일본의 IT 기업 '하테나(Hatena)'가 4월 24일 발표한 뉴스는 IT 업계뿐만 아니라 일본 경영층에도 큰 충격을 주었다. 하테나는 악의적인 제3자로부터 "허위 송금 지시"를 받고 최대 약 11억 엔을 외부 계좌로 송금했다고 밝혔다. 사건은 4월 20일과 21일, 단 이틀 동안 발생했다. 이 소식은 필자가 참석한 경영자 모임에서도 큰 화제가 되었다. 한 경영자는 "솔직히 말해, 어느 회사에서도 일어날 수 있는 일이라고 생각했다"고 말했다.
블로그와 개발자 서비스를 제공하며 일본의 네트 문화에 기여해 온 하테나는 오래된 '비즈니스 이메일 사기(BEC)'로 인한 피해를 입었다. 주식 시장의 반응은 냉정했다. 주가 하락은 투자자들이 이 사건을 '경영의 근본을 흔드는 문제'로 인식했음을 명확히 보여준다.
한 경영자는 "다음 날 즉시 고문사에게 송금 절차를 재검토하라고 연락했다"고 밝혔다. 이 사건은 특정 기업의 실수로 볼 수 없으며, 모든 산업과 규모의 회사에서 발생할 수 있는 위험임을 보여준다.
이번 사건에서 주목할 점은 피해의 구조다. 외부에서 시스템에 불법 침입한 것이 아니라, 악의적인 제3자의 허위 송금 지시를 받은 직원이 직접 송금 작업을 수행한 것이다. IT 기업은 웹 서비스의 취약성과 서버에 대한 불법 접근에 대해 매우 높은 수준의 보안을 구축하고 있지만, '자금 이동 과정'에 대해서는 놀라울 정도로 아날로그적이고 개인적인 운영이 남아 있는 경우가 많다.
엔지니어링에서는 '버그를 허용하지 않는' 문화가 있지만, 백오피스의 워크플로우에는 그 엄격함이 미치지 않는 경우가 있다. 디지털 서비스를 사업의 핵으로 하는 기업이 내부 통제에서는 의외로 고전적인 약점을 가지고 있다. 이 갭이 이번 피해를 초래한 것으로 보인다.
위기 관리 홍보 업무를 하면서 "우리는 IT 회사이기 때문에 커뮤니케이션 전략은 상관없다"는 말을 종종 듣는다. 홍보 담당자가 없거나 있어도 부족한 IT 기업에서 많이 볼 수 있는 반응이다. 그러나 그것은 큰 오해라고 생각한다.
