밀리의서재, 3년 만에 또 개인정보 유출…마케팅 '올인' 보안은 뒷전?

[비즈한국] 3년 전 고객 개인정보 유출 사고를 겪었던 전자책 구독 플랫폼 ‘밀리의 서재’가 또다시 해킹 공격을 받았다. 이번 해킹으로 1만 3000여 명의 이메일 주소, 전화번호와 비밀번호 등이 유출된 것으로 파악됐다. 교육콘텐츠를 다루는 위더스교육도 개인정보 유출 논란에 부딪혔다. 개인정보보호위원회는 위더스교육이 보안 취약 사항을 제대로 관리하지 않았다고 판단해 과징금과 과태료를 부과하기로 결정했다.

충분한 보안체계를 갖추지 않은 기업들이 해커들의 먹잇감이 되고 있다. 서비스 개발과 이용자 수 확보에 집중하는 스타트업과 중소 콘텐츠사의 경우 정보 보안 시스템이 미비해 해킹 공격에 취약하다는 지적이 나온다.

2019년 개인정보 유출 사고를 겪은 밀리의 서재가 또다시 해킹 공격을 받았다. 밀리의 서재 측은 전화번호, 비밀번호 등이 암호화돼 외부에서 도용될 가능성은 적다고 밝혔다. 사진=밀리의 서재 홈페이지 캡처

밀리의 서재에 따르면 3일 새벽 해킹 공격으로 1만 3182명의 회원 정보가 유출됐다. 유출된 개인정보는 이메일 주소와 전화번호, 비밀번호 등으로 회원마다 상이하다. 밀리의 서재는 사과문을 통해 “유출 정보 중 전화번호와 비밀번호의 경우에는 암호화돼 있어, 외부에서는 해당 정보만으로 해당 회원의 정보에 해당한다는 사실을 알아내기 불가능하도록 조치돼 있다”며 “침해 사실 인지 즉시 피해가 확대되는 것을 방지하기 위해 외부에서 접근하지 못하도록 차단하는 초기 대응을 실시하고, 24시간 모니터링을 진행하고 있다”고 밝혔다.

위더스교육은 8일 개인정보보호위원회로부터 안전조치 의무 위반에 대해 제재를 받았다. 2020년 6월 회원 11만여 명의 개인정보가 유출된 사고의 후속 조치다. 위더스교육은 온라인으로 원격평생교육원 서비스를 제공하는데, 파일을 올릴 때 보안 취약사항 점검을 제대로 하지 않아 이용자의 이름과 연락처 등 개인정보가 유출됐다. 외부 침입을 탐지하고 차단하는 시스템도 소홀하게 운영된 것으로 파악됐다. 개인정보보호위원회에 따르면 위더스교육은 탈퇴 이용자의 개인정보를 즉시 파기하지 않았고, 1년 이상 장기 미이용자 개인정보를 별도 보관해야 할 의무도 지키지 않았다. 개인정보보호위원회는 위더스교육에 과징금 3700만 원과 과태료 1000만 원을 부과했다.

#“결국 비용의 문제”

밀리의 서재가 해킹을 당한 것은 이번이 두 번째다. 2019년 6월 첫 해킹 당시 11만 여 명의 개인 정보가 유출됐다. 이후 3년이 흐르는 동안 밀리의 서재는 KT그룹 산하 지니뮤직에 인수돼 최근 기업공개(IPO) 작업에 돌입했다. 디지털 전환을 꾀하는 KT의 ‘디지코’ 구상에서 원천 IP(Intellectual Property·지식재산)의 한 축으로 성장할 것이라는 기대도 모으고 있다. 이에 외형은 커지는데 정보 보안 역량은 제자리걸음이라는 비판이 나온다.

밀리의 서재는 2019년 개인정보 유출 이후 점검 시스템 등을 확대하는 등 보안을 일부 강화했다. 밀리의 서재 관계자는 “2019년 개인정보 유출 이후 정보보호최고책임자와 개인정보보호최고책임자를 두고 있고 정보보호위원회도 운영하고 있다. 전사적으로 사안을 심각하게 보고 있으며 유출 사고가 재발하지 않도록 서비스와 시스템을 원점부터 다시 살필 것”이라고 말했다.

