여기어때 해킹 사태에 대해 보안에 취약한 스타트업 생태계가 근본 원인이라는 지적이 나온다.
복수의 스타트업 보육기관 관계자는 “마케팅 전략을 소개하는 교육에는 자리가 빼곡 차지만 보안 교육만 하면 참석률이 뚝 떨어진다”고 입을 모은다. 통계가 잡히진 않았지만 일정 규모로 성장한 뒤에도 최고정보보호책임자(CSO), 최고정보담당자(CIO)를 둔 곳은 드물다. 개발자 출신 최고기술책임자(CTO)가 보안을 담당한다.
스타트업 대부분이 보안에 취약하다는 얘기가 공공연한 사실로 받아들여지고 있다. 낮은 보안 의식은 회사 규모가 커져도 그에 비례해서 올라가지 않는다.
그렇다고 스타트업에만 책임을 떠밀 순 없다. 돈이나 정보를 빼앗으려는 해커 입장에서 스타트업은 좋은 먹잇감이 아니다. 이 때문에 해커에 표적이 된 사례는 손에 꼽을 정도다. 한 자릿수 생존율의 스타트업이 보안에까지 눈을 돌리지 못하는 이유다. 먹고살 걱정에 시달려야 하는 열악한 생존 여건도 원인이다.
그러나 방심은 금물이다. 온·오프라인연계(O2O)나 모바일 기반 사업을 하는 스타트업이 많다 보니 수익 규모에 비해 많은 정보를 취급한다. 한 번 뚫리면 대형 참사로 이어질 수 있다. 스타트업 맞춤형 지원책이 필요하다는 주장이 나온다.
보육기관의 보안 교육부터 손질해야 한다. 지금은 보안 전문가를 섭외, 특강하는 방식으로 이뤄진다. 문과 출신의 일부 대표는 이해하기 어렵다는 하소연을 쏟아낸다. 수준별 실무 중심 수업이 요구된다. 현재 HTTPS조차 깔지 않은 스타트업이 태반이다.
보안이라고 하면 돈이 많이 들어간다는 막연한 생각이 보안 기본 조치조차 생략하게 한 것이다. 만병통치약은 아니지만 HTTPS 접속 환경을 구축하면 웬만한 해킹은 막아낼 수 있다. 몇만원대로 설치가 가능하다. 별도의 개발자 없이 누구나 적용할 수 있다.
황보성 한국인터넷진흥원 침해대응단장은 “스타트업을 포함해 중소업체가 보안에 투자할 수 있는 여건을 만들어야 한다”면서 “보안을 강화하면 이에 상응하는 지원책을 주는 정책 발굴이 시급하다”고 말했다.
최종희기자 choijh@etnews.com