하거나 관련 인력을 채용하려는 움직임도 이어지고 있다. 발란 관계자는 “CPO는 이미 사내에 있지만 최근 개인정보 유출 피해가 이어지면서 이를 해결하기 위해 CISO를 채용 중이며 이번 달 내로 입사할 것으로 보인다”라며 “KISA에서 부여하는 정보보호관리체계(ISMS)를 획득하기 위해 SK쉴더스와 협업하는 등 관련 노력을 계속 이어가고 있다”라고 했다. 밀리의서재 관계자는 “(2019년 개인정보 유출 사건 이후인) 2020년부터 CISO와 CPO 직책을 두고 있다”며 “이번에 비록 해킹 사건이 발생했지만 내부에는 정보보호 관련 가이드라인 및 직원 대상 정보보호 교육도 존재하며, 이를 강화할 방침이다”라고 했다.
네트워크 접근제어(NAC) 솔루션 개발업체 지니언스 관계자는 “최근 ISMS 인증제도 등과 관련해 금융이나 통신 등 고객정보를 많이 다루는 스타트업에서 보안 솔루션 관련 문의를 과거보다 많이 하고 있다”라고 했다. 데이터 보안업체 파수 관계자는 “바이오 스타트업이나 주요 도안을 회사에서 관리해야 하는 스타트업 등이 최근 보안 솔루션을 도입하려는 움직임을 계속 보이고 있다”라며 “회사도 이러한 스타트업을 대상으로 하는 보안 솔루션 패키지 프로그램을 내놓는 등 여러 시도를 하고 있다”라고 했다.