민간 분야 해킹 침해 사고가 해마다 증가한다. 특히 외부인 접근으로 인한 개인정보 유출 피해가 해를 거듭할수록 늘고 있다. 최근에는 스타트업 업계 개인정보 유출 사고가 연이어 들린다. 규모가 큰 기업과 비교해 사고가 부각되지 않았을 뿐 비일비재하다는 지적이다. 해킹과 외부인에 의한 사고를 막기 위해서는 개인정보 보호 기본 수칙을 충실히 지키고 기술 보완 등 과제를 선결해야 한다는 조언이다. 각 기업 책임을 강화하는 제도 개선도 필수다.

. / 아이클릭아트
. / 아이클릭아트
연이어 들리는 스타트업 發 개인정보 유출

7일 관련 업계에 따르면 온라인 패션 플랫폼 스타일쉐어는 4월 5일 외부인에 의해 자사 고객 개인정보가 다량 유출됐다. 유출된 정보는 회원 아이디와 이름, 생일, 배송지 정보 등이다. 회사 측은 이메일 주소와 전화번호는 암호화 처리해 유출되지 않았을 것이라고 주장했다.

스타일쉐어 관계자는 "외부인이 어떻게 내부에 접근했는지 파악하고 있다"며 "아마존웹서비스(AWS) 웹 방화벽(WAF)을 추가 도입해 허가받지 않은 외부 접근과 웹 공격을 사전에 차단할 수 있도록 보안을 강화하겠다"고 밝혔다.

2019년 9월에는 재능 공유 플랫폼 탈잉이 회원 개인정보 유출 사고를 겪었다. 스타일쉐어와 유사하게 외부인 접근이 문제였다. 회원 이름과 이메일, 생년월일, 성별뿐 아니라 환불 등을 진행한 일부 회원의 주민등록번호와 계좌번호까지 유출돼 심각성을 높였다.

업계 전문가들은 작은 규모 스타트업까지 포함하면 스타트업 전체 개인정보 유출 사고 건수는 더 증가할 거라고 입을 모은다. 스타트업 법률 지원을 담당하는 최재윤 법무법인 태일 변호사는 "언론에 알려진 사고는 규모가 크기에 밝혀졌을 뿐이다"라며 "사소한 개인정보 유출 사고까지 포함하면 관련 사고는 무수히 많다"고 말했다.

이처럼 스타트업에서 개인정보 유출 문제가 늘고 있는 이유는 개인정보 보호 경험이나 여력이 부족하기 때문으로 분석된다. 한 개인정보 보호 분야 전문가는 "스타트업은 운영 기간이 짧다 보니 개인정보 관리 노하우나 보안 장비, 서버 등 부족으로 이같은 사고가 발생한다"며 "일반 기업도 개인정보 보호 경험치를 쌓으면서 가이드를 잡아가기에 업력 부족에 따른 결과일 수 있다"고 설명했다.

"급할수록 돌아가라"…보안 원칙 집중해야

개인정보 유출 사고를 막기 위해서는 스타트업이 개인정보 보호 기본 원칙을 지키는 것이 중요하다. KISA 관계자는 "개인정보 보호와 관련해 법적 가이드라인은 제대로 제시된다"며 "이를 원칙적으로 잘 적용하면 유출 사고를 줄일 수 있다"고 조언했다.

그는 이어 "고객 개인정보를 암호화해 보안성을 높이는 경우도 많다"며 "이 경우 과거 기술보다는 최근 발표되거나 권장되는 기술로 암호화를 시도해 보안성을 높여야 한다"고 덧붙였다.

개인정보보호 책임자의 책임성도 높여야 한다. 최재윤 변호사는 "법으로 개인정보보호 책임자를 두도록 하고 있어 업체마다 명시적이나마 담당자가 있다"며 "다만 실제 업무를 담당하지 않는 경우가 많아 실질 책임자를 두고 책임성을 높이는 것이 필수다"고 강조했다.

개인정보 유출 책임을 강화해야 한다는 지적도 나온다. 비단 스타트업뿐 아니라 정보통신 업계 전반에 솜방망이 처벌이 내려지면서 보안성이 우선순위에서 밀려난다는 주장이다.

실제 방송통신위원회가 내놓은 ‘정보통신망 개인정보 유출 현황'에 따르면 2012년 8월부터 2019년 8월까지 7년간 정보통신서비스 사업자로부터 유출된 개인정보 건수는 7428만건에 달한다. 하지만 행정처분이 내려진 6234만건의 과태료는 총 81억8381만원으로 건당 평균 131원에 불과하다. 솜방망이 처벌이라는 지적이 나오는 이유다.

김승주 고려대 정보보호대학원 교수는 "우리나라 스타트업은 몸집을 먼저 키운 후 보안을 챙기려는 인식이 강하다"며 "외국은 개인정보 유출 등 사고가 발생하면 그 책임이 무거운만큼 보안을 먼저 챙긴다"고 설명했다. 그는 이어 "우리나라 제도도 기업 규모를 떠나 책임을 강하게 물어 사고를 방지하도록 유도할 필요가 있다"고 덧붙였다.

김평화 기자 peaceit@chosunbiz.com