[스타트업 노리는 해커①] 생태계 허점 노리는 '검은 손'

등록 2023.05.05 09:00:00수정 2023.05.09 09:07:31

지난 3년 중소기업 사이버침해 신고 2000여건

밀리의 서재·발란·여기어때 사례로 업계 경각심

[서울=뉴시스]

【서울=뉴시스】송혜리 기자 = #전자책 서비스 밀리의 서재는 지난해 6월 사이버 공격을 받아 1만 건이 넘는 회원 정보가 유출됐다. 밀리의 서재는 4년 전인 2019년 6월에도 회원 11만7800여명의 개인정보가 유출되는 사고를 당한 바 있다.

#온라인 명품 플랫폼 발란은 지난해 3월과 4월 연이은 해킹 공격을 받아 약 162만건의 고객 이름, 주소, 휴대전화번호 등 개인정보가 유출됐다. 또 소셜로그인 기능 오류로 이용자 식별정보가 중복됨에 따라 다른 이용자에게 개인정보가 노출되는 사고까지 발생했다.

#온라인 여행 플랫폼 여기어때의 경우, 지난 2017년 사이버 공격을 당해 예약정보 324만건, 7만8000명 상당의 회원정보가 유출되는 사고를 당했다. 당시 여기어때를 공격한 해커는 5000명에 달하는 정보 유출 피해자들에게 협박성 음란문자를 전송하거나 페이스북에 유출한 개인정보를 올리기도 했다.

스타트업들이 해커들의 표적이 되고 있다. 미래 성장 가치 때문에 투자를 많이 받아도 이들 자금이 서비스 개발과 이용자 마케팅에 쏠리고 보안 조직과 인력에 대한 투자는 부실할 수 밖에 없는 구조적 허점 탓이다.

밀리의 서재, 여기어때처럼 이미 인지도가 상당한 유니콘 기업들만 노리는 게 아니다.

지난해 1월 경기도 수원 소재에 있는 골프 관련 중소 벤처기업의 경우, 랜섬웨어 감염으로 골프장 예약 시스템이 마비되는 등 크고 작은 스타트업들이 연이어 사이버 공격을 당하고 있다.

각종 통계도 이같은 상황을 뒷받침 한다. 지난 2019년 이후 지난해 8월까지 한국인터넷진흥원(KISA)에 사이버 침해 피해를 신고한 738개 기업 중 88%인 655곳이 중소기업인 것으로 나타났다. 게다가 2020년 이후 지난 3년 동안 중소기업들이 KISA에 신고한 사이버 침해는 2142건에 달한다.

기본적인 방화벽 설정도 부실…고전적인 해킹에도 속수무책

해커들이 중소·스타트업을 노리는 궁극적인 이유는 '돈'이 되기 때문이다. 스타트업들의 사업 규모에 비해 이들 플랫폼들의 이용자 데이터 양이 상당하다. 쉽게 '돈 되는 정보'가 많다는 얘기다. 반면 보안은 상대적으로 허술하다.

과학기술정보통신부가 발간한 2021년 정보보호 실태조사 보고서에 따르면, 중소 스타트업(10~49명) 규모 사업체에서 정보보호 정책을 수립하는 사업자 비율은 10~49명 규모에선 48.7%로, 절반 가까운 기업들이 대응 매뉴얼조차 없는 것으로 나타났다. IT인력 중 보안담당 인력을 배정한 곳도 47.3%에 불과했다.

상황이 이렇다 보니 웹사이트 보안을 위해 기본적인 방화벽을 설정하지 않거나, 비정상적인 행위에 대한 검증 절차를 마련하지 않은 채로 사업을 진행하는 경우도 허다하다. 고전적인 해킹 기법인 ▲SQL인젝션과 ▲알려진 취약점 악용 등의 공격 수법에도 속수무책으로 당한다.

일례로 밀리의 서재와 여기어때는 SQL인젝션 공격에 당했다. 해당 공격은 웹사이트 취약점을 찾아, 데이터베이스(DB)를 관리하는 SQL 명령어에 악성코드를 삽입하는 해킹 방법 중 하나다.

밀리의 서재 건을 조사했던 개인정보위는 밀리의 서재가 홈페이지 서비스 개발을 위해 데이터베이스(DB)와 연동된 테스트 서버를 운영하면서 테스트 서버의 웹 방화벽 설정이나, IP주소 제약 등 접근 통제 조치를 하지 않아 SQL인젝션 공격을 정상적으로 탐지, 차단하지 못했다고 설명했다.

여기어때의 경우, 홈페이지에 비정상적인 DB질의에 대한 검증절차가 없어, SQL 인젝션 공격에 취약한 웹페이지가 존재했다. 또한 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격)을 탐지·차단하는 체계가 없었던 것으로 알려졌다.

규모별 정보보호 전담조직 운영(사진=2021년 정보보호 실태조사) *재판매 및 DB 금지

내부 직원 보안의식 부재로 개인정보 유출…보안 투자는 성장보다 후순위

외부 해킹 공격에 의한 정보 유출건 뿐만 아니라 고객 개인정보 처리 과정이 허술해서 정보가 노출된 사례도 적지 않다.

건강관리플랫폼 다노는 고객센터 문의·답변 파일(엑셀)과 이용자가 요청한 일대일 운동상담 내역 파일(엑셀)을 별도 분리하는 체계 등을 마련하지 않고 같은 폴더에 저장했다. 이에 따라 고객센터 상담직원이 일대일 운동상담 내역을 요청한 이용자에게 고객센터 문의·답변 파일을 전자우편으로 잘못 첨부·발송한 탓에 일부 회원들의 개인정보가 유출됐다.

지난 1월엔 명함관리앱 리멤버에서 365명의 개인정보가 유출되는 사고가 발생했다. 해당 사고는 고소득자 대상 프리미엄 서비스인 '리멤버 블랙'의 가입 방법을 문의한 365명에게 리멤버 측에서 단체 이메일을 발송하는 과정에서 발생했다.

한 보안 전문가는 "스타트업에서 개인정보 유출 사고가 끊이지 않고, 해커의 표적이 되는 것은 보안을 성장보다 후 순위에 두기 때문"이라며 "여력이 있을 때 보안에 투자하는 것이 아니라 보안은 사업을 위한 선행투자로 인식돼야 한다"고 지적했다.

◎공감언론 뉴시스 [email protected]