[스타트업 노리는 해커③] '한번 뚫리면 망한다" 인식 가져야

송혜리 기자 2023. 5. 7. 12:00
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

"취약한 보안은 시한폭탄이다, 해킹 사고로 그동안 쌓아 올린 성과와 이미지가 사상누각이 되지 않도록 투자자와 사업자들은 함께 창업·투자단계서부터 보안 DNA를 심어야 한다."

보안 전문가들은 스타트업 창업가부터 재무 투자자까지도 창업→성장→기업공개(IPO)에 이르는 전단계에 걸쳐 '뚫리면 망한다'는 경각심을 가질 것을 충고한다.

보안 전문가들은 스타트업 창업자와 임직원은 물론 '돈줄'을 쥐고 있는 투자자들의 인식이 달라져야 한다고 입을 모은다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

기사내용 요약
'정보 보안은 스타트업 생존 위한 '선택' 아닌 '필수'
가장 중요한 것은 '예방' 창업부터 보안 내재화 해야

【서울=뉴시스】송혜리 기자 =

[서울=뉴시스]


"취약한 보안은 시한폭탄이다, 해킹 사고로 그동안 쌓아 올린 성과와 이미지가 사상누각이 되지 않도록 투자자와 사업자들은 함께 창업·투자단계서부터 보안 DNA를 심어야 한다."

보안 업계와 전문가들이 스타트업에 건네는 조언이다.

중소·스타트업은 보안 서비스나 보안 소프트웨어를 이용할 투자 여력이 상대적으로 부족하고, 전담 인력이 없는 경우가 많아 침해 대응 역량이 부족한 실정이다.

보안 전문가들은 스타트업 창업가부터 재무 투자자까지도 창업→성장→기업공개(IPO)에 이르는 전단계에 걸쳐 '뚫리면 망한다'는 경각심을 가질 것을 충고한다. 정보보호 투자가 기업의 영속성 확보를 위한 선택이 아닌 필수 사항으로, 사업 초기 단계부터 정보보호 투자와 인식제고 노력이 필요하다는 설명이다.

사업 초기부터 보안 투자해야…'소 잃고 외양간 고치기' 더 이상 통하지 않아

보안 전문가들은 '보안 스타트업 생존 위한 필수 요건'이라고 강조한다. 취약한 보안 시스템 때문에 개인정보가 유출되면 그간 사업 성과가 휴지조각이 될 뿐만 아니라, 개인정보가 유출된 사용자들이 집단소송이라도 제기한다면 그야말로 재기불능상태가 될 수 있기 때문이다.

김근진 스파이스웨어 대표는 "급성장하며 높은 기업가치를 인정받은 스타트업이 보안 문제로 휘청하는 모습을 심심치않게 본다"면서 "창업 단계부터 데이터 암호화와 접근기록관리를 미리 준비하라고 권한다"고 당부했다.

김 대표는 "현장에서 보면 스타트업들은 보안에 투자할 여력이 없을 뿐만 아니라, 이에 대한 고려 없이 사업을 추진한다"면서 "스타트업이 보안회사에 SOS를 칠 때는 어떠한 이상 징후를 발견했거나, 사고가 났을 때로 결국 사후약방문이 될 뿐"이라고 말했다. 이어 "여전히 '안 걸리면 된다'란 인식이 강하다"고도 지적했다.

보안 업계에 따르면 단기에 급성장한 온라인 플랫폼 기업들이 가장 해커들의 가장 좋은 먹잇감이다. 회원 개인정보를 다량 보유했지만, 시스템은 취약한 경우가 많기 때문이다.

사이버 공격은 스타트업에 직격탄이 된다. 관리 소홀로 개인정보가 유출될 경우 상당한 액수의 과징금 제재를 받게 된다. 개인정보보호법에 따르면, 개인정보 유출시 전체 매출의 3% 이하로 과징금을 물 수 있다. 자칫 이용자들로부터 집단소송에도 휘말릴 수 있다. 오는 9월 시행되는 개정 개인정보보호법에선 개인정보처리자의 고의 또는 중대한 과실로 인해 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우, 손해배상책임의 한도액을 종전 3배에서 5배로 상향했다.

수년간 마케팅 활동으로 쌓아왔던 기업 신뢰도가 한순간 무너질 수 있다는 게 가장 큰 위협이다.

보안 전문가들은 스타트업 창업자와 임직원은 물론 '돈줄'을 쥐고 있는 투자자들의 인식이 달라져야 한다고 입을 모은다. 초기 스타트업은 자금을 지원하는 투자자들의 의견과 이들과 체결하는 계약 내용에 흔들릴 수 밖에 없는 구조이기 때문이다. 보안을 ESG(환경·사회·지배구조)활동으로, 선택이 아닌 필수로 인식해야 한다는 제언이 더해진다.

한 보안 전문가는 "투자자들의 보안 투자 의지가 더 중요하다"면서 "투자자들이 자금 회수를 위해 외형 성장에만 집착하는 경우가 있는데, 만약 보안사고 발생시 투자사가 회생 불가능한 타격을 받을 수 있다는 걸 인지해야 한다"고 지적했다.

정부도 지원사격…"지속적인 투자와 관심 필요해"

정부 지원 창구도 있다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 국내 중소기업이 창업 단계부터 사이버 보안 위협을 사전에 예방하고 정보보호 역량을 강화할 수 있도록 창업 초기 기업을 위한 정보보호 가이드라인을 제작해 배포하고 있다. 아울러 지난달 24일부터 2023년 상반기 사이버 위기대응 모의훈련에 참여할 기업을 공개 모집하고 있다. 훈련 분야는 ▲임직원 대상 해킹메일 전송 후 대응절차 점검 ▲디도스(DDoS) 공격 상황에 대한 탐지·대응능력 점검 ▲기업의 홈페이지 대상 모의침투 등이다.

한국인터넷진흥원(KISA) 차윤호 개인정보조사단장 "정보 보호 조치라는 것은 한 번 했다고 끝나는 것이 아니라 지속적으로 해야 되는 부분이 있기 때문에 체계적으로 관리 운영이 필요하다"면서 "지속적으로 보안 기술의 적정성을 검증하고 개선 조치를 실시해야 한다"고 강조했다.


☞공감언론 뉴시스 chewoo@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?