인터파크 해킹 '예고된 참사'..기업 보안예산 '쥐꼬리탓'

기업 80% 보안예산 아예 없어.."안일한 인식이 문제"

지난 26일 한 인터파크 가입자의 개인 정보 유출 피해 확인 결과. © News1

(서울=뉴스1) 이수호 기자 = 1000만명이 넘는 고객정보가 유출된 '인터파크 해킹사건'은 보안투자에 인색한 기업들이 빚어낸 '예고된 참사'라는 지적이다. 인터파크 직원 PC로 감염된 악성코드가 회사 내부시스템에 침투하기까지 몰랐다는 것은 그만큼 정보시스템 안전망이 허술했다는 것을 방증한다.

보안전문가들은 비단 인터파크에 국한된 문제가 아니라고 입을 모은다. 2011년 네이트와 넥슨에서 고객정보 유출 사건이 발생했고, 2012년에는 KT에서 고객정보 유출이 일어났다. 이후 2014년 농협과 국민카드에서 대규모 고객정보가 유출되는 바람에 전국이 발칵 뒤집어지기도 했다.

이처럼 기업의 고객정보 유출사건이 끊이질 않은 이유는 기업들이 보안에 대해 안일하게 인식하고 있기 때문이라는 것. 일련의 모든 고객정보 유출사건은 직원들의 개인PC 감염에서 비롯됐다. 무심코 열어본 이메일에 의해 기업 내부정보시스템이 악성코드에 감염됐지만 이 사실을 제때 감지한 곳은 한군데도 없었다. 그만큼 전산시스템 안전망이 허술하다는 얘기다.

전길수 한국인터넷진흥원(KISA) 사이버침해대응본부장은 "우리나라 기업 대부분이 정보보호를 투자가 아니라 비용으로 인식하고 있다"면서 "우리나라는 보안을 공적 책임으로 여기다보니 시장경쟁력이 없다"고 지적했다.

실제로 KISA가 자체 조사한 결과에 따르면, 지난해 국내 기업들 가운데 전체 IT예산에서 보안투자비가 5%를 넘는 곳은 1%에 불과한 것으로 조사됐다. 80% 이상은 정보보호 예산이 아예 없다. 정보보호 조직을 별도로 운영하고 있는 기업도 10% 미만이다.

이처럼 기업들이 보안투자에 등한시하는 사이, 해킹수법은 날로 지능화되고 있다. 시만텍코리아 관계자는 "랜섬웨어가 사이버 공격자들의 새로운 골드러시가 되면서 비즈니스 모델로 진화하고 있다"며 "최근에는 국내 기업들에게 돈을 뜯어내기 위해 한글로 된 협박사이트를 별도로 준비하는 등 공격기법이 갈수록 다양해지고 있다"고 강조했다.

처벌수위가 낮은 것도 기업들의 보안투자 기피를 부추기고 있다. 수천만명에 달하는 고객정보가 새나갔는데도 고작 몇억원 내외 혹은 몇백만원의 과징금을 내는 수준에서 마무리된다. 현 정보통신망법에는 개인정보 유출시 매출액 3% 이내 혹은 4억원 이하의 과징금이 부과된다.

지난 2014년 개인정보를 유출한 카드사는 수천만원의 벌금만 물었다. 오는 9월부터 개인정보 유출시 징벌적 손해배상제가 시행되지만 과징금 액수는 여전히 수억원 수준이어서 '솜방망이 처벌'이라는 지적을 낳고 있다.

상황이 이렇다보니 국내 보안시장은 성장은커녕 오히려 쪼그라들고 있다. 특히 토종 보안업체들은 거대한 외산보안업체에 밀려 갈수록 경쟁력을 잃어가고 있다. 기업들의 인색한 보안투자로 판로가 확대되지 않으니 정부가 자금까지 지원하며 토종보안업체를 육성하려고 나서도 공염불이 되고 있다.

지난해 국내 정보보안 시장규모는 2조원으로 전년보다 10%가량 성장했지만 이는 대부분 외산보안업체들의 매출에 의한 것이라는 게 보안업계 관계자들의 설명이다. SK인포섹과 안랩 등 국내 보안업체 10여곳의 매출을 합쳐도 1조원이 안된다. 이는 국내 대형 게임사 1곳의 매출보다 못한 실적이다.

보안업계 한 관계자는 "인터파크는 해킹을 당하고도 두달이나 모르고 지냈다"면서 "해커들이 돈을 요구할 때까지 해킹 사실을 인지하지 못했다는 것은 매우 심각한 문제"라고 지적했다. 해커들 입장에선 지속적으로 공격할 수 있는 먹잇감인 셈이다. 이 관계자는 이어 "기업이 조금만 관심을 기울이고 투자하면 막을 수 있는 사건인데 번번이 같은 사건이 되풀이되고 있다"면서 "이제는 기업들이 인식을 바꿔야 할 때"라고 강조했다.

lsh5998688@

<저작권자 © 뉴스1코리아, 무단전재 및 재배포 금지>