[경제포커스] 기업 처벌 강화가 해킹 대책인가

국가 배후 해커 집단 무차별 공격
정부가 보호막 역할 해야 하는데
문단속 잘하라 기업 다그치기만
못 막으면 AI 전환도 무용지물

지난달 24일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 대규모 해킹사고(통신·금융) 관련 청문회에서 김영섭 KT 대표이사를 비롯한 증인들이 선서를 하고 있다. /남강호 기자

해킹은 지금 이 순간에도 세계 곳곳에서 벌어지는 보이지 않는 전쟁이다. 미국의 한 보안업체는 초당 3만6000건의 해킹 시도가 있다고 했다. 하루 31억건이 넘는다. AI(인공지능)는 해커에게 손쉬운 공격 버튼을 쥐여줬고, 해킹의 양과 속도를 급격히 늘렸다. 인간 개입 없이 24시간 쉼 없이 전 세계를 동시다발적으로 공격한다. 올해 국내에선 통신사를 비롯해 온라인 서점 예스24, GS리테일 등 기업은 물론 정부 부처까지 유독 해킹 사건이 많았다. 클라우드 플랫폼인 스노우플레이크, 디올·티파니·루이비통 등 명품 브랜드, 오러클의 개인정보 유출 사고까지 글로벌 차원에서도 그렇다. 국가 단위 해커 그룹이 정부·기업·개인 가리지 않고 무차별 정보 사냥을 벌이고 있다.

정보통신 업체 고위 임원은 이런 해커를 바퀴벌레에 비유했다. 바퀴벌레를 영원히 박멸할 수 없듯이 해커도 마찬가지이고, 아무리 철저히 대비해도 마음먹고 덤비면 막을 방법이 없다는 것이다. 보안 관련 투자와 전문 인력을 늘리고, 매일 대책 회의를 하면서도 해커의 공격 대상이 되지 않도록 하루하루 기도하는 심정이라고 한다.

국가가 배후인 해킹 조직까지 등장하면서 이젠 개별 기업이 공격을 막아내는 것은 사실상 불가능하다. 비용이나 효율성 측면에서 정부가 1차 보호막이 돼야 한다. 이스라엘의 미사일 방공 시스템인 아이언돔 같은 사이버돔을 만들고, 정보기관이 해킹 조직, 공격의 시기·방식 정보를 기업과 사전 공유하고 대비하는 민관 협력도 필요하다. 보안 전문가를 키워내는 일도 시급하다. 기업들은 정부 닦달에 보안 인력을 2~3배 늘렸지만, 숫자보다 노하우를 가진 전문가 한 명이 절실한 상황이다. 하지만 노련한 정보 보안 전문가를 구하기는 쉽지 않고, 수 년간 투자해 키워 놓으면 다른 회사가 스카우트한다.

기업은 정부에 기대지만, 제 집 단속도 못 해 해커에 놀아난 정부가 보호막 역할을 할 능력이나 의지가 있는지 의문이다. 정책 보고서, 인사 자료, 국가 기밀이 오가는 행정안전부 중추 신경망인 온나라시스템이 뚫렸고, 해커가 현관문 비밀번호를 누르고 들어가 휘젓고 다녔는데도 3년 동안 깜깜이였다. 한 해커가 다른 해커의 컴퓨터를 털었더니 행정안전부를 비롯해 외교부·통일부 같은 정부 부처 자료가 줄줄이 나왔다며 해커 잡지에 글을 올리면서 알려졌다. 제 집도 제대로 지키지 못해 살림살이를 도둑맞은 정부는 집을 태워 먹고도 한 달이 되도록 복구조차 못 하고 있다. 그래도 책임지는 사람이 없다. 해킹 사고가 난 기업을 몰아치던 것과 다른 이중 잣대다.

해킹과 전쟁을 선포한다며 범정부 대책이라고 내놓은 것도 사전 대비보다는 기업 벌주기, 기업 부담 늘리기뿐이다. 기업이 알아서 해킹을 막고, 그렇지 못하면 더 강하게 처벌하겠다는 것이다. 머지않아 중대재해처벌법처럼 해킹 사고가 나면 최고경영자(CEO)를 형사처벌하자는 얘기까지 나올지 모르겠다. 기업에서는 “해커들은 국가 단위 조직으로 대포 쏘며 덤벼드는데 정부는 기업에 사설 경비원 더 뽑아 대포 막으라고 다그치고 있다” “중대재해처벌법 만들어 처벌 강화한다고 산업 재해가 줄었느냐”는 비판이 나온다. 정보보호 공시 의무를 상장사 전체로 확대하겠다는 데 대해서도 “대문 다 열어 놓고 도둑 막으라는 것과 같다”고 지적한다.

정부가 모든 산업 분야에서 AI 전환을 추진하지만 정작 보안에 대한 정책이나 예산 투자는 뒷전이다. 해킹을 막지 못하면 AI 3대 강국도 모래성일 뿐이다. 기업들은 해킹 전쟁터에서 맨몸으로 싸우는데 정부는 계속 뒷짐만 지고 있다.