삼성전자, 보안에 4,121억 썼다…정작 중소기업의 구멍은 ‘잊고 방치한 옛 홈페이지’다

samsung security investment neglected site risk 2026 thumb

삼성전자가 작년 한 해 정보보호에 4,121억원을 썼다. 정보보호 공시가 의무화된 2022년 이후 최대 규모로, 전년(3,478억원)보다 18.5% 늘었다. 흐름을 보면 더 분명하다—2022년 2,435억, 2023년 2,974억, 2024년 3,478억, 그리고 작년 4,121억. 4년 연속 증가다. 보안 전담 인력은 1,133명으로 11.6% 늘었고, 외주 보안 인력은 두 배 이상으로 뛰었다. 삼성SDS 등 계열사들도 일제히 보안 예산을 증액했다. 세계에서 가장 많이 공격받는 기업 중 하나가 매년 방어선을 이만큼씩 올린다는 것은, 해킹이 그만큼 값싸고 집요한 ‘산업’이 됐다는 뜻이기도 하다. 그런데 이 뉴스를 남의 이야기로 읽어도 되는 회사가 얼마나 될까. 공격자는 삼성만 노리지 않는다—오히려 방어가 허술한 쪽으로 흐른다. 그리고 중소기업 보안 사고의 상당수는 첨단 해킹이 아니라 ‘방치’에서 시작된다. 몇 년 전 만들어 두고 잊은 홈페이지, 담당자가 퇴사한 뒤 업데이트가 끊긴 앱. 수천억 예산 없이도 할 수 있는 보안의 첫걸음이 낡은 디지털 자산을 방치하지 않는 것, 즉 사이트 리뉴얼과 꾸준한 관리인 이유다.

사이트 리뉴얼
Photo by cottonbro studio on Pexels

공격은 정문이 아니라 잊힌 뒷문으로 들어온다

보안 사고 소식에서 반복되는 패턴이 있다. 뚫린 곳은 회사가 아끼는 최신 서비스가 아니라, 존재조차 잊고 있던 오래된 자산이라는 점이다. 유행 지난 이벤트 페이지, 개편 전 옛 사이트, 방치된 관리자 페이지—만든 지 오래된 사이트일수록 오래된 버전의 프로그램 위에서 돌아가고, 업데이트가 끊긴 프로그램의 알려진 취약점은 공격자에게 공개된 출입문과 같다. 요즘은 그 문을 사람이 아니라 자동화된 봇이 밤낮없이 두드린다. 회사 규모를 가리지 않는다는 뜻이다. 삼성이 4천억을 들여 지키는 것과 같은 것—고객 정보, 거래 내역, 회사의 신뢰—이 중소기업 서버에도 똑같이 들어 있다.

우리 회사 디지털 자산, 방치 신호 점검

  • 홈페이지를 만든 뒤 몇 년째 내용도 프로그램도 손대지 않았을 때
  • 주소가 아직도 자물쇠 없는 http로 열리거나 브라우저가 ‘안전하지 않음’을 띄울 때
  • 운영 중인 앱의 마지막 업데이트가 1년 이상 지났고 담당자도 없을 때

수천억 없이 시작하는 보안—낡은 것을 방치하지 않기

출발점은 오래된 사이트를 현행 기준으로 다시 세우는 사이트 리뉴얼이다. 최신 버전의 프로그램 위에 새로 올리는 것만으로 알려진 취약점 대부분이 함께 정리되고, 낡은 디자인이 주던 ‘관리 안 되는 회사’라는 인상까지 같이 걷힌다. 회사의 얼굴을 아예 새로 만드는 시점이라면 보안 설정과 유지관리 체계까지 갖춘 홈페이지 제작 업체를 통해 처음부터 관리 가능한 구조로 시작하는 것이 결과적으로 싸다. 그리고 앱을 운영하고 있다면 스토어 정책·보안 패치를 따라가는 앱유지보수를 끊지 않는 것—보안은 한 번의 구축이 아니라 계속되는 관리라는 원칙은 4천억을 쓰는 삼성이나 소기업이나 다르지 않다.

해커에게 가장 반가운 회사는 보안 예산이 적은 회사가 아니라, 자기 사이트를 잊은 회사다.

삼성의 4,121억은 따라 할 수 없는 숫자다. 그러나 그 숫자가 말하는 원칙—디지털 자산을 방치하지 않는다—은 오늘 우리 회사 홈페이지 주소를 한번 열어 보는 것으로 시작할 수 있다.

Posted in IT