‘소 잃고 외양간 고치는’ 스타트업 업계 기사의 사진
소설커머스 업체 위메프는 지난 14일 고객정보가 대량 유출되는 사고를 당했다. 포인트를 환불받은 일부 고객의 환불 신청 날짜와 은행이름, 계좌번호 등 환불내역 420건이 유출됐다. 이름이 노출된 고객도 25명이었다. 회사는 다음 날 “고객정보를 철저하게 관리 못 해 불편을 끼쳤다”는 사과 공지를 올렸다.

개인정보가 유출되는 보안사고가 되풀이되고 있다. 고도의 해킹 기술보다는 업체의 보안 불감증이 사고의 주원인이라는 지적이 나온다.

앞서 숙박 스타트업 위드이노베이션이 운영하는 O2O(온·오프라인 연계) 서비스 여기어때에서도 지난 3월 휴대전화 예약 정보 91만건과 이메일 회원정보 7만8000여건 등 개인정보 99만여건이 유출됐다. 해커들 공격에 마케팅센터 웹페이지의 빗장이 풀렸다.

지난 10일 웹호스팅 벤처기업 인터넷나야나까지 랜섬웨어에 당하면서 불안감은 더 커졌다. 대형 컴퓨터 153대가 악성코드에 감염되자 회사가 관리하던 기업·기관 등 3400여곳의 사이트가 마비됐다. 나흘 뒤 회사는 해커 요구대로 397.6비트코인(약 13억원의 가상화폐)을 건네고 서버 복구 프로그램을 받기로 했다. 급한 불은 껐지만 ‘앞으로 해커들이 국내 웹호스팅 업계를 집중해 노릴 것’이라는 비판을 받아야 했다.

중소 업체들 사이에서 보안사고가 잇따르는 건 보안 시스템 구축을 다른 업무보다 덜 중요하게 여기기 때문이라는 지적이 제기된다. 사업 확장이나 마케팅에 매진하는 ‘갈 길 바쁜’ 소규모 기업들이 보안을 크게 중요시하지 않는다는 것이다. 업계 관계자는 “다른 스타트업이 보안사고로 홍역을 치르는 모습을 보고서야 보안문제에 눈뜬 이들이 적잖다”고 설명했다.

스타트업 업계는 대책 마련에 속도를 내고 있다. 보안사고를 겪었던 위드이노베이션은 숙박 예약정보 등을 암호화해 관리하고 개인정보보호팀을 신설했다고 19일 밝혔다. 숙박 스타트업 야놀자와 배달 스타트업 우아한형제들(배달의민족 운영)은 각각 지난해 1월과 올해 2월 ISMS 인증을 마쳤다.

하지만 규모가 작은 스타트업이 정부의 권고나 대기업 수준에 맞는 보안 시스템을 갖추긴 어렵다는 하소연도 나온다. 보안사고 예방을 위해 정부가 마련한 정보보호관리체계(ISMS) 인증 기준을 맞추는 데 드는 시간과 비용도 부담스럽다는 것이다. 한 스타트업 관계자는 “신생 기업들에 ISMS 인증은 먼 얘기”라며 “지금처럼 일정 규모가 넘는 기업만 인증받도록 강제하기보다는 기업 규모에 맞게 인증 기준을 나눠 소규모 기업도 인증에 참여할 수 있도록 해야 한다”고 지적했다.

보안 사고가 잇따르면서 스타트업을 겨냥한 보안 서비스가 주목받기도 했다. 사이버 보안기업 스틸리언은 지난 4월 모바일 애플리케이션 보안 서비스 앱수트 라이트(Lite)를 내놓으며 “예산이 부족한 중소기업과 스타트업에 저비용으로 제품을 제공할 것”이라고 강조했다.

글=오주환 기자 johnny@kmib.co.kr, 그래픽=이은지 기자

트위터페이스북구글플러스