[사설] 잇따르는 민간기업 해킹사고, 정부 책임은 없나

류제명 과학기술정보통신부 제2차관(오른쪽)과 권대영 금융위원회 부위원장이 19일 오전 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에 앞서 인사하고 있다. 이날 브리핑에는 해킹 사고가 발생한 KT 관계자와 롯데카드 관계자 등이 참석했다. [뉴시스]

━

‘칸막이’로 쪼개진 민간기업·금융회사의 보안 컨트롤

━

정부가 기업의 보안 투자 늘리는 유인체계 만들어야

민간 기업에 해킹 사고가 잇따르면서 국민 불안이 커지고 있다. 최근 발생한 KT 무단 소액결제 사고는 불법 초소형 기지국을 차량에 싣고 이동하며 KT 이용자의 휴대전화를 해킹하는 영화 같은 신종 기법이 동원됐다는 점에서 충격적이다. KT 고객 362명이 2억4000만원가량의 피해를 봤다. 피해는 당초 알려진 서울 서남권과 경기도 일부 지역을 넘어 서울 서초구·동작구, 경기도 고양시 일산동구 등에서도 일어났다. KT 서버마저 해킹당했고, 이를 당국에 늑장 신고했다는 비판까지 받고 있다. 롯데카드는 전체 회원의 3분의 1인 297만 명의 개인정보가 유출된 것으로 뒤늦게 드러났다. 유출 규모도 당초 금융당국 신고분의 100배가 넘는 200기가바이트(GB)에 달했다. 이보다 앞서 SGI서울보증 등 금융사에서도 해킹사고가 터졌다.

정부는 지난 19일 합동 브리핑에서 침해사고 사실을 고의로 지연 신고하거나 미신고할 경우 과태료 등의 처분을 강화하고, 해킹 정황이 확보되면 기업의 신고 없이도 정부가 조사할 수 있도록 제도를 개선하겠다고 밝혔다. 그러나 정부가 민간에 대한 처벌과 규제를 강화하는 대증요법만 낼 게 아니다. 인공지능(AI) 시대를 맞아 해킹 기법은 점점 고도화하고 있다. 이참에 민간과 공공을 아우르는 국가 전체의 보안 컨트롤타워가 제대로 작동하는지 점검할 필요가 있다. 현행 체제는 과기정통부 산하의 한국인터넷진흥원(KISA)이 민간 분야 개인정보 보호나 보안 침해 사고에, 금융위원회 산하 금융보안원이 금융 관련 해킹이나 개인정보 유출 사고에, 국가정보원이 공공·안보 분야에 각각 대응하고 있다. 그러나 이런 ‘칸막이 대응’으로 나날이 진화하는 해킹을 충분히 막을 수 있을지 의문이다.

해킹에 대비한 보안 투자는 기본적으로 민간 기업의 몫이다. 하지만 이를 뒷받침할 사회적 유인체계를 제대로 갖추는 것은 정부가 마땅히 할 일이다. 최근 해킹당한 기업 중에는 사모펀드가 대주주인 기업(롯데카드), 민영화한 공기업(KT), 예금보험공사가 대주주인 금융공기업(SGI서울보증) 등이 포함됐다. 성장을 위한 중장기적 투자 대신에 단기 이익만을 추구하는 기업 지배구조의 문제는 없는지 점검하기를 바란다. 실제로 사모펀드 MBK파트너스로 대주주가 바뀐 뒤 롯데카드의 보안 투자가 급감했고, 정보기술(IT) 임원 수도 전업카드사 중 최하위권이라는 지적이 나왔다. 사고가 터질 때마다 분노한 여론을 의식해 정부가 일방적으로 규제를 강화하는 관행이 반복돼서는 안 된다. 민간과 공공을 아우르는 국가 차원의 보안 컨트롤타워를 고민하고, 민간 기업이 뚝심 있게 보안에 투자할 수 있도록 합리적인 유인체제를 구축하는 데 정부가 적극적으로 나서야 한다.