[취재수첩] 中企 보안, '완벽 예방'에 집착하지 말아야
입력
수정
지면A34
"뚫렸다고 바로 유출 아니다"“제가 몸담은 회사에서도 얼마든지 벌어질 수 있는 일입니다. 등골이 서늘합니다.”
해커 '발목잡기'에 주력해야
오유림 중소기업부 기자
얼마 전 인터넷서점 알라딘에서 전자책 정보가 대량 유출된 일을 두고 동종업계 A사의 관계자는 “남의 일 같지 않았다”고 했다. 무엇보다 단 한 번의 해킹으로 오랫동안 쌓아온 회사 경쟁력의 근간이 한 번에 무너질 수 있다는 데 두려움을 느낀다고 했다.핵심 상품·서비스부터 고객 정보까지 각종 데이터베이스가 들춰지는 건 금전적 피해에서 끝나지 않는다. 기업에 대한 ‘신뢰’를 건드리기 때문이다. 기초체력이 약한 중소기업일수록 한 번 잃은 신뢰를 되돌리는 게 쉬운 일은 아니다.
이처럼 정보 관리의 중요성은 잘 알고 있지만, 대다수 중소기업에 데이터 보안은 너무나 버거운 과제다. 과학기술정보통신부의 정보보호 실태조사(2021년)에 따르면 50인 미만 중소 스타트업에서 정보보호 정책을 갖춘 비율은 48.7%에 그쳤다. 절반 가까운 기업은 대응 매뉴얼조차 없다는 얘기다.
보안의 기초라고 할 수 있는 주요 파일을 암호화하는 DRM(디지털 저작권 관리)조차 적용하지 않는 사례가 허다한 실상을 접하면 한숨부터 나온다. 중소기업들은 “여력이 없다”고 항변한다.하지만 해커들은 중소기업의 사정을 봐주지 않는다. 공개된 ‘약점’을 노골적으로 공략한다. 웹 보안에 미흡한 부분이 있는지 훑어내는 ‘모니터링’만으로도 원하는 정보를 훔쳐낸다.
그렇다면 이처럼 허술하기 그지없는 중소기업의 보안은 어떻게 강화할 수 있을까. 한 보안 전문가의 조언을 눈여겨볼 필요가 있을 것 같다. 그는 “대다수 중소기업은 해킹당하면 초기 침투에 집중한다”며 “처음 해킹되는 방식을 분석해 예방법을 고민하는 식인데 한 번만 뚫려도 큰 타격을 받는 중소기업에는 비효율적”이라고 지적했다.
처음부터 정보 도둑질을 완전히 막겠다는 게 아니라 초기 침투 이후 단계인 ‘서버 대응’에 힘을 기울이는 게 현실적이라는 설명이다. 해커들은 시스템에 침투한 이후 거점 서버 등 각종 서버에서 시스템의 취약점을 파악하고 외부로 데이터를 유출하는 과정을 필연적으로 거친다. 시스템이 뚫렸다고 곧바로 데이터가 유출되는 게 아니라는 얘기다.
자금과 인력이 부족한 중소기업의 대비에는 한계가 있을 수밖에 없다. 처음부터 100점짜리 보안책을 추구하기보다는 해커를 귀찮게 해 손발을 잡는 방법을 고민할 필요가 있다. 중소기업에 맞는 해킹 보안책을 마련하려면 발상의 전환이 시급해 보인다.