해킹 사건에 숨겨진 불편한 진실
2025년은 우리나라의 통신사, 카드사, 유통회사, 정부기관 등 민관을 가릴 것 없이 대규모 해킹을 당하거나 공격을 받으면서 연쇄적인 정보유출과 보안 위기가 휩쓴 해였다. 그야말로 '해킹의 해'로 불릴 만하였다. 특히 SK텔레콤의 2천6백만 건 이상의 유심정보 유출은 유심 대란으로 이어졌고, 롯데카드의 297만 명의 가입자 정보 노출, 아시아나항공의 1만 명의 임직원 정보 노출, 예스24의 랜섬웨어 공격으로 시스템 마비, KT의 펨토셀을 이용한 해킹과 소액결제, 업빗트의 5백억 원 규모의 가상자산 탈취 그리고 연말에 쿠팡의 가입자 정보 대량유출로 그 정점을 찍었다.
해킹 사건은 특정 산업분야에 국한된 것이 아니고 산업전반에 걸쳐 있어, 언제 어디서 발생할지 모른다는 데 그 심각성이 크다. 또한 해킹은 민간기업만을 대상으로 하는 게 아니다. 정부기관도 예외일 수 없다. 보안상의 이유로 정부기관의 해킹 피해 사례가 제대로 알려지지 않고 있지만, 오히려 민간기업보다 더 빈번하게 공격이 시도되고 이미 무시하지 못할 수준의 피해가 발생하였는지도 모른다. 북한의 해커조직이 외교, 국방, 과학 등 분야를 가리지 않고 우리나라의 정보를 빼내려고 혈안이 되어 해킹을 시도한다는 사실은 공공연한 비밀이다.
방송보도를 통해 알려지는 해킹 사건 외에도 우리가 모르는 사이에 수많은 피해가 발생하고 있는지도 모른다. 실제로 일반 중견 중소기업의 경우 DRM(문서권한관리)은 고사하고 모니터링 시스템조차 갖추어지지 않은 곳이 많다. 그럴 경우 해킹 피해가 발생하고 수많은 정보가 외부로 유출된 사실조차 모르고 넘어간다. 인지가 안되기 때문에 신고도 되지 않는다. 정보의 유출은 외부자의 침입으로도 발생하지만 내부자에 의해서도 많이 발생한다. 조직의 관리 시스템이 느슨하면 내부자가 별 죄책감도 없이 단 몇 푼의 대가로 회사의 기밀이나 고객정보를 빼돌리기도 한다.
방송 보도를 통해 일련의 해킹 사건을 접하면서 한 가지 의구심을 떨칠 수가 없다. 통신사의 경우도 그렇고, 카드사의 경우도 그렇고, 유통사의 경우도 그렇고. 보도의 초점이 개인정보 유출에만 맞추어져 있다는 것이다. 해킹 사건은 분명히 범죄자에 의하여 벌어지는 범죄이다. 즉, 범인이 있는 것이다. 그럼에도 SK텔레콤의 해킹 사건이 발생한 지 8개월이 지났지만 범인이 누구인지 우리는 모른다. 그리고 정부기관이나 경찰에서 범인을 잡으려는 노력이나 하고 있는지 조차도 모른다. 다른 사건도 마찬가지이다. 정부와 정부 기관은 국민의 생명과 재산을 범죄자로부터 지켜야 할 책임이 있다. 그리고 당연히 범죄자들을 잡아들여 죄를 물어야 한다. 그러한 본연의 의무는 소홀한 채 국민의 눈을 다른 곳으로 돌리려고 하는 것은 아닌지 의심스럽다.
엄밀하게 말하면 해킹 사건의 1차 피해자는 해당 기업이다. 물론 내가 해당 기업을 옹호하려는 생각은 1도 없다. 해킹 사건으로 인해 개인정보가 유출되면 민간기업은 개인정보보호법, 전자금융거래법 등 관련법률에 의해 위반 사항에 대하여 처벌받는다. 그와는 별도로 범인을 잡는 것은 정부 기관의 몫이다. 거기에 대해서는 전적으로 정부가 책임져야 한다. 예를 들어 보자. 어떤 사람이 현관문 잠그는 걸 소홀하여 강도를 당했다. 그런데 경찰이 와서 왜 문을 잠그지 않았냐고 다그치고 벌금을 물린다면? 그러고는 정작 강도범을 잡는 데는 소홀하다면? 지금 돌아가는 게 딱 그 짝이다. 앞으로 해킹 사건으로 개인정보가 대량으로 유출되면 최대 매출액의 10%까지 징벌적 벌금을 매기겠다고 한다. 이쯤 되면 짜고 치는 고스톱이 아닌가 싶은 생각도 든다. 해킹범이 설칠수록 정부 당국은 가만히 앉아서 돈만 세고 있으면 되니 말이다.
