[스타트업 노리는 해커②] "보안? 배부른 소리" 성장 우선주의의 함정
잠재적 위협 보다는 당장의 성장에 투자
눈두덩이처럼 불어나는 고객정보, 보안은 허술 '시한폭탄'
"당장 플랫폼을 키우는 게 급선무라고 판단해 보안은 안중에도 없죠. 그러다 나중에 큰 코 다치는 경우가 다반사입니다."
스타트업 보안 현실에 대한 보안 전문가의 지적이다. 중소·스타트업을 겨냥한 사이버 침해가 갈수록 늘고 있지만, 스타트업과 투자사들의 성장 우선주의에 밀려 '잠재적 위협'인 보안은 늘 후순위로 밀리고 있는 게 중소 스타트업들의 구조적 결함이라는 설명이다.
중소·스타트업 창업자들의 할 말이 없는 건 아니다. 기술 확보, 인재 영입, 마케팅 등을 통해 당장 시장에서 경쟁해 살아남는 게 숙명이다. 이런 상황에서 보안에 공을 들이긴 쉽지 않다고 토로한다.
"살아남는 게 중요한데..." 뒷전 밀리는 보안투자
과학기술정보통신부와 한국인터넷진흥원(KISA)가 발간한 2021년 정보보호 실태조사 보고서에 따르면, 10~49명 수준의 스타트업 중 정보보호 전담조직을 둔 사업자는 6.9%에 그쳤다. 어느 정도 성장한 50~249명 규모의 사업체에서도 정보보호 조직 보유율은 15%에 불과하다.
가까스로 투자 받은 금액을 인력 채용과 회사를 알리기 위한 마케팅에 쏟아 붓다 보니 보안은 언제나 후순위다. 당장 서비스가 원활히 돌아갈 수 있도록 서버 증설투자를 통해 고객을 한 명이라도 더 유치하는 것이 중요하다는 인식 때문이다. 취재과정에서 만난 스타트업 CEO는 "닥치지 않은 위협에 대비한 투자는 당장 생존이 급한 스타트업들에겐 한가한 얘기로 들릴 수 있다"며 "창업자들 사이에서도 "설마 우리가 당하겠어"란 인식도 깔려있다"고 토로했다.
사업 초창기 스타트업들이 기본적인 보안시스템은 구축하지만, 단기간에 규모가 늘면서 성장 속도에 맞는 보안체계를 갖추지 못하는 사례도 비일비재하다. 가입자와 매출이 눈덩이처럼 불었음에도, 개인정보보호 체계와 보안 시스템 투자 속도를 이를 받쳐주지 못한다는 지적이다.
미디어 스타트업 관계자는 "대부분 스타트업들이 사업 초기 기본적인 보안 시스템을 구축하긴 하나, 이를 고도화한다거나 지속적인 투자가 힘든 것이 사실"이라고 말했다.
업계 종사자들의 보안 마인드도 문제…89%가 사후 조치도 하지 않아
궁극적으로 '성장'과 '기업공개(IPO)'에 올인할 수 밖에 없는 스타트업 생태계 구조가 허술한 보안투자 이유로 꼽히지만, 업계 종사자들의 보안 마인드를 지적하는 목소리도 높다.
지난해 중소벤처기업부 중소기업 기술보호수준 실태조사에 따르면, 조사 응답 기업 40.8%가 기술 유출·탈취 사고 발생 이유로 '보안의식 부족'을 꼽았다. 특히 88.9%에 이르는 기업들이 이 조사에서 보안사고를 당해도 사후조치를 하지 않는다고 답했다.
박용규 한국인터넷진흥원 침해사고분석단장은 "중소기업의 경우, 랜섬웨어 등 침해사고를 당해도 그냥 포맷해 버리기도 하는데, 당장 서비스를 재개해야 하기 때문"이라며 "이렇게 되면 원인 분석을 할 수 없어 지원을 할 방법은 없다"고 꼬집었다.