[뉴스토마토 신대성 기자] 최근 국내에서 대규모 개인정보 유출이 잇따르면서 인적자원(HR) 업계의 보안 관리에도 경각심이 커지고 있습니다. 특히 외국계 자본으로 넘어간 주요 HR 기업들이 늘어나는 가운데, 회원 정보가 이미 해킹돼 불법 거래된 정황까지 포착되면서 업계 전반이 긴장하고 있습니다.
업계는 다크웹 모니터링을 통해 유출 징후를 상시 확인하고 있지만, 일각에서는 "소 잃고 외양간 고치는 격"이라는 비판도 나옵니다. 해킹이 발생한 이후 다크웹에서 유통 여부를 확인하는 것은 이미 사후 대응 단계에 불과하기 때문입니다. 다크웹은 암호화된 경로를 통해 접근 가능한 폐쇄형 네트워크로 개인정보, 불법·범죄 거래가 성행되는 공간입니다.
28일 업계에 따르면 국내 주요 HR 플랫폼들은 일제히 보안 강화에 나섰습니다. 잡코리아는 외부 보안 전문 기업과 협력해 상시 보안 점검과 다크웹 모니터링을 진행 중이며 다중인증(MFA) 의무화 등 보안 체계를 강화했다고 밝혔습니다. 잡코리아 관계자는 "현재까지 다크웹 상에서 회원 정보 유출 정황은 확인되지 않았다"면서 "이상 징후가 발견되면 즉시 관계기관과 공조해 대응할 것"이라고 했습니다.
사람인(143240)은 외부 전문 업체를 통해 다크웹 계정 정보 유출 여부를 상시 점검하고, 방화벽·웹방화벽·DDoS 대응 시스템을 운영 중입니다. 개인정보보호 관리체계 인증(ISMS-P)을 유지하며 내부 보안 교육과 자율 점검도 강화하고 있습니다. 인크루트는 지난 3월 '개인정보보호 태스크포스(TF)'를 꾸리고 정보보호위원회를 발족하는 등 보안 조직을 재편해 운영 중입니다. 내부 보안 인식 제고와 정례 회의를 통해 관리 체계를 고도화하고 있습니다.
원티드랩(376980)은 지란지교소프트가 출시한 '제로다크웹(Zero Darkweb)' 솔루션을 도입해 상시 모니터링을 수행 중입니다. 잡플래닛은 다크웹 감시보다 사전 차단 체계에 집중해 개인정보 접근 권한을 최소화하고 2단계 인증과 함께 클라우드 보안 기업(클라우드플레어·메가존클라우드 등)과 협업 중입니다.
리멤버 역시 대규모 직장인 정보를 보유한 만큼 보안 리스크에 민감하게 대응하고 있습니다. 회사는 구체적 보안 체계를 공개하지 않은 채, CISO(정보보호 최고책임자) 주도로 상시 모니터링과 내부통제를 강화하고 있습니다. 최근 국정감사에서 개인정보 유출 문제가 언급된 이후 보안 경계 수위를 높인 것으로 알려졌습니다.
하지만 업계에서는 "다크웹 모니터링은 유출 이후의 조치일 뿐 실효성이 낮다"는 비판도 제기됩니다. 실제 인크루트는 지난 1월 해킹 공격으로 약 730만명의 개인정보가 유출된 바 있습니다. 해커는 직원 PC에 악성코드를 심어 내부 데이터베이스(DB)에 접근했습니다. 인크루트는 비정상 트래픽을 인지하고도 즉시 대응하지 않았다가 해커의 금전적 협박 메일을 받은 뒤에야 유출 사실을 확인했습니다.
업계 한 정보보안 전문가는 "유출 이후 다크웹에서 모니터링하는 것은 이미 손을 쓸 수 없는 단계"라며 "정보가 다크웹에 올라갔다면 해커는 이미 기업을 상대로 금전적 요구를 하는 경우가 많다"고 설명했습니다. 이어 "사후 대응보다 내부통제, 접근권한 관리, 데이터 암호화 등 구조적 예방 체계를 갖추는 것이 핵심"이라고 강조했습니다.
결국 업계 전반에 걸친 보안 인식 제고와 선제적 예방 체계 구축 없이는 다크웹 유출 악몽이 되풀이될 가능성이 크다고 볼 수 있는데요. 구직자 이력서와 개인정보 유출이 곧바로 범죄로 이어질 수 있는 만큼, 사후 대응보다 근본적 보안 투자 확대가 시급하다는 지적입니다.
(사진=픽사베이)
신대성 기자 ston9477@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지