[기자수첩] ‘해킹’의 책임, 기업만의 몫인가

[천지일보=황해연 기자] “올해는 대한민국이 탈탈 털린 해다.”

올해 진행됐던 국회 과학기술정보방송통신위원회(과방위) 관련 국정감사에서 국민의힘 이상휘 의원이 “내년엔 털릴 게 없는 대한민국이 될 수도 있다”며 이같이 밝혔다.

이처럼 올해는 통신사·카드사뿐 아니라 정부 기관을 향한 해킹 공격까지 잇따랐다. 공격을 당할 때마다 개인정보가 털리고 금전적인 피해도 발생했던 ‘해킹의 해’라고 해도 과언이 아닐 정도다.

국민 불안이 극에 달하는 걸 넘어 심지어는 “모두의 개인정보가 털리니까 괜찮아”라는 말이 나오고 ‘앞으로는 또 어떤 곳에서 털릴까’하는 생각을 당연하게 할 정도로 이제는 보안 감각이 무뎌짐과 동시에 불안과 체념이 뒤섞여 해킹에 익숙해진 상황이다.

과거와 달리 지금의 사이버 공격은 개인 해커의 장난 수준이 아니라 공격 주체가 범죄조직을 넘어 국가 단위로 확대되고 인공지능(AI)과 암호화 등 기술이 발전함에 따라 공격 방법도 시시각각 진화하고 있다.

이제는 기업 한 곳의 보안시스템으로는 완벽한 방어가 어려운 게 사실상 현실이다. 그러나 아직도 사고가 터질 때마다 정부는 ‘기업의 보안 관리가 부실했다’ ‘정보를 유출한 기업이 책임져야 한다’ 등의 판단으로 기업만 나무라고 있다.

올해 국정감사에서만 봐도 그 현실이 드러난다. 최근 무단 소액결제 사태가 발생한 KT의 김영섭 대표뿐 아니라 조좌진 롯데카드 대표, 이상중 한국인터넷진흥원(KISA) 원장을 향해 여야 의원들은 “사퇴해야 한다” “사퇴할 의향이 있느냐” “책임지고 내려와라” 등 목소리를 높여 압박하고 몰아붙였다.

지금 필요한 건 더 강한 규제나 처벌이 아니라 사이버 공격을 막을 수 있는 ‘강력한 방패’다. 물론 기업도 앞장서서 디지털 보안 대응 전략을 마련하는 등 강화에 나서야겠지만 사이버 안보의 축인 정부가 실질적인 방안을 마련하고 감당하기 어려운 기업의 영역을 제도적으로 뒷받침해야 한다.

올해 해킹 사태를 보면 기업을 비롯해 행정안전부의 온나라시스템 등 주요 정부부처 시스템도 해킹 피해를 봤다. 이에 기업뿐 아니라 정부도 책임에서 벗어날 수 없다는 지적도 나오고 있다.

이에 정부는 최근 범부처 차원에서 정보보호 종합대책을 발표하기도 했다. 국가안보실을 중심으로 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등이 뭉친 것이다.

해킹 피해가 반복된 기업에는 징벌적 과징금을 강화하는 한편 내년 상반기 중으론 전 상장사 대상 정보보호 공시를 의무 적용한다는 등의 내용이 담겼다. 이 외에도 ▲이통사 및 1600여개 IT 시스템 대상의 대대적인 취약점 점검 ▲정부 보안인증 ‘ISMS·ISMS-P’ 현장 심사 중심 강화 ▲예산 확대 및 일원화한 조사·대응 체계 정비 등도 포함됐다.

그동안 수많은 대책은 나왔으나 체감할 만한 변화는 크게 없었고 사이버 공격도 더 많이 늘어나기만 했다. 대응 방안을 냈다면 이제는 실행해야 한다.

지금의 해킹은 기업 한두 곳의 보안 역량으로는 막을 수 없는 국가 차원의 안보 문제다. ‘문책’으로 여론을 달래는 정부, 비난을 피하기 위한 ‘사후 보고’에 급급한 기업이 아니라 함께 머리를 맞대고 국가적 보안 역량을 높여야 한다.

이러한 악순환이 계속된다면 결국에는 또다시 사이버 공격의 피해자는 국민이 될 것이고 ‘AI 3대 강국’을 외치는 목소리마저 공허한 구호에 그치게 될 것이다.