[IT강국, 보안부터]①美, IT창업할 때 보안전문가부터 찾는다

[이데일리 이유미 기자] 소셜네트워크서비스(SNS)업체 ‘페이스북’의 창업 이야기를 기반으로 한 영화 ‘소셜네트워크’의 한 장면. 학생들의 환호성 속에서 다섯명의 대학생들이 대학교 서버를 해킹하는 경쟁을 펼친다. 코드가 10줄 이상 넘어가거나 서버 담당자가 해킹 사실을 감지할 때마다 술을 한잔씩 마신다. 해킹 대회는 다름 아닌 페이스북 사업 확장을 위한 직원 채용 자리다. 해킹에 가장 먼저 성공한 대학생에게 마크 저커버그가 이렇게 말한다. “페이스북 입사를 축하해.”

국내 벤처회사 A는 서비스 시작 초창기에 고객정보가 유출됐다는 사실을 최근에서야 알게 됐다. A사는 당시 회사 규모가 너무 작아 보안을 신경쓰기 어려웠다고 변명했다. 어느정도 규모가 커진 지금 A사는 보안 관리를 철저히 하고 있다.

두 사례는 미국과 국내 기업들의 보안 관리에 대한 인식 차이를 극명하게 보여준다. 영화 소셜네트워크 속에 나온 장면은 페이스북의 사업이 번창했을 때를 담은 게 아니다. 페이스북에 마크 저커버그와 최고재무책임자(CFO)만 있을 때 얘기다.

국내 기업들, 서비스가 우선..보안은 뒷전

미국은 보안을 기본 인프라라고 여겨 서비스 시작 초기부터 신경써 관리한다. 하지만 우리는 서비스를 안정시키고 이용자를 늘리는 게 우선이다. 어느정도 서비스가 궤도에 들어서면 그제서야 보안을 강화한다.

보안업체 관계자는 “국내 대부분의 기업들은 예산 편성시 다른 서비스나 시스템 구축을 위한 예산을 집행한 뒤 여유가 있을 때 보안에 대한 투자를 늘린다”며 “보안 투자는 ‘예산이 남으면 하고 없으면 그만’이라는 인식이 강해 회사 경영이 어려워지면 보안 예산부터 줄인다”고 토로했다.

갈수록 IT보안 사고는 증가하지만 경기 불황 등을 이유로 정부나 국내 기업들의 보안 투자는 저조해 보안 시장은 제자리 걸음이다. 3.20 사이버테러 같은 사건이 있었지만, 지난해 국내 보안 시장은 전년 대비 2.5% 성장하는데 그쳤다.

정보보호(IT정보보안+물리보안)산업 규모 전망. (자료=지식정보보안산업협회)

美, 보안은 기업의 책임

보안 사고가 났을 때 1차적 책임이 누구에게 있는지도 해외와 우리나라는 다르다. 최근 논란이 되는 공인인증서와 액티브엑스(ActiveX)가 단적인 예다.

우리나라에서는 온라인으로 금융거래를 하거나 결제를 하려면 이용자가 직접 자신의 PC에 공인인증서와 액티브엑스를 설치해야만 한다. 이용자 컴퓨터에 저장된 아이디와 비밀번호, 계좌정보 등을 해커가 빼가지 못하도록 하기 위함인데, 전문가들은 이는 ‘보안의 책임을 고객 개인에게로 돌리는 행위’라고 비판한다.

만약 해킹 등을 통해 이용자의 정보가 유출돼 신용카드를 제3자가 사용했을 경우 보안솔루션을 설치하지 않은 이용자의 관리 소홀로 인한 이용자 책임이 되는 이유에서다.

반면 미국에서는 카드사용이나 금융거래가 타인에 의해 도용되면 이는 업체가 모든 책임을 진다. 미국 업체들이 보안 기술 개발에 투자할 수 밖에 없는 이유다. 미국 금융회사는 IT 예산 총액 중 보안 부분에 10% 정도를 투자하나 국내 금융회사는 1% 정도에 불과하다.

또 카드를 통한 금융 거래 역사가 긴 미국에서는 카드부정사용방지시스템(FDS)이 발달됐다. FDS는 실시간으로 이용자의 카드가 정상적으로 사용되고 있는지 감시한다. 가령 서울에 있는 사람이 소유한 신용카드가 갑자기 중국이나 일본 등 해외에서 사용된 흔적이 발생하면 해당 카드사에서는 즉시 확인절차에 들어간다. 카드 정보가 새어나가도 해커가 이를 사용하기 어렵게 만든 것이다.

임종인 고려대 정보보호대학원 교수는 “미국 기업은 고급 솔루션을 구입해 1차적으로 고객 데이터의 해킹을 막기 위해 노력한다”면서 “그럼에도 해킹을 통해 사고가 발생하면 기업들은 보험처리로 피해자들에게 보상을 해주기 때문에 이용자들의 정부 유출 불안 심리는 한국보다 덜하다”고 말했다.