[생생경제] 신상털린 숙박앱 정보보호는 비용 아닌 투자

[생생인터뷰]

■ 방송 : YTN 라디오 FM 94.5 (15:10~16:00)
■ 진행 : 김우성 PD
■ 대담 : 황보성 KISA 한국인터넷진흥원 침해대응단장

◇ 김우성 PD(이하 김우성)> 앱의 전성시대라고 할 만큼 앱을 많이 다운받아 활용하시죠, O2O입니다. TV 광고에서도 쉽게 볼 만큼 오프라인과 온라인 연계하는 서비스가 많습니다. 배달시켜 먹는 것들, 숙박, 여러 가지가 있습니다. 그런데 최근 숙박 앱 중의 하나인 ‘여기어때’ 업체가 해킹당했습니다. 문제는 해당 업체뿐만 아니라 전체 O2O 스타트업, 이러한 앱을 만들어 서비스를 제공하는 업체에 대한 보안 수준에 대해 문제제기가 이어지고 있습니다. 과연 내 정보 안전할까, 이런 생각이 드는데요. 전문가와 함께 이야기를 나눠보겠습니다. 황보성 KISA 한국인터넷진흥원 침해대응단장 연결해서 이야기 나눠보겠습니다. 안녕하십니까?

◆ 황보성 KISA 한국인터넷진흥원 침해대응단장(이하 황보성) 네, 안녕하세요.

◇ 김우성> 이번 ‘여기어때’의 경우 고객들의 개인 정보가 꽤 많이 유출됐다고 알려졌는데요. 어떤 경위인지 설명 부탁드립니다.

◆ 황보성> 언론에 알려진 바와 같이 홈페이지나 앱 상에서 SQL 인젝션이라는 취약점을 통해 개인정보를 유출한 것으로 알려졌고요. 개인정보 유출 및 피해 규모는 약 91만 명의 320여 만큼 이용 정보가 유출된 것으로 조사되고 있습니다. 정확한 원인과 피해 현황은 현재 민관 합동 조사단에서 조사 중인 상황인데요. 조사 결과가 나와 보아야 확실하게 피해 규모와 상황을 알 수 있을 것 같습니다.

◇ 김우성> 아직 잘 모르시는 분들을 위해서 한 가지만 확인해보고 싶은데요. SQL 인젝션 공격이라는 것은 사실 저희들은 잘 모르는데요. 기본적인 보안 투자를 하면 쉽게 막을 수 있는 거라는 말도 있는데요, 맞나요?

◆ 황보성> 네, 맞습니다. SQL 인젝션의 경우 새롭게 나타난 공격 방식은 아니고요. 예전부터 있던 공격 방식입니다.

◇ 김우성> 숙박앱이다 보니까 민감한 정보라 지금 어려워하고 있는데요. 과거에도 카드사나 금융사의 대규모 유출 사태가 있지 않았습니까? 이제 그런 것을 겪었으니 어느 정도 막고 있지 않았을까 반문하시는 분들도 있고요. 지금 한참 스타트업으로 뜨고 있는 O2O, 숙박앱이나 이런 것들에 대한 보안 관리도 있지 않나 생각하시는데요, 현황이 어떤가요?

◆ 황보성> 보안 관리 관점에서 본다면 어느 정도 규모가 있는 업체에 대해선 ISMS라고 해서 정보보호 관리체계라고 하는데요, 이것이 의무화되어 있지만 소규모 업체에 대해서는 의무화 되어 있지는 않습니다. 하지만 개인 정보를 수집하고 이용하고 활용하는 업체에 대해서는 규모를 떠나서 이용자의 개인 정보를 보호하기 위한 보호 조치를 준수해야 하고요. 이 부분의 위반 여부에 대해서도 민관 합동 조사단을 통해 조사 중입니다.

◇ 김우성> 지금 ISMS라는 정보보호 관리 체계와 같은 대책은 있는데 가입이 안 된 업체도 있다는 얘기이군요.

◆ 황보성> 맞습니다. 큰 규모의 업체에 대해서는 의무화되어 있는데, 소규모 업체에 대해서도 규제성 성격이 있기 때문에 자율적으로 받도록 하고 있습니다.

◇ 김우성> 하나의 진입 장벽으로 여길 수도 있는데요. 부동산 앱 관련해서는 지적이 없는 것을 보니까 그런 앱은 특이한 점이, 개인정보를 요청하지 않는다고 하더라고요.

◆ 황보성> 그런 앱도 있을 수 있죠. 만약 개인정보를 요구하는 앱들이 있으면 말씀드린 것처럼 개인정보를 활용하는, 수집하는 업체는 규모에 상관없이 개인정보를 보호하기 위한 보호 조치를 일정 정도 수준에 갖춰야 하는 것이 현실이고요. 그것도 규제화 된 상황입니다.

◇ 김우성> 규제와 자격은 있는데 지금 업체의 규모, 스타트업이라는 육성의 특성상의 부분이 있는 것 같습니다. 사실 많은 분들이 지금까지 인터뷰 내용을 듣다보면, 막을 수 있는데 못 막은 것 아니냐, 이런 비난을 안 할 수는 없을 것 같고요. 작은 회사의 형편은 이해가 되기도 하고. 이렇게 상황이 어렵고 복잡한 이유, 뭘까요?

◆ 황보성> 일단 저희 원에서 조사한 16년도 정보보호 실태 조사가 있는데요. 10명 미만의 회사, 소규모 회사죠. 대부분 정보 보호 조직 자체가 없는 것,

◇ 김우성> 이것을 담당하는 직원이 회사에 없다는 거네요.

