[우보세] 보안 유니콘 하나 없는 IT강국

[편집자주] 뉴스현장에는 희로애락이 있습니다. 그 가운데 기사로 쓰기에 쉽지 않은 것도 있고, 곰곰이 생각해봐야 할 일도 많습니다. '우리가 보는 세상'(우보세)은 머니투데이 시니어 기자들이 속보 기사에서 자칫 놓치기 쉬운 '뉴스 속의 뉴스' '뉴스 속의 스토리'를 전하는 코너입니다.

연초부터 등골 서늘한 뉴스들이 사이버보안 업계를 훑고 지나갔다. 올 들어 한달 남짓 된 시점에 국내 대표 통신사 LG유플러스에서 벌써 세 번이나 DDoS(분산서비스거부) 공격으로 서비스 장애가 발생했다. LG유플러스에서는 이와 별도로 29만명 규모의 개인정보 유출사고도 있었다.

설 연휴를 즈음해서는 '샤오치잉'(Xiaoqiying)이라는 중국 해커조직이 대한건설정책연구원, 한국고고학회, 한국사회과수업학회 등 12곳의 홈페이지를 해킹했다며 이들 기관들로부터 털어간 개인정보를 공개하겠다고 으름장을 놓기도 했다.

한국은 지정학적 위치상 사이버공격을 가장 많이 받는 나라다. 당장 휴전선을 마주하고 있는 북한이 있다. 지난해만 해도 정부 및 공공기관을 사칭하거나 이태원 사태 및 카카오 대란 등 사회적 이슈를 악용해 악성코드를 유포하려는 북한발 시도가 다수 확인됐다. 러시아, 중국 등도 해커집단이 왕성하게 활동하는 나라들로 꼽힌다.

한 보안업계 관계자는 "다른 나라들에서 1년에 걸쳐 이뤄질 법한 공격들이 한국에서는 매일처럼 이뤄진다"며 "사이버 공격을 무수하게 받은 만큼 과거처럼 어이없이 털리는 경우는 줄었지만 공격은 매년 지능화·고도화되고 있고 아직 확인되지 않은 허점을 노린 공격도 계속 진행되고 있다고 봐야 한다"고 지적했다.

이같은 공격에 대응하기 위한 민간·공공의 유기적 대응 노력이 있기는 하다. 랜섬웨어 방지를 위한 민관 합동 대응 체계를 구축한 것이나 SW(소프트웨어) 공급망 보안, 제로트러스트(Zero Trust) 보안 등 대안 마련을 위한 전문가 포럼을 활성화한 것들이 대표적이다.

그러나 사이버보안의 첨병 역할을 맡는 민간 기업들은 영세한 수준을 면치 못하고 있다. 지난해 9월 발간된 정보보호산업 실태조사 보고서에 따르면 국내 정보보안 관련기업 669개사 중 자본금 50억원 이상 기업의 수는 46곳에 불과하다. 나머지 623개사가 자본금 50억원 미만의 영세한 규모다. 평균 연매출은 68억원 수준이다.

전 세계적으로 사이버보안 부문에서 유니콘(기업가치 1조원 이상)으로 평가받는 기업이 42곳이나 있지만 한국은 단 한 곳도 없다. 미국이야 워낙 IT 강국으로 분류돼 있는 만큼 31곳의 유니콘 기업을 보유하고 있는 나라이지만 한국과 유사한 지정학적 위치에 놓인 이스라엘에는 6개의 유니콘 기업이 있다. 2021년말 기준 이스라엘의 GDP(국내총생산)는 4885억달러(최근 환율 기준 약 611조원)으로 한국 GDP(1조8110억달러)의 약 4분의 1에 불과하다는 점을 감안하면 우리에게도 시사하는 바가 크다.

또 다른 보안업계 관계자는 "한국만큼 IT 기술수준이 높다고 평가되는 나라에서 사이버보안 유니콘이 단 한 곳도 없다는 것은 그만큼 이 업종이 도외시돼 왔다는 걸 의미한다"며 "사이버보안 인재 10만명 양성이라는 국정과제를 현실화하기 위해 어떤 노력이 있었는지 반성해야 한다"고 지적한다. 사이버보안업에 그만큼의 우수한 인재들이 몰려들 만큼 키우려는 노력이 과연 있었느냐는 비판이다. IT강국 한국이 주변국 해커들의 맛집으로 전락하는 상황을 더 이상 방치해선 안된다.

황국상 기자 gshwang@mt.co.kr