대마산업 사이버보안 위험 증가...38만명 개인정보 유출 사태 발생

대마 소매업체 스티지(STIIIZY)가 2024년 11월 사이버 공격을 받아 약 38만 명의 고객 개인정보가 유출되는 사고가 발생했다. 에베레스트(Everest) 사이버범죄 조직의 소행으로 알려진 이번 공격은 결제 처리 협력업체의 시스템이 뚫리면서 여러 지점에 영향을 미쳤다. 이번 유출 사고로 고객의 이름, 주소, 생년월일, 운전면허증 번호, 여권번호, 신분증 사진, 서명, 의료용 대마카드 정보, 거래내역 등이 노출됐다.

대마산업은 급속한 성장세에도 불구하고 규제 부담, 분절된 금융 인프라, 주류 금융서비스 이용의 제한으로 인해 사이버 공격에 특히 취약한 상태다. 대마 소매업체들이 직면한 주요 과제 중 하나는 금융거래의 보안이다. 많은 업체들이 대마 구매를 현금자동입출금기(ATM) 인출로 위장하는 '무현금 ATM' 방식을 사용해왔다. 이러한 우회 방법이 금융시스템 내에서 영업을 가능하게 했지만, 규제당국과 금융기관의 감시가 강화되는 계기가 됐다.

이러한 감시와 우려로 인해 대마 관련 금융거래를 처리하려는 업체가 제한적이다. 위험을 감수하는 업체들도 다른 금융거래 처리업체들이 갖춘 검증된 사이버보안 보호 장치가 부족한 실정이다. 결제처리가 이미 취약한 상황에서 스티지 사례와 같은 POS 제공업체의 보안 침해는 고객 데이터뿐 아니라 업계의 금융거래 처리 방식의 구조적 취약성을 드러내며, 향후 이러한 거래 처리가 더욱 어려워질 수 있다.

대마 소매업의 제3자 업체는 금융거래에만 국한되지 않는다. 각 관할권마다 복잡하고 분절된 규제로 인해 제3자 업체들이 경쟁력 있는 가격으로 필요한 요건을 충족시키는 데 중요한 역할을 한다. 이들은 규정 준수 추적, 종자에서 판매까지의 재고관리, 고객 데이터베이스 등 외부 플랫폼을 운영하면서 여러 잠재적 실패 지점을 만들어낸다.

스티지 유출 사태는 대마 부문의 개인정보 도난에 대한 우려를 증폭시켰다. 다른 산업의 데이터 유출이 주로 금융 사기나 신분 도용으로 이어지는 것과 달리, 대마 소매업의 유출은 대마 사용에 대한 사회적 낙인과 법적 회색지대로 인해 추가적인 결과를 초래할 수 있다.

이번 사태의 주요 교훈은 대마산업 전반에 걸쳐 더 강력한 사이버보안 조치가 필요하다는 점이다. 기업들은 제3자 업체의 보안 관행을 평가하고 데이터 보호를 위한 업계 표준을 준수하도록 해야 한다. 많은 대마 소매업체들이 규정 준수 관련 기술에 많은 투자를 했지만, 사이버보안은 후순위로 밀려났다.

보안 강화를 위해 대마 기업들은 전송 중이나 저장된 민감한 고객 정보를 암호화하는 것을 우선시해야 한다. 내부 시스템과 제3자 통합에 대한 정기적인 보안 감사는 취약점이 악용되기 전에 식별하는 데 도움이 될 수 있다. 직원 교육도 필수적이다.

또한 대마 기업들은 보안 침해 발생 시 신속하게 대응할 수 있는 사고 대응 계획을 수립하고 유지해야 한다. 실시간으로 공격을 탐지하고 대응하는 능력은 침해로 인한 피해를 크게 줄일 수 있다.

정부 기관과 규제 당국도 대마산업의 사이버보안 표준을 개선하는 데 역할을 해야 한다. 많은 주에서 재고 추적과 규정 준수에 대한 엄격한 보고 요건을 의무화하고 있지만, 데이터 보안에 대해서는 유사한 요건을 시행하지 않고 있다.

고객들도 대마 소매업체에 개인정보를 제공할 때 수반되는 위험을 인식해야 한다. 대부분의 기업이 보안을 심각하게 받아들이지만, 데이터 유출과 끊임없이 진화하는 사이버보안 보호의 필요성은 항상 존재할 것이다.

폴 슈멜처 & 제이슨 슈웬트, 클라크 힐 PLC 사이버보안 변호사