해킹 이어지는데 공짜 방화벽도 마다하는 중소기업

Cloudbric

 
국내 1세대 보안솔루션 업체 펜타시큐리티는 지난달부터 자사 웹 방화벽 서비스의 프로모션 수준을 높였다. 일단 모든 가입자는 3개월간 무료로 클라우드 기반의 웹 방화벽 서비스를 이용할 수 있다. 웹페이지 이용량이 월 4GB(기가바이트) 미만이면 3개월이 넘어도 돈을 받지 않는다. 한 달 이용량이 4GB 미만인 웹페이지가 국내에 얼마나 될까. 이 회사 한인수 이사는 “국내 웹페이지 열에 여덟, 아홉은 한 달 이용량이 1GB도 채 되지 않는 거로 알려져 있다”고 설명한다. 웬만큼 유입량이 많은 쇼핑몰 등이 아니고선 사실상 공짜로 방화벽을 구축할 수 있는 셈이다.
그럼 소규모 사업자의 가입 신청이 많이 몰렸을까. 오히려 반대다. 회사가 자사 홈페이지와 언론 기사를 통해 서비스를 홍보해도, 직원들이 지인을 통해 “이런 프로모션이 있으니 서비스에 가입하라”고 권해도 신청이 많지 않다.
한 이사는 지난 한 달 사이 사업체를 운영하는 지인 20여 명에게 “이 기회에 보안 솔루션을 깔라”고 권했다. 다들 “좋은 기회네요”라고 고개를 끄덕이면서도 아무도 직접 서비스에 가입하지 않았다. 한 이사는 “직접 회사를 찾아가 가입을 도와준 뒤에야 겨우 4곳의 업체가 보안 솔루션을 설치했다”고 말했다.
올해 들어 중소업체들이 연달아 대형 해킹 사고를 당하고 있다. 3월 숙박 앱 ‘여기어때’가 털려 99만 명의 개인 정보가 해커의 손에 넘어갔다. 최근 랜섬웨어 공격을 받은 웹호스팅 업체 ‘인터넷나야나’는 회사 지분을 담보로 데이터 몸값 13억원을 해커들에게 넘겼다.
중소업체들이 상대적으로 해킹 공격에 취약한 데는 몇 가지 이유가 있다. 우선 뼈아픈 교훈이 상대적으로 적었다. 대기업들은 이미 소 잃고 외양간을 여러번 고쳤다. 농협은행과 현대캐피탈, 옥션·넥슨 등의 해킹 사고가 터질 때마다 관련 업계가 화들짝 놀라 보안 투자를 강화했다.
보안 관련 규제가 강화된 것도 한몫 했다. 대기업은 울며 겨자먹기로라도 보안 관련 조직과 예산을 늘려왔다. 중소기업엔 이런 규제가 상대적으로 느슨하다.
한국인터넷진흥원 관계자는 “당장 직원 월급을 못 줄 정도로 어려운 회사가 많은데 보안 투자를 왜 안했느냐고 닥달할 수 없는 게 현실”이라고 말했다. 무엇보다 큰 이유는 보안 불감증이다. 펜타시큐리티의 사례에서 보듯 많은 소규모 사업자들은 ‘우리 웹페이지에 굳이 방화벽이 필요할까’라고 생각한다.
일부는 ‘필요하지만 지금 당장 설치할 여유는 없다’고도 여긴다. 본 서버와 백업 서버를 분리하지 않았던 ‘인터넷나야나’, 웹 방화벽도 없고 개인 정보 암호화도 하지 않았던 ‘여기어때’도 비슷한 생각이었을 것이다.
최근의 랜섬웨어 공격은 해킹 공격이 갈수록 고도화되고 있다는 것을 보여준다. 펜타시큐리티의 이석우 사장은 “과거엔 자기 실력을 과시하기 위해 해킹하는 이들이 많았다면 요즘은 큰 돈을 챙길 목적으로 해킹을 하는 사례가 대부분”이라며 “공격하기전 1, 2년 동안 목표의 취약점을 분석하고 바이러스를 곳곳에 심어두는 행태가 정보기관을 뺨친다”고 설명했다.
이 사장은 왜 소규모 사업자들에게 무료로 웹 방화벽을 사용할 수 있게 했을까. “해킹은 전염병 같은 거에요. 사회 전반의 보안 수준이 높아져야 막을 수 있죠. 도처가 좀비 PC라면 내 컴퓨터만 완벽히 보안한다고 해도 안전하지 않거든요.”
그는 “모든 사물이 인터넷으로 연결되는 초연결 사회에선 냉장고와 변기까지 좀비 PC가 될 수 있다”고 말했다. 각 개인이 ‘냉장고 보안’까지 챙겨야 할 마당이다. 그런데 기업 운영자들도 아직 보안에 눈을 뜨지 못했으니 갈길이 까마득하다.
 
[기사 원문 보기 – 중앙일보,  http://news.joins.com/article/21677263]