[이코노미스트 라예진 기자] 국내에서 연달아 발생한 대형 해킹 사태가 기업을 넘어 정부 차원의 대응책에 대한 아쉬움까지 드러내고 있다. 사이버 공격은 갈수록 지능화되고, 그 피해는 국민과 국가 안보 전반에 영향을 미치고 있음에도 불구하고 정부의 대응은 여전히 뒷북 행정에 머무르고 있기 때문이다. 

가장 큰 문제점으로 꼽히는 행정 시스템은 ‘칸막이 대응’이다. 해킹 사건이 터졌을 때 국가기관이 원팀이 돼서 움직이는 미국과 달리, 한국은 과학기술정보통신부, 금융위원회 등 각 소관 부처별로 해킹이 발생한 기업을 각각 조사해 종합적인 해킹 대응이 어려운 상황이다.

실제 미국은 기업 해킹 사건이 발생하면 백악관을 중심으로 국가안보위원회(NSC), 연방수사국(FBI), 사이버보안·인프라보안국(CISA), 연방통신위원회(FCC) 등 관련 기관이 모두 모여 해당 해킹 사실을 조사하고 침해 확산을 막기 위한 원팀 형태의 비상 대응팀을 운영한다. 

반면 한국 사례를 살피면 앞서 발생한 SK텔레콤 유심 해킹, KT 불법기지국 사건 등은 과학기술정보통신부가 대응했지만 롯데카드 해킹은 금융위원회가 조사하고 후속 조치를 강구했다. 심지어 이 안에서도 서로 다른 조사 결과를 내놓는 경우도 있어 혼란을 야기하기도 했다.

SK텔레콤 유심 해킹 사태 이후 개인정보위원회와 과기정통부가 번갈아가며 사건 조사 결과를 발표했는데, 당시 서로 엇갈린 결과를 내놓았던 것이다. 실제 지난 4월 과기정통부는 유출 정보 범위에 대해 ’단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인됐다’ 중간 조사 결과를 발표했지만 개보위는 ’유출 정보가 25종에 달한다’며 단말기 고유식별번호 외에도 핵심 식별 정보의 유출 가능성을 계속해서 말해왔다. 사건이 발생했을 때 총괄적으로 조사하고 발표하는 컨트롤타워가 존재하지 않고, 각 부처가 각기 다르게 조사하고 제각각의 발표를 하면서 최종적 조사 결과가 나오기 전까지 SKT 피해자들은 정확한 정보가 무엇인지 파악하기 어려웠다. 

국가적 보안산업 키울 때  

최근까지 사이버 보안에 대해 안일하게 여긴 정부의 태도도 아쉬운 부분이다. 종전까지 정부는 기업의 보안부분에 대해 자율적으로 맡기는 경향이 컸다. 하지만 잇따른 해킹 사고에 정부의 관리 감독이 이제야 필요하다는 시선이 더해지고 있다.

실제 최근 발생한 롯데카드 해킹 사건 이후, 금융위는 금융권이 최고경영자(CEO) 책임으로 전산시스템과 정보보호 체계를 점검하고, 금융감독원ㆍ금융보안원 등을 통해 점검 결과를 면밀히 감독할 수 있는 시스템을 갖출 것을 밝혔다.

권대영 금융위 부위원장은 “지난 10년간 큰 사고가 없었기 때문에 보안 예산과 인력 확보를 자율에 맡겼지만 소홀했던 측면이 있다”며 “망 분리 등 디지털화가 빨라지면서 취약점이 늘어난 측면이 있어, (보안 관련) 조직ㆍ인력을 CEO 관리 하에 배치하는 방안을 검토 중”이라고 설명했다. 지난 2014년 1억건이 넘는 카드사 정보 유출 사태 후에 정부는 금융보안원을 설립해 보안 문제를 살폈지만, 10년 후 해킹 사건이 발생하면서 더 강력한 제재가 필요하다는 것을 이제야 깨달은 셈이다. 

정보보안이 중요해졌지만 국가적으로 보안산업을 키우지 않은 것도 현실이다. 실제 국내 정보보안 기업들은 대부분 중소기업 규모로 아직까지 열악한 산업 생태계로 이뤄져있다. 지난해 과기정통부가 실시한 정보보호산업 실태조사에 따르면 국내 정보보안 기업 중 자본금이 10억 미만인 소규모 기업은 71%이고 20인 미만 사업장은 42%로 절반 가량에 달했다. 

허술한 국정자원 관리 체계  

지난 9월 26일에 발생한 국가정보자원관리원 화재 사고도 정부의 허술한 디지털 인프라 관리 태도를 보여줬다. 이번 화재로 국민신문고·인터넷우체국·복지로·사회서비스포털·정부24·국민비서·나라장터 등 주요 정부 업무시스템이 멈췄었다. 국정자원 5층의 한 전산실에서 화재가 발생하면서 전산실에 있던 전산장비 740대와 배터리 384대가 전소되면서다. 

문제는 백업 시스템이 전혀 갖춰지지 않았다는 점이다. 화재가 난 전산실은 국정자원이 자체 운영하는 프라이빗 클라우드 환경이다. 대규모의 데이터를 관리하는 곳인 만큼 이곳에서 어떠한 상황이 벌어지더라도 다른 곳에서 백업이 가능한 재난복구(DR) 시스템이 갖춰져야 하는데 이중화 작업이 없었던 것이다.

이는 화재가 아닌 정보 보안이 뚫려 마비가 발생할 경우도 같은 상황이다. 구조적 취약성도 문제였다. 전산센터는 본래 데이터센터 용도로 설계된 건물이 아니었다. 전화국 건물을 개조해 사용하는 과정에서 UPS 배터리와 서버실이 물리적으로 분리되지 못한 구조로, 리튬이온 배터리 설치 위치의 문제 등 기본적 안전 원칙이 지켜지지 않았다. 일각에서 '예견된 사고였다'고 분석한 이유도 이 때문이다.  

한편 이 같은 상황에 전문가들은 정부 차원의 사전 예방 중심의 보안 정책 및 시설 점검 등이 필요하다고 입을 모은다. 한 IT 인프라 전문가는 “해킹이든 화재든 사고가 발생한 뒤에야 TF를 꾸리고 점검을 강화하는 방식이 반복되고 있다”며 “근본적 예방 체계 전환 없이는 똑같은 사고가 또 발생할 수밖에 없다”고 지적했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지