주메뉴바로가기 본문바로가기

비즈한국 BIZ.HANKOOK

전체메뉴
HOME > Target@Biz > 비즈

개인정보 유출 전력 '밀리의 서재' 상장 재도전 앞둔 지금 상황은?

국내 최고 수준 인증 받는 등 개선 한창…"우려 해소되면 긍정적 효과, 지속적 관리 필요"

2023.07.28(Fri) 15:00:57

[비즈한국] KT 전자책 구독 플랫폼 ‘밀리의 서재’는 지난해 1만 명 넘는 회원정보가 유출되는 사고를 겪었다. 코스닥 상장을 준비하던 시기인 데다 2019년 이후 3년 만에 또 다시 해킹이 ​발생해 타격이 컸다. 발등에 불이 떨어진 밀리의 서재는 사고 직후 서비스와 시스템을 원점부터 점검하겠다고 약속했다.

 

최근 밀리의 서재는 기술 투자를 확대하고 조직적인 대응 구조를 다지는 등 수습에 한창이다. 7개월 만에 재도전하는 기업공개(IPO) 작업에도 긍정적인 영향을 끼칠 것이라는 전망이 나온다. 해킹 공격 이후 1년이 지난 지금 밀리의 서재 개인정보보호 시스템은 얼마나 개선됐을까.

 

지난해 두 번째 개인정보 유출로 이용자들의 불만을 샀던 밀리의 서재가 사이버 보안 체계를 쇄신하며 최근 정보보호 체계 인증을 받았다. 사진=밀리의 서재 제공


#회원 수 600만인데 “기본도 못 갖췄다” 

 

지난 6월 밀리의 서재가 해킹 공격의 먹잇감이 된 이유로는 서버 접근을 통제하는 조치 부재 등 기술적인 문제가 지목된다. 웹 방화벽 설정이나 IP주소 제약과 같은 체계가 미흡했다는 것이다. 주민등록번호 등을 포함한 신분증이 외부에서 권한 없이 접근할 수 있도록 방치된 사례도 200여 건에 달한다. 고객 개인정보 1만 3182건이 유출됐던 사태의 원인이 밝혀지면서 밀리의 서재는 지난 4월 개인정보보호위원회로부터 과징금 6억 8496만 원, 과태료 2040만 원이라는 철퇴를 맞았다. 

 

2021년 9월 KT그룹 산하 지니뮤직에 인수된 이후 외형을 키워가던 시기였지만 개인정보보호 역량은 미흡했던 것이다. 밀리의 서재는 2022년 상반기 누적 회원 수(4월 말 기준)가 450만 명을 기록했다. 한 해 동안 무려 30% 이상 증가했다. 올해도 150만 명 늘어 600만을 넘어섰다. 염흥열 순천향대학교 정보보호학과 교수(개인정보보호위원회 비상임위원)는 “반드시 지켜야 할 법적 요구 사항조차 지켜지지 않은 부분이 있다. 개인정보가 특정 주소에서 검색할 수 있는 상태로 노출된 것 역시 초보적인 조치가 상당히 미흡했던 사안”이라며 “과징금은 매출액 기준으로 산정된다. 기업 규모에 따라 책임을 묻는 구조”라고 설명했다. 

 

기본적인 안전조치가 갖춰진 상태에서 발생한 유출 사고는 과징금 처분 대상이 아니다. 하지만 밀리의 서재의 경우 애초에 시스템에 구멍이 있었다고 판단했다. 밀리의 서재는 지난해 매출액 458억 원을 기록했다. 전년(289억 원) 대비 58.8% 증가한 금액이다. 영업이익은 적자 145억 원을 기록하다가 41억 원으로 흑자 전환했다. 

