E프라이버시 인증 있으나마나… 업체들 낮은 보안의식 높여야

숙박 O2O(온·오프라인 연계 사업) 업체 ‘여기어때’ 해킹 사건의 후폭풍이 거세다. 현재 유출된 것으로 확인된 개인 정보만 4000여 건에 달하는데 이 수는 앞으로 더 늘어날 가능성이 높다. 숙박, 배송 등의 서비스를 쉽게 신청할 수 있다는 장점을 앞세워 급성장한 O2O 업체의 보안 문제가 수면에 떠오르는 분위기다.

월 사용자 200만 명을 자랑해 온 여기어때 측은 업계 최초로 E프라이버시 인증마크를 획득하는 등 자발적으로 보안을 강화해 온 업체로 알려져 왔다. 그런데 여기어때가 당한 해킹 수법이 비교적 대비하기 쉬운 ‘SQL인젝션’ 방식이어서 논란이 더 커졌다.

한 보안업계 관계자는 “보안 관련 패치와 업데이트 등을 통해 대부분 막을 수 있는 해킹 수법으로 국내 O2O 업체의 보안 현주소가 고스란히 드러난 것”이라고 꼬집었다. 한국인터넷진흥원(KISA) 관계자는 “E프라이버시 인증마크는 법이 규정하는 최소한의 요건을 준수하는지를 볼 뿐, 정부 기관이 심사하는 공식 인증 기준에 비해서는 보안 수준이 한참 떨어진다”고 지적했다. 탄탄한 보안을 자랑했지만 실제로는 허울에 불과했다는 것이다.

현재 국내 보안 관련 인증 중 보안성이 가장 높은 것은 미래창조과학부와 KISA가 인증하는 정보보호관리체계(ISMS)와 개인정보보호 관리체계(PIMS)다. ISMS는 정보통신서비스 기준으로 연매출액 1000억 원 이상일 경우 의무적으로 가입해야 하지만 시장 형성기인 국내 O2O 업체 상당수는 해당 사항이 없다. 이 분야에서 이를 받은 업체는 야놀자와 배달의민족뿐이다. 자발적으로 취득하는 PIMS 인증을 받은 O2O 업체는 없다.

국내 스타트업들의 보안에 대한 낮은 인식 수준은 이참에 개선할 필요가 있다. 스타트업 지원 기관인 서울시 아스피린센터 관계자는 “대부분의 O2O 사업자들이 서버를 구축하는 데 비용을 쓴 뒤 바로 마케팅비부터 늘리는 경향이 있다“며 “치열한 시장경쟁 때문인데, 이번 사건을 통해 보안 없이는 사업 기반이 유지되기 힘들다는 점을 알게 됐을 것이라고 생각한다”고 말했다.

임현석·산업부 lhs@donga.com