출처 : Steven Guarraccia의 일러스트

동화 <아기돼지 삼형제>의 이야기를 기억하는가? 게으른 첫째와 둘째 돼지는 얼른 집을 짓고 싶은 마음에 지푸라기와 통나무로 엉성한 집을 지었다가 죽을 위기에 처했고, 막내 돼지만 튼튼한 벽돌집을 지은 덕에 늑대의 위협에도 안전했다. 동화 <아기돼지삼형제>는 아이들에게 ‘무엇이든지 대충 할 생각 말고, 신중한 자세로 미래의 위기에 대비하세요’라는 메시지를 늑대를 통해 꽤나 공포스럽게 풀어나간다. 우리는 <아기돼지삼형제>가 주는 이 교훈을 너무나 당연하게 알고 자라왔다. 하지만 정보보안에서 튼튼한 벽돌집의 중요성을 인지하고, 이에 맞는 대응책을 내놓는 사람은 극히 드물다. 특히, 스타트업 시장에서 벽돌집을 기대하는 것은 굉장히 어려운 일이다.

스타트업이 겪는 ‘지푸라기 집’의 오류

나는 대학 시절 스타트업에 잠시 몸담은 경험이 있다. 실제 모바일 앱으로 런칭되기도 하였으나 지난여름, 결국 망했다. 대략적인 사업의 성격은 대학가에서 이루어지는 크고 작은 행사를 모아놓은 모바일 이벤트 플랫폼이었는데, 교내 창업지원센터의 <스타트업 기획서 경진대회>를 통해 받은 창업지원금을 자본으로 삼아 시작하게 되었다. 우리는 사업을 성장시킬 어마어마한 투자, 그리고 앱의 유명세를 기대하며 참 열심히 뛰어다녔다. 당시 정식 개발자를 아직 뽑지 않은 상태였기 때문에 공식적으로 개발을 담당할 팀원 영입을 결심하였고, 아래와 같이 작성한 구인 전단을 교내에 배포했다.

“스타트업에 관심 있는 분, 한 달 안에 모바일 앱 구축 가능한 분 찾습니다.”

다시 보니 정말 멍청한 구인 전단이다. 다짜고짜 한 달 안에 앱을 만들어달라니. 당시 우리의 무리한 요구로 고생한 개발자들에게 이 자리를 빌려 다시 한 번 고마움을 전하고 싶다.

한 달 내의 구축하길 원했던 이유는, 단순했다. 이른 시일 내에 앱을 만들어서 투자자들에게 보여주고 싶었다. 또한, 본격적인 세일즈를 위해서라도 눈으로 확인 가능한 앱의 실물이 필요하기도 했다.

하지만 급한 대로 얼렁뚱땅 만들게 된 모바일 앱은 구동된다는 것이 신기할 정도로 엄청난 양의 버그에 시달렸다. 이 버그의 주원인은 참혹한 코딩 상태에 있었는데, 열악한 업무 환경 속에서 수시로 바뀌는 개발자들로 인해 개발 과정에서 여러 사람의 손을 거치게 되었기 때문이다. 게다가 가장 심각했던 것은 내부의 중요한 정보들(그 당시에는 중요하다는 인식조차 없었지만)이었다. 내부 데이터들이 여기저기 옮겨지다 보니 한 번은 공개 게시판에 업로드된 아찔한 상황이 발생하기도 했다. 물론 급히 다른 곳에 옮기긴 하였으나 그때는 ‘정보보안’에 대해 완전하게 무지한 상태였기 때문에 그게 얼마나 위험한 행동인지 알지 못했다.

자, 그렇다면 이런 미숙한 보안 조치가 조그마한 신생 스타트업이 아닌 회원 수 20만 명을 보유한 중견 스타트업에서 발생하면 어떤 일이 벌어질까?

적절한 사례로, 지난해 벌어진 모바일 배달 앱 A 업체의 해킹 사건을 들 수 있다. 이 업체는 2014년 연말, 해킹으로 인해 고객정보 13만 건이 유출되었다. 그것도 ‘웹쉘(WebShell)’이라는 아주 초보적인 해킹 수법에 의한 사건이었기에 허술한 보안조치의 실체가 고스란히 드러나게 되었다. 그들은 해킹 직후 경찰청 사이버안전국에 신고하였으나 정작 피해 규모, 유출된 개인 정보 내역은 공개하지 않아 해킹 사건을 이용한 노이즈 마케팅이 아니냐는 의심도 샀다.

