재택근무로 보안 허점..중기 95% "악성코드 경험"

[이데일리 이후섭 기자] 중소기업 뿐만 아니라 대기업도 위험에 노출된 건 마찬가지다. 개인정보 유출 문제다. 정보기술(IT)·금융·교육 등 업권을 가리지 않고 개인정보 유출 위협에 시달리고 있다. 해킹 조직의 정보 탈취 공격이 끊이지 않을 뿐만 아니라 관리 소홀로 인한 정보 유출도 심심찮게 일어나고 있다.

특히 재택근무가 확산되면서 급하게 인프라를 구축해 보안 체계가 제대로 갖춰지지 않은 중소기업이 이들의 먹잇감이 되고 있다. 한국인터넷진흥원(KISA)의 재택근무 보안실태 설문조사에 따르면 절반 이상이 사이버 위협을 경험했으며, 이중 해킹 및 악성코드 감염을 경험하거나 의심 정황을 발견한 응답자의 각각 95.2%, 91.7%는 중소기업에 해당하는 것으로 나타났다.

최근 국내 유명 포털사의 고객센터가 보낸 것처럼 위장한 이메일 피싱 공격 징후가 포착됐다. 포털사 이메일 공지 사칭 화면과 가짜 로그인 화면.(자료=이스트시큐리티 제공)

한 보안업계 관계자는 “중소기업의 인사팀, 회계팀, 총무팀 등에 근무하는 직원들의 PC를 감염시켜 정보를 빼내려는 시도가 끊이지 않고 있다”며 “중소기업 A의 경우 해외 거래업체와의 거래 정보가 털려 해킹조직이 중간에서 지급 계좌를 변경해 결제액을 가로채는 피해를 입기도 했다”고 설명했다.

대기업도 안심할 처지가 못된다. LG전자와 SK하이닉스는 미국법인의 해킹 조직의 랜섬웨어 공격을 받아 내부 기밀자료 뿐만 아니라 직원들의 개인정보까지 유출된 것으로 최근 알려졌다. 네이버는 지난 7월 사용자의 주민번호나 신체사이즈 등 개인 민감정보를 무단으로 해외에 유출했다는 논란에 휩싸이기도 했다. 다만 네이버는 민감정보를 고객 동의없이 수집한 적이 없고, 해외 유출이 아니라 데이터의 안전한 보관을 위해 해외 백업지역을 홍콩에서 싱가포르로 이전한 것일 뿐이라고 해명했다.

개인정보가 많이 모일 수 밖에 없는 온라인 플랫폼 업체들도 항상 사고 위협에 노출되고 있다. 온라인 교육업체 메가스터디교육은 지난해 해킹으로 인해 회원 570만명의 개인정보 유출 사고를 당하면서 9억5400만원의 과징금을 부과받았다. 앞서 독서 플랫폼 밀리의 서재도 지난해 해킹 공격으로 이메일 정보 11만7800여건이 유출됐고, 법정대리인 동의를 받지 않은 채 아동 개인 정보를 수집했다가 4000만원의 벌금을 물게 됐다.

페이스북·마이크로소프트(MS) 등 해외 업체들은 개인정보 보호 업무를 부실하게 운영한 것으로 나타났다.

개인정보보호위원회는 국내대리인 정보를 제대로 공개하지 않거나 개인정보 처리 관련 불만의 처리 및 피해구제를 부실하게 운영한 7개 해외 사업자에 대해 개선권고를 내렸다. 특히 대규모 개인정보 유출 사고로 미국에서 50억달러의 과징금을 부과받은 페이스북은 국내에서도 개인정보 처리 관련 불만 민원업무를 제대로 처리하지 않았고, 국내대리인 정보를 제대로 공개하지 않은 사례 모두에 해당돼 개인정보 보호 조치가 상당히 미흡한 것으로 드러났다.

보안업계 관계자는 “악성메일 유포를 통한 개인정보 탈취 공격이 국내에서 개인들 보다는 주로 기업들을 대상으로 이뤄지고 있다”며 “특히 해외에 법인을 두고 있거나 해외 업체와 거래가 많은 기업들을 많이 노리고 있는데, 금전적인 피해로 바로 이어질 수 있어 철저한 대비가 필요하다”고 강조했다.