[알파경제=이준현 기자] 국내 대표 온라인 서점 예스24가 랜섬웨어 공격으로 나흘째 서비스 마비 상태에 빠진 가운데, 한국 기업들의 보안 투자 소홀과 안일한 위기 대응 문제가 다시 한번 도마에 올랐다.

최근 2개월간 SK텔레콤 유심 해킹에 이어 연이어 발생하는 대형 해킹 사고들은 단순한 개별 기업의 불운을 넘어, 보안을 '비용'으로 치부하는 기업 문화와 미국 대비 절반 수준에 그치는 투자 규모의 한계를 보여주고 있다.

지난 9일 새벽 4시경 발생한 예스24 랜섬웨어 공격은 12일 현재까지도 복구되지 않고 있다.

회원 2000만명을 보유한 국내 최대 온라인 서점이 해커들의 금전 요구에 속수무책으로 무너진 모습은 충격적이다.

◇ 예스24, '점검'에서 '랜섬웨어'로 입장 번복

더욱 문제가 되는 것은 예스24의 초기 대응이다.

해킹 발생 직후 이용자들에게는 단순한 '시스템 점검'이라고만 알렸을 뿐, 36시간이 지나서야 뒤늦게 랜섬웨어 공격 사실을 인정했다.

예스24의 보안 실패는 이번이 처음이 아니다. 2023년에도 약 143만 권에 달하는 전자책의 복호화 키가 해커에게 탈취당하는 사건이 발생했다.

당시 16세 해커가 예스24의 정보통신망 취약점을 이용해 핵심 데이터를 무단 취득했지만, 회사는 이를 외부에 알리지 않았으며 언론 취재 과정에서도 "키가 유출된 사실을 인지한 즉시 해당 키들을 무력화 해 실제 콘텐츠 유출 사실은 없다"며 피해를 부인하는 태도를 보였다.

그러나 이 사태에서 사태의 교훈은 없었다. 안일한 보안 의식이 또다시 해킹 참사를 불렀다.

결국 1년 9개월 전의 해킹 사고는 예스24에게 그저 스쳐 지나가는 일에 불과했다. 보안 체계와 위기 대응 방식 모두 제자리걸음이었음이 이번 사태로 증명됐다.

예스24는 이번에도 한국인터넷진흥원(KISA)의 기술 지원 요청에 동의하지 않아 전문가들의 사고 조사를 제한하고 있다. 투명한 위기 대응보다는 정보 통제에 급급한 모습이다.
 

◇ SK텔레콤부터 예스24까지 연쇄 참사…해킹 대란 도미노 붕괴

올해 들어서만 국내 대기업들이 연쇄적으로 해킹 공격에 속수무책으로 무너지고 있다.

지난 4월 SK텔레콤은 악성코드 공격으로 2800만명에 달하는 가입자의 유심 정보가 유출되는 초유의 사태를 겪었다.

국제이동통신가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등 핵심 정보가 털리면서 '심스와핑' 공격 위험에 노출됐다.

이들 사건의 공통점은 '알려진 취약점' 악용, 늑장 대응, 그리고 사후 변명에 급급한 패턴이다. 특히 SK텔레콤의 경우 다른 통신사들이 보안 투자를 늘리는 동안 오히려 투자를 줄였다가 피해를 당한 아이러니를 보였다.

SK텔레콤의 2024년 정보보호 투자액은 600억원으로 KT(1218억원)의 절반에도 못 미쳤다. 가입자 1명당 정보보호 금액도 2400원으로 KT(6700원)나 LG유플러스(4000원)에 크게 뒤졌다.

최근 3년간 발생한 주요 해킹 사고들을 살펴보면 문제의 심각성이 더욱 선명해진다.

LG유플러스는 29만명 개인정보 유출로 68억원 과징금을 받았고, 골프존은 221만명 정보 유출로 75억원, 카카오는 6만5000명 정보 유출로 역대 최대인 151억원의 과징금을 부과받았다.
 

◇ 절반짜리 투자의 참담한 결말…美 대비 반토막 보안 예산

일각에서는 연이은 보안 사고의 근본 원인은 한국 기업들의 뿌리 깊은 투자 소홀에 있다고 평가한다.

2024년 정보보호 공시 현황에 따르면 국내 기업들의 IT 투자 대비 정보보호 투자 비율은 평균 6%에 불과하다. 이는 미국(13.2%)의 절반도 안 되는 수준이다.

업종별로도 심각한 편차를 보였다. 정보통신업종 기업들조차 IT 전체 투자액에서 정보보호 투자가 차지하는 비중이 5.6%에 그쳐 전체 업종 평균(6.05%)에도 못 미쳤다. 보안과 가장 밀접한 업종조차 이런 수준에 그치고 있는 것으로 나타났다.

많은 기업에서 사이버 보안은 여전히 '비용 센터'로 인식되고 있다.

한 업계 관계자는 "당장 신사업에 투자해서 성과를 내야 하는데, 성과도 안 나오는 보안에 투자할 유인이 없다"고 설명했다.

결국 이러한 단기적 사고가 결국 더 큰 재앙을 초래하고 있는 것이다.
 

◇ 다크웹에 4억 건 유출…기업들은 여전히 '나 몰라라'

기업들의 안일한 보안 의식이 초래하는 피해는 고스란히 국민의 몫이다.

유출된 개인정보는 다크웹에서 헐값에 거래되며 보이스피싱, 스미싱, 명의도용 등 2차 범죄의 씨앗이 된다. 실제로 다크웹에서는 한국인 개인정보가 4억 건 이상 유통되고 있는 것으로 알려졌다.

한 피해자는 자신도 모르게 휴대전화 3대가 개통되어 13만원이 넘는 요금이 청구됐고, 또 다른 피해자는 자신의 명의로 차량 보험이 가입되어 사고 처리 연락을 받는 황당한 일을 겪었다. 이들의 고통은 금전적 손실을 넘어 극심한 정신적 스트레스로 이어진다.

그런데도 기업들은 진정한 변화보다는 '소 잃고 외양간 고치기'식 임기응변에 머무르고 있다.

사고 발생 후 형식적 사과와 보상안 발표로 면피하려 하지만, 정작 과징금에 대해서는 행정소송을 제기하며 책임 회피에 급급하다.

골프존과 카카오 모두 부과된 과징금에 불복해 소송을 진행 중이다.

정부의 지원 예산마저 갈수록 줄어들고 있다. 중소기업 대상 구독형 보안서비스 관련 예산은 2023년 100억원에서 올해 23억원으로 절반 이상 삭감됐다.

기획재정부는 '이용률이 낮다'는 이유를 들고 있지만, 이는 보안의 중요성에 대한 정부의 인식 부족을 보여주는 단면이다.

예스24 해킹 사태는 한국 기업들의 보안 투자 부족 문제를 다시 한번 부각시켰다. 보안을 단순한 비용이 아닌 필수 투자로 인식하는 변화가 없다면 유사한 사고가 반복될 수 있다는 우려가 제기된다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]