하지만 그렇다고 보기에 그들은 잃은 것이 많다. 14년 연말 일어난 이 사건은 올해 6월까지 방송통신 위원회의 경고를 받았으며 결국 정보통신망법 제28조의 3가지 항목을 위반한 혐의, 그리고 부실한 후속 보안대책 등이 밝혀져 약 8,000만 원의 과징금을 부여받았다. 고객들과 지역 상인들이 밀접하게 연관된 소비재 산업으로서, 이 사건으로 인해 잃어버린 기업 신뢰는 8,000만 원과는 비교할 수도 없을 것이다.

지푸라기 집, 무너지는 건 시간 문제

대부분의 스타트업이 가지고 있는 “빠른 성장”의 압박은 스타트업 시장에서 살아남기 위한 어쩔 수 없는 생존 방식이라는 것은 분명하다. 통상적으로 스타트업은, 빠르게 성장하는 모습을 보여준 후 벤처투자자들의 눈에 띄거나 시장에 안착 후 안정적인 수익구조를 발생시켜야 한다. 그렇지 않으면 도태되는 것은 순식간이다.

하지만 빠른 성장에 쫓겨 보안 관리에 소홀하게 된다면, 장기적인 성장 가능성에서 치명적인 타격을 입을 수 있다. 지푸라기 집이 늑대의 입김 한 번에 날아가듯이 말이다. 특히 핀테크, 금융, 교육, 건강 관리 등과 같은 민감한 개인 정보를 주요 리소스로 다루는 스타트업이라면 부실한 보안 조치가 돌이킬 수 없는 성장 저해 요소로 남을 수 있다. 앞서 해킹 사건으로 곤욕을 치렀던 대형 금융권, 포털 사이트들에 대한 대중들의 불신이 여전히 유효한 것처럼, 무너지는 것은 한순간이지만 복구에는 오랜 시간이 걸리는 법이다. 이들에게 있어서 ‘정보보안’은 경쟁력 향상을 위한 핵심과제로 꼽힌다 해도 과언이 아니다.

(해킹 위협에 노출되기 쉬운 스타트업 업종에 대해서는 다음 달에 더욱 자세히 풀어나갈 예정이다.)

튼튼한 개발자, 그에게 벽돌집을 의뢰하자

그렇다면 스타트업에게 딱 맞는 보안은 어떻게 해야 할까? 물론, 국내 곳곳에 있는 보안 기업에 의뢰해 견적을 뽑고 이에 맞는 제품을 쓰는 방법도 있다. 하지만 비용을 지불해서 해결 가능한 보안 조치보다 더욱 중요한 것이 있다. 바로 ‘튼튼한’ 개발자를 뽑는 것이다.

밤새 코딩을 해도 지치지 않는 체력을 가진 튼튼함도 좋지만, 개발 과정에서 보안의 중요성을 인지하고 CEO에게 보안 예산을 요구하는 패기 있는 개발자가 필요하다. 한 달 안에 앱 따위는 뚝딱 만들어내는 재빠른 손놀림도 좋지만, 벽돌을 하나하나 쌓아 올리듯 신중하게, 안전한 애플리케이션 구조를 구축하려는 자세 또한 스타트업 개발자로서 갖춰야 할 귀중한 자질이다.

당신이 스타트업 CEO 혹은 팀원이라면, 개발자들과 함께 보안에 관해 이야기해보자. 평소에 개발자들이 고객정보를 어떻게 다루고 있었는지, 웹사이트 관리를 어떤 식으로 하고 있었는지 공유해보는 것은 분명 의미 있는 시간일 것이다. 당신의 스타트업을 이루고 있는 재료가 지푸라기인지, 벽돌인지 서로 논의해보고 만일 지푸라기라면 늑대가 오기 전에 보수작업을 시작해보는 것이 좋겠다.

다음 달부터 여러분과 소통하는 창구를 열어놓기 위해, 아래 메일로 ‘스타트업 정보 보안’에 대해 궁금한 점을 질문해주세요. 가장 많은 질문이 나온 이슈 혹은 정말 꼭 짚고 넘어가야 하는 이슈를 칼럼 주제로 삼고 글을 연재할 예정입니다. 평소 궁금했던 점이 있었다면 주저하지 말고 이메일 보내주세요. 클라우드브릭 칼럼니스트 박지원 support@cloudbric.com