"한번 뚫리면 끝" … 무사안일 버리고 경각심부터 시작

최근 사이버침해로 곤욕을 치르는 기업에게는 한 가지 공통점이 있다. 기존 보안 체계가 안전했으니 앞으로 안전할 것이라고 생각하는 막연한 믿음이 업무 전반에 자리 잡고 있었던 것. 이는 해커의 공격 대상이 되기 전까지만 유효했다. 이들이 당한 해킹 수법은 사전에 탐지가 불가능 새로운 수법이 아니었다.

3일 보안업계에 따르면 최근 잇따르는 해킹 사고는 하루아침에 갑작스럽게 터진 것이 아니다. 우리 사회 전반의 안일한 인식과 제도가 장기간 누적된 결과라는 것이 전문가들의 시각이다. 터질 것이 이 시점에 터졌을 뿐이었다는 이야기다.

가장 핵심은 제도다. 현행 정부의 규정 중심 보안 제도에서는 태생적인 한계가 있을 수밖에 없었다. 정부에서 정한 보안의 기준만 지키면 되는 개인정보보호법, 정통망법 등의 규정은 최소한의 조건만 충족하면 기업의 책임을 최소화할 수 있기 때문이다.

이 한계는 최근 해킹 사태에서 고스란히 드러는 중이다. 쿠팡을 비롯해 SK텔레콤, KT, 롯데카드, 두나무 등은 모두 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 획득한 곳이다. ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는, 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다.

박춘식 전 아주대 사이버보안학과 교수는 “정부의 규제에 의해 어쩔 수 없이 하는 보안체계에서 기업의 투자나 인식 모두 최소화하려는 경향이 생긴다”며 “그렇다보니 보안 문제가 터지고 정부가 과징금을 부과해도 이를 피해나가려고 할 뿐, 더 잘해야 된다 생각하지 못한다”고 지적했다.

실제 정부가 개인정보 유출 사건 시 내릴 수 있는 제재는 지금까지 개인정보보호위원회의 과징금 정도가 고작이었다. 이마저도 피해 규모에 비하면 솜방망이에 불과했다. 단적으로 쿠팡은 최근 개인정보 유출 이전에도 세 번의 유출 사고가 있었는데, 과징금과 과태료는 16억원에 그쳤다. 기업 입장에서는 보안에 수백억원을 투자하기 보다는 정부의 제재를 받는 것이 남는 장사였던 셈. 

이 때문에 정부 주도의 규제보다는 ‘자율 보안’에 중점을 둬야 한다는 지적이 나온다.

박 전 교수는 “자율 보완을 통해 기업이 스스로 보안을 강화하고 이것이 이뤄지지 않았을 때 정부에서 아주 강하게 책임을 물어야 한다”며 “집단손해배상에 징벌적 배상을 통해 아주 망할 정도의 책임을 묻게 한다면 기업 입장에서는 보안에 투자하지 않을 수 없다”고 분석했다.

물론 국내에서도 2015년 개인정보보호법에 징벌적 손해배상제가 도입됐지만 현재까지 적용된 사례는 ‘제로’다. 기업의 중대과실을 증명하기도 쉽지 않고 법원의 손해 범위의 인정도 인색한 탓에 실효성이 없었던 것이다. 기업이 정부의 규제를 충족했다고 주장하는 것 만으로 상당한 노력이 인정되고 있다는 점도 문제다. 

현재 법원에서 인정하는 개인정보유출에 따른 피해액은 1인당 10만원 정도가 고작이다. 반면 미국에서는 1인당 3600만원의 배상액을 책정한 판결이 나오기도 했다. 

결국 정부가 뒤늦게 ‘국가 사이버안보 전략’을 수립 중이지만 아직 가야 할 길은 멀다. 정부는 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화하기로 했지만 입법 사항이 적지 않아 장기 과제가 될 가능성이 높다.

무엇보다 기업의 전향적인 인식 개선이 중요하다. 보안을 이익을 저해하는 비용으로 인식하는 상황에서 적극적인 보안 대책이 나올 수가 없다. 해킹, 정보유출 사고에서 대표이사에게 악성코드 검출 등이 보고되지 않은 사례도 여럿이다. 

황석진 동국대학교 정보보호대학원 교수는 “최근 해킹 사건은 고도화 된 침해 기술로 인해 뚫린 것이 아니라 충분히 막을 수 있었음에도 불구하고 관리적인 문제로 터진 것”며 “장비나 기술의 문제가 아니라 기본적인 인식의 문제, 관리 소홀의 일상화와 만성화가 가장 큰 문제”라고 지적했다.