E프라이버시 인증 있으나마나… 업체들 낮은 보안의식 높여야
임현석·산업부
월 사용자 200만 명을 자랑해 온 여기어때 측은 업계 최초로 E프라이버시 인증마크를 획득하는 등 자발적으로 보안을 강화해 온 업체로 알려져 왔다. 그런데 여기어때가 당한 해킹 수법이 비교적 대비하기 쉬운 ‘SQL인젝션’ 방식이어서 논란이 더 커졌다.
한 보안업계 관계자는 “보안 관련 패치와 업데이트 등을 통해 대부분 막을 수 있는 해킹 수법으로 국내 O2O 업체의 보안 현주소가 고스란히 드러난 것”이라고 꼬집었다. 한국인터넷진흥원(KISA) 관계자는 “E프라이버시 인증마크는 법이 규정하는 최소한의 요건을 준수하는지를 볼 뿐, 정부 기관이 심사하는 공식 인증 기준에 비해서는 보안 수준이 한참 떨어진다”고 지적했다. 탄탄한 보안을 자랑했지만 실제로는 허울에 불과했다는 것이다.
국내 스타트업들의 보안에 대한 낮은 인식 수준은 이참에 개선할 필요가 있다. 스타트업 지원 기관인 서울시 아스피린센터 관계자는 “대부분의 O2O 사업자들이 서버를 구축하는 데 비용을 쓴 뒤 바로 마케팅비부터 늘리는 경향이 있다“며 “치열한 시장경쟁 때문인데, 이번 사건을 통해 보안 없이는 사업 기반이 유지되기 힘들다는 점을 알게 됐을 것이라고 생각한다”고 말했다.
임현석·산업부 lhs@donga.com