“다 제 책임이라고 직원들 다독였어요.”
모든 게 처음이었다. '다크웹'이라는 말도, '한국인터넷진흥원(KISA)'이라는 곳도 처음 접했다. 고객정보가 유출됐다는 소식을 들은 뒤부터였다.
노대영 집꾸미기 대표는 최근 침해사고를 겪어 사태를 수습해야 했다. 집꾸미기는 2015년 서비스를 시작한 스타트업이다. 직원은 50명, 회원수는 200만명에 달한다. 인테리어 플랫폼을 운영하며 가구와 소품 정보 등을 제공한다.
지난 11일 KISA로부터 고객정보가 유출된 것 같다는 소식을 들었다. KISA는 즉시 신고 접수와 기술 지원을 권고했지만 내부에서 먼저 정황을 파악해야 했다. 사흘간 로그 검토 등 해킹 가능성을 놓고 분석을 진행했다. 이후 KISA에 신고를 접수했다.
같은 날 고객에게는 홈페이지를 통해 침해 가능성을 알렸다. 이메일로 사과문을 보내는 과정에서 일부 이메일이 단체 수신으로 처리돼 또다시 곤욕을 치르기도 했다. 집꾸미기에서 유출된 개인정보는 다른 업체에서 유출된 개인정보와 무더기로 묶여 다크웹 장터에 등록됐다.
집꾸미기는 지난 19일부터 KISA와 협조해 개인정보 유출에 대한 정밀 분석을 실시했다. 유출된 개인정보는 이름, 이메일, 닉네임, 전화번호 등이었다. 공격자는 집꾸미기 서버 접근 키를 탈취한 후 지난 3월 네덜란드에서 명령줄인터페이스(CLI)를 통해 접근, 가상 PC를 생성한 것으로 조사됐다. 이 가상 PC를 통해 집꾸미기 회원 개인정보 데이터베이스(DB)에 침투했다.
노 대표는 이번 사고를 계기로 침해사고에 대한 근본적인 해결책을 마련하고 싶었다. 그러나 완벽한 보안은 없다는 사실을 배웠다. 대신 문턱을 높이기로 했다. 넘어야 할 문턱이 높을수록 공격자는 이보다 쉬운 곳으로 발길을 돌린다. 보안이 100% 보장되지 않더라도 기업이 보안을 도입해야 하는 이유다.
이번에 보완한 기술 세부사항은 우회 가능성이 있어 외부에 공개하지 않는다. 큰 틀에서 상시 DB 모니터링 프로세스를 구축하고 클라우드 트레일 추적 기능을 도입할 예정이다. 서버 루트 계정에 대한 관리를 강화하고 서버 로그를 보강한다. 이용자 비밀번호 강도를 높이고 개인정보를 항목별로 분리 보관하는 방안도 도입한다. 스타트업 자원으로 동원할 수 있는 모든 보안 조치를 고려한다.
노 대표는 집꾸미기가 침해사고를 겪은 후 단단해졌다고 말했다. 창업 이후 나름대로 최선을 다했지만 사고를 막을 순 없었다. 앞으로 비슷한 사고를 겪지 않기 위해 KISA와 여러 차례 회의를 갖고 보안을 정비했다. 고객에게 침해사고 이후 상황을 수시로 공유하며 소통도 늘렸다. 침해사고 이후 직원들이 책임지겠다고 나섰다. 내부적으로도 더욱 단단해졌다.
노 대표는 “집꾸미기와 같은 스타트업은 보안 인력을 별도로 채용하긴 어려운 상황이지만 이번 경험을 발판으로 보안을 정비할 수 있었다”면서 “앞으로도 고객 신뢰를 얻기 위해 최선을 다하겠다”고 말했다.
오다인기자 ohdain@etnews.com