여기어때가 인증 받은 ‘e프라이버시’ 인증마크. 보안 업계에서는 쉽게 받을 수 있는 만큼 보안에 큰 도움이 되지는 않는다고 말한다.  제공 | e프라이버시

[스포츠서울 이상훈기자] 24일 중소 숙박 O2O 기업 여기어때에 해킹사건이 발생한 직후 여기어때는 “고객님 개인정보를 안전하게 보호하고자 노력해왔다”고 밝혔지만 초보 수준의 해킹에 당한 것으로 알려지면서 여기어때 이용자들의 불안감이 커지고 있다. 특히 여기어때가 밝힌 ‘업계 최초 e프라이버시 인증마크 획득’이 실상 큰 도움이 안 됐기에 여기어때의 보안관리 수준에 대한 의구심이 더해지고 있다.

앞서 여기어때는 지난해 “업계 최초로 e프라이버시 인증마크를 획득했다”고 밝혔다. ‘e프라이버시’ 인증은 개인정보보호 우수사이트 인증제도지만 일반 협회에서 일정 요건만 충족된다면 쉽게 받을 수 있다. 보안업계에서는 e프라이버시 인증마크는 인증 난이도가 높지 않아 사실상 큰 의미가 없다고 말한다.

미레부와 KISA가 인증하는 ISMS 인증마크.  제공 | KISA

현재 국내 보안 관련 인증 난이도가 높은 것은 미래부와 KISA에서 인증하고 금융보안원이 발급하는 ISMS(Information Security Management System, 정보보호관리체계) 가 가장 보안성이 뛰어나다. 정부기관이 인증하는 보안인증인 만큼 이를 받기 위해서는 별도의 컨설팅을 포함해 보안 시스템을 갖추기 위한 시설투자가 필요하다. 즉 보안강화에 따른 비용이 꽤 많이 든다.

ISMS 인증을 받기 위한 여건도 빡빡하다. 현행법에서는 ‘연간 매출액 또는 세입 등이 1500억원 이상인 자로서 의료법 제3조의5에 따른 상급종합병원’, ‘직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제2조에 따른 학교’, ‘매출액이 100억원 이상인 자(단, 전자금융거래법 제2조제3호에 따른 금융회사는 제외)’, ‘전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자(단, 전자금융거래법, 제2조제3조에 따른 금융회사는 제외)’에 대해서 의무적으로 인증을 받게끔 하고 있다.

ISMS는 비용과 자격요건을 맞추더라도 인증 받기까지 긴 시간이 소요된다. 우선 정보보호관리체계 인증 취득을 위한 최초 심사를 받고 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사를 연 1회 이상 받아야 한다. ISMS 인증을 취득했다 하더라도 유효기간은 3년이다. 계속 인증을 유지하려면 3년 만료일 이전에 연장을 위한 심사를 또 받아야만 한다.

주요 대기업과 규모 있는 종합병원 등은 ISMS 인증을 대부분 받았다. 스타트업 중에서는 ‘배달의 민족’과 ‘야놀자’만이 ISMS 인증을 받았다.

한 스타트업 관계자는 “ISMS 인증이 받기도 까다롭고 받기까지 시간이 오래 걸린다. 특히 신규 서비스를 시작하는 O2O 스타트업들 중에서는 비용까지 만만치 않은 ISMS 인증은 쉽게 받기 어려운 면이 있다”고 말했다. ISMS 인증은 받기 어려운 대신 정부기관의 최상위 보안 인증인 만큼 이를 꾸준히 유지한다면 어지간한 해킹이나 정보 유출 가능성이 한결 낮아진다는 장점이 있다.

또 다른 스타트업 관계자는 “O2O 기업의 잇단 악재로 인해 대규모 투자를 받지 않은 스타트업들은 시스템 관리, 보안수준 개선 등에 대한 압박이 강해지게 됐다”면서 “꼭 갖춰야 하는 것이지만 이름 그대로 ‘스타트업’에 대기업 수준의 잣대를 요구한다면 스타트업 자체가 성장할 수 없게 될까봐 걱정된다”고 말했다.

party@sportsseoul.com