해당 기업의 처벌도 좋고 벌금을 매기는 것도 좋다. 하지만 정부가 최우선적으로 해야 할 일은 방지대책을 세우고, 튼튼한 울타리를 쌓아 방어하고, 범죄자들을 소탕하는 일임을 잊어서는 안 된다. 이미 일개 기업이 해킹을 방어하기에는 역부족인 시대가 도래하였다. 막대한 인프라와 인력을 갖춘 통신 기업이 펑펑 뚫리는 상황에서 일반 기업들이 전문 해커들을 막기에는 정말 역부족이다. 내가 전에 근무했던 회사의 IT팀장을 겸직하고 있을 때, 알 수 없는 해커로부터 디도스(DDoS) 공격을 받은 적이 있었다. 엄청난 트래픽으로 시스템에 부하가 걸려 결국 셧다운 되고 말았다. 그리고 그들의 공격은 며칠간 계속되었다. 팀원들의 눈물겨운 방어로 끝내 뚫리지는 않았지만, 만약에 뚫려서 정보가 유출되고 회사 컴퓨터가 좀비가 되었다면 어떻게 되었을까. 그들이 요구하는 막대한 돈도 돈이지만 시스템이 정상화된다는 보장도 없고 그런 사태가 재발하지 않으리라는 보장도 없지 않은가. 그때를 생각하면 지금도 등골이 오싹하다.
그 사건을 겪은 후, 전문가로부터 보안 컨설팅을 받았다. 그 결과 생각지도 못했던 분야에 구멍이 뻥뻥 뚫려있다는 것을 알게 되었다. IT 직원들은 시스템 운영자, 프로그램 개발자, 네트워크 담당자 등 각 분야의 전문직이었다. 그러나 그들이 전반적으로 보안 업무에 대해서는 취약하였다. 아마도 많은 회사들이 그럴 것이다. 최소량의 법칙이라는 게 있다. 아래 그림과 같이 나무 물통이 있는데, 물통을 구성하고 있는 각 나무조각의 높이가 다르다면, 물통에 담을 수 있는 물은 가장 낮은 나무조각의 높이에 비례한다. 회사의 정보 보안도 마찬가지이다. IT 인프라, 방화벽, 접근경로, 내외부 인적보안, 화재나 침수로부터 보호받을 수 있는 물리적 상황 등. 그 각 분야의 높이가 고르게 유지되어야 한다. 다 높은 수준인데 하나가 낮다면 전체 보안 수준은 제일 낮은 분야에 수렴하는 것이다.
기업회계기준이라는 것이 있다. 회사의 사업성과와 재산상태를 나타내는 재무제표를 작성할 때, 정해진 기준에 근거하여 작성해야 한다는 것이다. 그래야 그것을 보고 투자자, 채권자, 소비자 등 외부 이해관계자가 회사의 상태를 알 수 있다. 그리고 외부기관인 공인회계사를 통하여 회사의 재무제표가 적정하게 작성되었는지 감사를 받도록 되어 있다. 재무제표의 공신력을 높이도록 한 조치이다. 상장기업의 경우 공인회계사의 의견거절이 나오면 상장 폐지되기도 한다. 회사의 정보보안도 마찬가지이다. 공신력 있는 기관으로 하여금 회사의 정보보안 수준을 감사토록 의무화함으로써 전반적인 보안 수준을 높일 수가 있다. 아마도 이 방식이 정부에서 주도하는 효과적인 방어 대책의 하나가 되지 않을까 싶다. 한편 한 번에 레벨 10의 수준을 구축하기에는 너무 많은 투자와 관리 인력이 소요될 수 있다. 따라서 사업 특성이나 회사 규모, 상장 여부 등을 따져 정보보안의 수준을 조정할 필요는 있겠다. 아무튼 정부에서 정부기관이나 민간기업의 정보보안에 대한 방어대책을 하루빨리 수립하기를 바란다.
"알아서 잘해! 그리고 뚫리면 각오해!"
각 기업에 책임을 떠넘기고 소극적이고 방관자적 자세를 취한다면 정부 당국의 자격이 없다. 적극적으로 대책을 수립하고 해킹 범죄자들을 잡아내어 엄벌에 처해야 한다. 올해가 해킹의 해였다면, 내년은 과연 올해보다 나을까? 3년 후, 5년 후, 10년 후에는 어떨까? IT에 대한 의존도가 높아지고, 인공지능 자율주행 암호화폐의 보편화 등 지금은 생각지도 못했던 사이버 사회가 도래할 텐데. 그때는 사이버 범죄를 어떻게 막을 것인가. 어쩌면 그 시기가 되면 사이버 공격으로 정부를 전복시키는 세상이 올지도 모른다. 특히 우리나라처럼 IT 인프라가 발전하고 의존도가 높은 나라일수록 더욱 위험할 수도 있다. 이에 대한 대비책으로 군 조직 내에 사이버사령부 창설을 주문하고 싶다. 적의 미사일 공격을 방어하기 위하여 요격 미사일 체계를 구축하듯, 적의 사이버 공격을 방어하고 나아가 적의 사이버 부대를 무력화시킬 수 있는 사이버 전투부대의 육성.
'사이버 범죄와의 전쟁'
앞으로는 사이버 범죄에 대하여 단순한 범죄자 단속이 아닌 전쟁 수준으로 대응해야 할게 아닌가 싶다. 특히 정부기관 및 기간산업을 공격하는 사이버 범죄자는 내란범 그리고 외국 조직과 내통하면 외환범으로 간주하고 그에 맞는 강력한 단속 및 처벌이 뒤따라야 하는 게 아닌가. 무능한 정권이 물러나고 일 잘하는 정권이 들어섰다고 자화자찬이 대단하다. 보여주기 식으로 경영자들 불러 호통만 칠게 아니고 제대로 실력을 보여줄 때다. 구관이 명관이라는 소리가 나오지 않게 잘했으면 좋겠다.
