광고비 1000분의 1만 보안에 썼어도 ... 여기어때가 경종 울리는 우리 사회 보안불감증

“'여기어때' 얘기를 안 꺼내면 안 되나요. 거기만 그런 건 아닌데 너무 몰매를 맞아서….”

3월 해킹 사고를 당한 모바일 숙박예약 서비스 ‘여기어때’는 보안업계에선 동정표를 받는 모양새였다. 전 세계를 강타한 랜섬웨어(데이터를 인질로 잡고 돈을 요구하는 악성코드) 공격을 계기로 국내 사이버 보안이 어느 수준인지 점검해보려 업계 전문가들을 접촉하니 분위기가 비슷했다. 전문가들은 한결같이 “여기어때만 그런 게 아니다. 운이 없어 거기만 털린 것”이라고 입을 모았다.

최근 정부가 발표한 여기어때 사태에 대한 민관합동조사 결과를 놓고 보면 단순히 “운이 없다”고 말할 정도는 아니다. 해커들이 여기어때 홈페이지를 공격한 수법은 그리 고도화된 수준은 아니란 게 업계의 분석이다. 공격 수법보다 더욱 놀라운 건 보안 시스템이었다. 여기어때는 가장 기본적인 보안 시스템도 갖추지 않았다. 외부의 공격을 거르는 웹 방화벽이 튼튼하지 않은 게 아니라 아예 없었다. 개인 정보를 암호화해놓지 않아 홈페이지에 침입만 하면 회원들의 정보를 ‘보쌈 ’해갈 수 있었다.

이렇게 200만 회원 중 99만 명의 개인 정보가 해커의 손에 넘어갔다. 해커는 이 중 4000여명에게 “OO일 OO 업소에서 즐거우셨냐”는 문자를 보냈다. 보안업계 관계자는 “보안 시스템에는 거의 아무 신경을 안 쓴 거로 보인다”고 말했다.

이런 해킹 공격을 피하기 위해선 보안 시스템에 얼마나 투자를 해야 할까. 보안업체 세 곳에 문의한 결과 “적게는 1500만원, 많아도 3000만원”이라는 답이 돌아왔다. 여기어때가 스타트업이어서, 돈이 없어 보안 투자를 못 했을까. 여기어때를 운영하는 위드이노베이션이 그동안 유치한 투자 금액은 330억원에 달한다. 유명 연예인을 모델로, 지난해에만 200억원이 넘는 돈을 광고비로 썼다. 광고비에 쓴 돈의 1000분의 1만 보안에 투자했어도 개인 정보 유출사고를 막을 수 있었던 셈이다.

그런데도 “여기어때는 운이 없었다”는 이야기가 나오는 이유는 국내 스타트업이나 중소기업들의 보안 수준이 다 비슷비슷해서다. 한국인터넷진흥원과 미래창조과학부에 따르면 지난해 50곳 중소기업 제조공장 중 정보보호 전담 부서가 있는 회사는 열에 둘 뿐이었다. 9000곳의 기업 중 전체 정보기술(IT) 예산의 5% 이상을 정보 보호에 쓰는 곳도 1.1%에 불과했다. 이스트시큐리티 김진욱 팀장은 “중소기업도 이런 수준인데 맨손으로 회사를 시작한 스타트업들은 오죽하겠느냐”고 말했다.

작은 기업만 사이버 방패 구축에 소홀한 게 아니다. 민감한 환자 정보를 대량으로 취급하는 병원들이 대표적으로 정보보호에 취약한 경우가 많다는 게 업계의 지적이다. 행정안전부는 최근 건강검진기관 및 한방ㆍ치과병원을 대상으로 개인정보 보호실태 점검에 나섰다. 대형 종합병원이 아닌 이들 기관이 점검을 받은 것은 처음이고, 이조차 점검 대상으로 꼽힌 25개소 만이 대상이다.

임종인 고려대 정보보호대학원 교수는 “동네 병원들은 특히 노후된 컴퓨터 시스템을 사용하는 경우가 많고, 실제로 병원의 개인 정보가 해킹당해 마케팅에 활용되는 경우도 많은 것으로 의료계에 알려져 있다”며 “이들 병원의 경우 자신의 전산망이 공격 대상이 될 수 있을 거란 생각 자체가 없는 게 문제”라고 말했다.

방대한 개인 정보를 보유한 대기업이나 금융 회사가 상대적으로 사이버 보안에 강한 것은 큰 사고에서 배운 교훈 덕이다. 옥션과 현대캐피탈ㆍ농협ㆍ넥슨 등이 대규모 해킹 사태를 겪으며 관련 업계가 ‘소잃고 외양간 고치기’ 식으로 대대적인 보안 시스템 점검에 나섰다. 이런 보안 정신이 사회 전반에 더 확산돼야 한다.
이번 랜섬웨어 사태에서 보듯, 공격은 진화하고 한번 뚫린 전산망은 사회를 마비시킨다.

임미진 산업부 기자 mijin@joongang.co.kr