[IT강국, 보안부터]③소잃고 외양간 뚫려도 보안은 제자리

[이데일리 이유미 기자] 10여 년 전인 2003년 1월25일. 9시간 동안 전국의 인터넷 접속이 동시에 중단되는 초유의 사태가 발생했다. 당시 인터넷 대란은 ‘슬래머 웜’이라는 신종 바이러스에 감염된 PC들이 대량의 데이터를 KT(030200)혜화전화국에 전송해 트래픽을 집중시키면서 시작됐다. 국내 사이버 보안 사고의 경각심을 알리는 첫 계기였다.

10년이 지났지만 갈수록 보안사고가 더 심각해지고 있다. 2009년부터는 홀수해 마다 D·DoS(분산서비스) 공격이 발생하고 있으며, 개인정보유출 사고의 횟수도 늘고 있다. 매번 정부는 대책을 세우지만 보안인식과 관리는 ‘제자리걸음’이다.

보안 사고 발생하면 정부의 입만 바라보는 기업들

올해 초 국내 KB국민·NH농협·롯데카드 등 카드 3사의 고객정보유출 사고가 발생한 후 금융위원회와 안전행정부는 정부합동대책반을 구성해 종합대책을 발표했다. KT의 고객정보유출 사고 때는 미래창조과학부와 방송통신위원회가 정보통신분야 개인정보유출 대책반을 구성했다.

우리나라는 보안사고가 나면 먼저 정부가 나서 원인을 조사하고 대책을 마련한다. 언론과 국민도 정부 역할을 운운하며 조사 결과나 향후 대책을 내놓으라고 압박하기 일쑤다.

하지만 보안전문가들은 이러한 정부 주도형의 보안 대응이 문제라고 입을 모은다. 정부 주도의 보안 대책은 기업들을 수동적으로 만들기 때문이다.

보안업계 관계자는 “사고난 기업 당사자가 제일 잘 알기 때문에 해당 기업이 발생한 피해에 대해 모든 책임을 다 지고 어떤 조치를 취할지 발표하는 것이 순서지만 우리나라는 일단 정부 기관에서 조사를 한 후 정부가 직접 대책을 마련할 때까지 기업에게 대기하라고 한다”며 “큰 규모의 보안사고가 나면 오히려 두 세 달 정도 보안 투자 공백기가 생기게 된다”고 말했다.

정부에서 시키는대로만 하면 면책

2008년 옥션과 GS칼텍스 등 최근 개인정보 유출사고 관련 소송에서 법원이 피해 고객의 손을 들어준 경우는 거의 없었다. 해킹 기술은 고도화되더라도 기업들은 해킹을 막기 위해 보안 대응을 강화하지 않고 법적 요건만 준수하면 피해자들에게 보상을 하지 않아도 된다는 의미다.

올초 발생한 카드사 개인정보 유출 사고 때도 카드사들은 신청 고객에 한해 카드를 재발급해주고 한달에 300원인 카드 사용 통보 서비스 무료 제공을 수습 대책으로 내놓았다. 지난해 말 7000만건의 고객정보유출 사고가 발생한 미국 유통업체 타깃이 사건 수습을 위해 6100만달러(약 632억원) 규모의 비용을 쓴 것과는 대비된다.

임종인 고려대 정보보호대학원 교수는 “우리나라는 보안을 규제적 차원에서만 접근하고 있기 때문에 정부에서 규정한 부분만 잘 지키면 기업들은 보안 책임을 다하고 있다고 인식하고 있는 것이 문제”라며 “정부에서 지정한 부분을 보안의 최전선 기준이 아닌 최소한의 기준으로 여겨야한다”고 지적했다.

소극적인 보안 투자로 기술개발도 힘들어

이 때문에 IT를 활용한 서비스는 기하급수적으로 커지고 있지만 보안 시장은 이를 따라가지 못하고 있다. 국내 보안시장이 커지지 않으니 보안업체들은 보안 기술개발(R&D)에 투자할 여력도, 고급 인재를 유치하기도 어려운 실정이다.

심종헌 지식정보보안산업협회장은 “예전에는 집을 다 짓고 난 뒤에 대문에만 보안 장치를 했지만 이제는 보안을 기본 인프라로 보고 집을 설계할 때부터 보안을 고려해 대문 뿐 아니라 창문, 벽, 기둥에도 적용해야한다”고 강조했다.