위더스교육은 고전 해킹 기법인 웹 셸 공격으로 개인정보 유출이 발생했다. 사진=개인정보보호위원회 자료

업계 관계자들과 보안 전문가들은 상당수 기업이 정보보호 체계를 만들고 관리하는 체계를 후순위로 미룬 탓에 불필요한 해킹 피해가 지속되고 있다고 지적했다.

위더스교육이 당한 해킹 기법은 ‘웹 셸(Web Shell)’이라는 점에서 정보보호 노력이 부족했다는 평가가 뒤따른다. 웹 셸은 웹서비스를 제공하는 웹 서버에 몰래 숨어 작동하는 악성코드다. 게시판에 웹 셸을 숨긴 첨부파일을 올리는 방식인데, 전문가들은 ‘고전적인 수법’이라고 말한다. 보안 기능이 적절하게 갖춰진 경우 서버에서 악성코드가 직접 실행되지 않도록 파일을 변형해 받아들이기 때문에 문제가 되지 않지만, 보안 기능이 미흡한 사이트에서는 관리자 권한이 해커 손으로 넘어가게 되기 때문이다.

보안 업계 관계자는 “결국 비용 문제다. 일부 업체에서는 보안 유지, 보수의 중요성을 중시하지 않는 경향이 있다. 스타트업 등 일부 기업들은 외주 호스팅 업체에 보안을 맡기기도 한다”며 “협회 사이트 등 영세한 조건에서 자주 일어나는 웹 셸 해킹이 기업 서비스에서 발생했다면 정보보호 노력을 충분히 하지 않은 것으로 볼 수 있다”고 말했다.

#보안 취약하면 서비스 지속 가능성도 불분명

이는 신생 기업이 대부분인 콘텐츠 업계의 특성과 무관치 않다. 특히 밀리의 서재 같은 플랫폼 기반 스타트업의 경우 서비스 개발과 함께 ‘몸집 키우기’를 위한 이용자 확보가 첫 번째 과제다. 투자금이 한정된 탓에 보안 시스템 구축비용이나 인건비를 아껴 마케팅에 소위 ‘올인’하는 게 경쟁력 확보에 도움이 되는 것이다.

업계 관계자는 “유저가 적은 상황에서 수천만 원부터 억대에 달하는 비용을 할애해 보안 체계를 유지하는 건 사실상 쉽지 않은 일이다. 사업 초기엔 인사팀이나 홍보팀이 없다가 인력이 늘고 사업이 커지면서 담당 분야가 체계화되는 것처럼 서비스 운영이 갖춰질수록 보안 시스템도 구축된다”고 설명했다. 이어 “다만 보안을 우선순위에 포함하느냐 후순위로 미뤄두느냐는 기업이 어떤 서비스를 운영하고 무엇을 중시하느냐에 달린 문제”라며 “기업의 책임감 있는 태도도 중요하다”고 덧붙였다.

이번 정보 유출 사안이 연내 IPO를 목표로 하는 밀리의 서재에 악재라는 평가가 뒤따르고 있다. 사진=밀리의 서재 제공

밀리의 서재 측은 이중 암호화된 전화번호와 비밀번호는 외부에서 식별이 불가능해 도용 우려가 적다고 설명했지만 ‘지금으로선 피해 범위를 정확히 판단할 수 없다’는 게 전문가들의 의견이다. 김현걸 사이버보안협회장(디포렌식코리아 대표)은 “현 시점의 기술력으로 풀기 어려울 정도로 암호화가 잘돼 있더라도 추가적인 방법이 나올 경우 피해가 발생할 수 있다”고 말했다. 암호화 비밀번호가 잘못 관리돼서 유출됐거나 비밀번호가 예측, 추측하기 쉬운 형태로 돼 있을 경우 손쉽게 풀릴 위험도 있다.

해킹 가능성을 원천 차단하는 것은 불가능하지만 지속 가능한 보안 솔루션의 중요성은 더욱 커질 것이라는 전망이 나온다. 김승주 고려대 정보보호학과 교수는 “보안망이 뚫릴 여지는 항상 있다. 다만 신종 공격 기법이 아니라 충분히 막을 수 있는 방식에 의해 뚫렸다면 강하게 책임을 물어야 한다”고 말했다. 김현걸 협회장은 “보안이 취약해진다면 결과적으로는 사업 지속성에 문제가 생길 것”이라면서 “보안 취약점에 대한 개선 노력이 부족하다면 악순환이 반복될 수밖에 없다”고 지적했다.

강은경 기자 gong@bizhankook.com