수백만 판매원 정보 유출되면 범죄 표적 우려
▷ 사진: 게티이미지프로
이동통신 3사, 쿠팡, 신세계그룹, 아시아나항공, 교원그룹 등에서 잇따라 개인정보 유출 사고가 발생하면서 다단계판매업계도 촉각을 곤두세우고 있다. 업계의 특성상 해킹이 발생할 경우 정산 시스템까지 영향을 받아 후원수당 미지급, 정산 오류 등의 문제로 이어질 가능성이 있다. 무엇보다 조직 계보도, 수당 체계, 판매원 소득 등 민감한 정보가 담겨 있는 만큼 피해가 광범위해질 수 있다는 지적이 나온다.
정보 유출 공포 커지는데 영세기업은 사각지대
사이버 보안 우려가 커지는 가운데 영세 다단계기업은 인력, 예산 등의 문제로 보안 관리를 하는 데 한계가 있고, 일부 기업은 이에 대한 필요성을 느끼지 못하는 것으로 나타났다.
이와 관련 전산업체 관계자는 “문서보안(DRM), 지정 장소 외 IP 차단, 정기적인 서버 백업만으로도 상당 부분 사고를 예방할 수 있지만, 이런 기본적인 조치조차 모르는 기업들이 많다”며 “특히 일부 경영자들은 개인정보 보호를 비용 부담으로만 인식해 투자에 소극적인 경우가 적지 않다”고 지적했다. 그는 특히 “다단계판매의 경우 600~700만 명이 종사하고 있는 데다, 판매원 소득에 대한 정보까지 담고 있어 데이터가 유출될 경우 보이스피싱이나 금융 사기 범죄의 표적이 될 수 있다”고 우려했다.
여러 글로벌 기업의 전산을 담당한 업체 관계자는 “일부 외국계 기업은 한국 직원들이 일을 못할 정도로 본사의 보안 정책이 지나치게 엄격하고, 통신 서비스와 연계된 기업의 경우 ISMS-P 인증을 의무적으로 받아야 해서 보안 수준이 높다”면서도 “최근에는 직원들을 믿지 말고, 철저한 검증을 통해 보안을 강화하자는 ‘제로 트러스트’ 정책을 도입하는 회사도 많아지고 있다”고 설명했다. 다만 그는 “적게는 매년 수천만 원대 비용과 전담 인력 채용이 요구되는 보안 체계를 영세기업이 갖추기는 현실적으로 어렵다”고 덧붙였다.
이처럼 자체 보안 역량을 갖추기 어려운 현실을 감안해 정부와 공공기관이 제공하는 정보보호 지원 사업을 활용하는 방안도 대안으로 거론된다.
실제로 KISA는 과학기술정보통신부와 영세·중소기업의 안전한 디지털 환경 조성을 위해 정보보호 컨설팅, 보안솔루션 등을 지원하고 있다. 자세한 내용은 ‘지역정보보호센터(https://risc.kisa.or.kr)’에서 확인 가능하다.
애터미, 피엠, 뉴스킨, 리만 등 선제적 대응 나서
일부 대형업체들은 선제적인 보안 점검에 나섰다. 애터미는 글로벌 화이트 해커 그룹과 협업해 온라인 서비스 전반의 보안 취약점을 점검·개선하고, 인터넷 접점 서버와 네트워크 자산에 대한 긴급 보안 점검을 실시했다고 밝혔다. 애터미 관계자는 “관리자 사이트 2차 인증과 개인정보처리 시스템 접근 통제를 강화하고, 접근 로그와 계정 권한을 정기적으로 점검하고 있다”며 “최근 대규모 개인정보 유출 사고에 대비해 사이버보험과 배상책임 보험 가입 검토와 함께 사고 대응 프로세스도 재정비하고 있다”고 설명했다.
피엠인터내셔널코리아는 최근 사례를 계기로 전사 시스템 보안 점검을 실시하고 취약 요소를 개선했다고 밝혔다. 회사 관계자는 “개인정보 보호와 관련해 업무 목적에 따른 최소 권한 원칙을 적용한 접근 통제 체계를 운영하며, 개인정보 처리 시스템의 접근 이력 관리와 정기적인 권한 점검을 통해 비인가 접근을 방지하고 있다”고 말했다. 또 “사고 발생 시에는 ISMS 기반의 침해사고 대응 체계에 따라 내부 대응과 후속 조치를 진행하고 있고, 배상책임 보험에도 가입돼 있다”고 덧붙였다.
뉴스킨코리아는 2013년 ISMS 인증을 최초 취득한 이후 현재까지 단 한 차례의 공백 없이 인증을 유지해오고 있다. 뉴스킨코리아 관계자는 “매년 고도화되는 보안 위협에 대응하기 위해 ‘연간 개인정보보호 계획’을 수립하고 관리체계를 지속적으로 개선하고 있다”며 “2024년 APEC CBPR(Cross-Border Privacy Rules) 인증에 이어 2025년에는 Global CBPR 인증을 획득해 국경 간 데이터 이전에 있어서도 국제 기준에 부합하는 개인정보 보호 역량을 갖추고 있음을 검증받았다”고 강조했다.
리만코리아 역시 지난해 10월 과학기술정보통신부로부터 해킹 관련 공문을 받은 이후 주요 IT 자산을 대상으로 긴급 보안 점검을 실시했고, 현재도 관리적·기술적 취약점 진단과 개선 조치를 지속하고 있다. 리만코리아 관계자는 “개인정보처리시스템 접근 권한은 직무 단위로 엄격히 구분하고, 정보 변경이나 다운로드 등 주요 행위는 망분리 PC를 통해서만 가능하도록 운영하고 있다”고 밝혔다. 아울러 “ISMS와 ISO 27001·27701 인증을 통해 보안 관리체계를 구축했으며, 사이버 보험 가입 여부도 검토 중”이라고.
한편 개인정보 유출 사고가 잇따르면서 사전 예방뿐 아니라 사고 이후의 대응 역시 중요하다는 지적이 나오고 있다. KISA에 신고된 사이버 침해사고 건수는 2024년 기준 1,887건으로 전년 대비 47.8% 증가했으며, 특히 보안 관리가 취약한 중소기업을 대상으로 한 서버 해킹 공격이 크게 늘어난 것으로 나타났다.
보험연구원 리포트에 따르면 사이버 침해사고 증가에 따라 글로벌 사이버보험 시장규모는 2019년 59억 달러에서 2023년 141억 달러로 두 배 이상 늘었으며, 2027년까지 290억 달러로 그 규모가 다시 두 배 이상 확대될 것으로 전망되고 있다. 그러나 우리나라의 사이버보험 시장규모는 300만 달러에 불과하다. 이는 일본(1억 9,600만 달러), 호주(4억 7,600만 달러) 등 주요 국가와 비교해 현저히 낮은 수준이며, 필리핀(300만 달러), 태국(500만 달러) 등과 유사한 수준이다.
보험연구원은 “최근 10년간 글로벌 사이버보험 시장이 빠르게 성장하고 있으나, 우리나라의 사이버보험 활성화는 여전히 부진한 실정”이라며 “제도 및 정책적 지원과 함께 사이버보험 상품의 유용성을 높이기 위한 보장범위 확대 등 보험산업의 노력이 병행될 필요가 있다”고 지적했다.