 

지난해 6월 해킹 사고 이후 홈페이지에 게시된 사과문. 사진=밀리의 서재 홈페이지 캡처


#2019년 사고 이후 조치 ‘미흡’, 이번엔 다를까 

  

두 차례 홍역을 앓은 밀리의 서재는 쇄신에 나서고 있다. 최근에는 한국인터넷진흥원(KISA)이 주관하는 정보보호 관리체계(ISMS) 인증을 받았다. 총 80개의 세부 항목에 대한 심사를 거치는 국내 최고 수준의 인증 제도다. 사측에 따르면 추가 투자와 함께 전담 인력 확대와 전문 컨설팅 도입 등 후속 대응도 계획하고 있다.

 

염흥열 교수는 “과거에는 사고가 발생한 기업이 해당 인증을 받는 경우는 드물었다. 원인이 된 부분을 더 깐깐하게 점검하기 때문이다. 기술적 측면이나 조직 구성, 물리적인 조치(출입구 통제)가 모두 심사를 통과한 것이기 때문에 의미가 있다”고 평가했다. 

 

밀리의 서재는 KT그룹 산하 지니뮤직에 인수되기 전인 2019년 6월에도 해킹 공격 피해를 입었다. 당시 약 11만 명의 고객 정보가 유출됐다. 이때는 전담 인력을 배치하는 수준의 조치에 그쳐 두 번째 해킹 사태의 단초를 마련했다는 지적이 일었다. 

 

이 밖에 보안 구멍을 찾아낸 화이트 해커에게 ‘현상금’을 주는 제도도 운영된다. 네이버·카카오에 이어 최근 핀테크 기업 등이 활용하고 있는 ‘버그 바운티’ 프로그램이다. 올해 초 사이버 해킹 사고로 68억 원의 과징금을 물게 된 LG유플러스도 시스템 개선을 위해 도입 의사를 밝혔다.

 

김현걸 디포렌식코리아 대표(한국사이버보안협회장)는 “주로 큰 플랫폼에서 글로벌 기업을 벤치마킹해 운영하는 제도다. 취약점을 찾아내면 받는 상금도 크다”며 “두 번의 해킹 사고 이후 보안 시스템 강화에 노력하는 것으로 보인다”고 설명했다. 

 

사진=밀리의 서재

 

적자 상황에도 지난해 증시 문을 두드렸던 밀리의 서재에게 개인정보 유출 사고는 예기치 못한 악재였다. 고객 반발과 더불어 기업 이미지 훼손 등으로 잡음이 일었다. 밀리의 서재는 상장 철회를 선택한 이후 7개월여 만에 재도전에 나섰다. 이번에는 몸값을 낮춰 상장에 도전한다. 200만 주 공모에 도전했던 지난해와 달리 150만 주를 내놓았다. IPO 시장 회복세 기류에 올라탄 만큼 증시 입성에 성공하겠다는 의지로 해석된다.

개인정보 유출 사고 자체가 IPO 절차에 직접 영향을 끼치지는 않더라도 관련 우려가 해소된다면 사업 안정화 차원에서 긍정적인 효과가 있을 것이라는 시각이 나온다. 오일선 한국CXO연구소 소장은 “해킹 문제가 어느 정도 해결이 된 후, 사업적인 매력과 같은 서비스 경쟁력이 갖춰진다면 시장에서 더 관심을 받을 수 있다”고 말했다.

김현걸 대표는 “공인 관리체계 인증은 해외 시장에서도 체크하는 경우가 많아 영업 등에도 유리할 것”이라며 “다만 사고 발생 후 여러 보안 체계를 도입하더라도 시스템 업그레이드만으로 공격을 다 막을 수는 없다. 지속적인 개발과 관리가 필요하다”고 짚었다.​

강은경 기자 gong@bizhankook.com


[핫클릭]

· '동영상 촬영'으로 부실 시공 막을 수 있을까
· [단독] '치매' 정신감정 앞둔 조양래 한국앤컴퍼니 명예회장, 타워팰리스에 옥상정원 불법 조성
· "서비스 개선이 먼저" 카카오택시 '팁' 도입에 소비자 반응 싸늘한 이유
· [현장] '국내 최초 언팩' 삼성전자 갤럭시 Z 폴드·플립 5 공개
· 롯데월드타워 일부 시멘트 바닥 갈라짐…안전성 문제 없나?


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>