◆ 황보성> 네, 맞습니다. 규모가 있는 회사라고 해도 정보보호 담당 인력과 투자가 규모 대비 미흡한 것도 사실입니다. 그래서 O2O 서비스처럼 처음엔 소규모로 시작했지만 특성상 개인 정보가 많은 회사를 노리는 공격이 앞으로도 점점 많아질 거로 예상되는데요. 말씀드린 대로 개인 정보 수집, 활용하고 있다면 최소한의 안전 조치는 자체적으로 수행해야 할 것 같습니다.

◇ 김우성> 해커들이 O2O, 특히 방금 얘기한 숙박앱의 경우에는 굉장히 민감한 정보인데요. 이런 것들을 악용할까 걱정입니다. 말씀하신 것처럼 작은 규모에서 아이디어로 시작한 곳들은 여력이 없다, 손 놓고 있고요. 정작 스타트업은 정부가 지금 미래 산업이라고 키우는 상황인데, 엇박자 같습니다. 개인정보 보호받지 못하면 아무리 좋은 앱도 위험할 텐데요. 어떤 대책들이 필요할까요?

◆ 황보성> 가장 중요한 것은, 각 업체들이 정보 보호에 대한 노력, 관심이 비용이 아닌 투자라는 인식 전환이 필요할 것 같고요. 그리고 취약한 보안 때문에 해킹 당해서 개인 정보가 유출되면 기업의 신뢰도 추락할 뿐만 아니라 고객 이탈도 일어날 수 있고요. 최근에는 개인 정보 관련해서 여러 가지 법률에서 규제 강하게 하고 있고, 사고 발생 시 민사 소송도 일어날 수 있기에 정보 보호에 대한 투자를 지속적으로 늘려야 하고요. 이를 위해 스타트업의 경우 서비스 기획이나 개발 단계에서 보안에 대한 검토가 필요할 것 같고요. 만약 또 이미 운영 중인 홈페이지나 앱 서비스들이 있다면 장기적으로 취약점이 있는지 없는지에 대해서 점검해야 할 것 같고요. 그래서 보안 위협을 최소화하는 노력이 필요할 것 같습니다. ISMS라고 대규모 회사에는 의무화되어 있지만 작은 중소기업 업체에는 자율적으로 받을 수 있는데요, 이러한 것도 도입하는 것도 보안 위협을 줄이는데 큰 도움이 될 것으로 생각합니다.

◇ 김우성> 이런 부분은 돈 문제도 걸려 있는데요. 스타트업은 직업이 9명, 4명이라고 하면 힘들 텐데요. 정부가 지원해야 할 부분인가요, 어떻게 보세요?

◆ 황보성> 그런 부분들이 다양하게 중소기업의 정보 보안, 소규모 정보 보안을 위해서 지원하는 체계는 많이 있습니다. 그런 것들을 적극적으로 활용해 볼 수 있을 텐데요. 대표적으로 한국인터넷진흥원에서도 중소기업을 대상으로 홈페이지 취약점 점검을 해주거나 무료 보안 도구를 배포하거나 디도스 공격을 받는 기업에 대해 사이버 대피소에 입주시켜주는 등 여러 가지 무료 서비스를 제공하고 있습니다. 이를 적극적으로 활용해보시는 것도 큰 도움이 될 것으로 생각합니다.

◇ 김우성> 경제 프로 듣고 계시는 스타트업 준비하고 계신 분들 잘 활용해 보시고요. 지금 한국인터넷 진흥원 황보성 침해대응단장과 인터뷰하고 있는데요. 일단 유출됐습니다, 유출 되면 후속 대응이 더 중요할 것 같거든요. 말씀드린 것처럼 ‘여기어때’ 숙박앱의 경우 문자까지 발송해 문제가 되고 있는데요. 추가 피해를 막기 위해 업체, 피해자, 어떤 대응을 해야 할까요?

◆ 황보성> 일단 개인정보 유출을 확인한 개인의 경우 금융 거래 및 보이스 피싱 등에 대한 각별한 주의가 필요하고요. 그리고 개인정보 유출로 인한 2차 피해를 최소화하기 위해서는 아마 동일한 아이디, 패스워드를 이용하는 다른 사이트가 있을 수 있습니다. 그러한 사이트의 경우 찾아가셔서 아이디, 패스워드를 다른 것으로 변경해주는 조치가 필요할 것 같고요. 그리고 개인정보 유출된 업체의 경우에는 이를 이용자에게 적극적으로 알려주는 노력이 필요할 것 같고요. 그리고 해커가 공격 루트로 악용한 취약점이 있을 겁니다. 우선 차단하는 것이 중요하고요. 그 다음으로는 기업의 내부, 외부의 정보 보호 수준을 전체적으로 진단해서 부족한 부분이 뭔지 빨리 캐치하고 이에 대한 조치가 필요할 거로 생각됩니다.

◇ 김우성> 빨리 알리고 취약점을 막는다는 부분, 역시 한국인터넷진흥원 도움을 받을 수 있는 부분인가요?

◆ 황보성> 맞습니다. 민관 합동 조사단이라는 역할이 잘못한 것을 찾는 역할도 하지만 어떻게 하면 되는지에 대해서도 얘기를 해줄 수 있는 상황이라 충분히 가능할 거로 생각합니다.

◇ 김우성> 오늘 말씀 감사드립니다.

◆ 황보성> 감사합니다.

◇ 김우성> 지금까지 황보성 KISA 한국인터넷진흥원 침해대응단장이었습니다.

▶뉴스 덕후들의 YTN페이스북

▶"대한민국을 구할 대통령을 찾아라" 2017 대선! 안드로메다