데이터를 암호화하고 이를 빌미로 금전을 뜯어내는 '랜섬웨어' 등 사이버공격이 각국 정부의 중대 현안으로 떠올랐다. 해커들의 공격이 과감해지면서도 지능적인 전략을 동반함에 따라, 사이버공격 피해가 국민 안전과 국가 안보를 직접적으로 위협하는 양상으로도 나타나고 있어서다.
해커들이 격전을 펼치는 주 무대인 미국은 국가기관처럼 사이버전쟁에서 정보 탈취를 위해 노려지는 대상 외에도 수자원·정유 인프라 등 사회기반시설 및 각종 대기업도 해킹으로 몸살을 앓고 있다.
우리나라도 해킹이 극성인 건 마찬가지다. 일례로 작년 말 유통 대기업 이랜드는 랜섬웨어 공격을 받아 전산 오류가 발생, 일부 오프라인 매장의 영업이 중단됐다. 민간 분야 사이버공격 대응을 담당하는 과학기술정보통신부는 지난달 24시간 운영되는 랜섬웨어 대응 지원반을 설치했다. 피해 신고 접수가 예년 대비 3배 이상 증가하는 등 비상 대응 체계를 갖출 필요가 있다고 판단해서다.
과거와 달리 해킹 이후 백업 데이터와 재해복구를 통해 피해를 일단락하기도 쉽지 않은 상황이 됐다. 해커가 단순히 데이터를 암호화하는 데 그치는 게 아니라 외부로 빼돌린 뒤, 대가를 지불하지 않으면 공개하겠다고 협박하는 전략이 일반화됐다. 협박에 응하기도, 반하기도 마땅치 않다. 해커에게 금전을 지불하더라도 재협박 가능성이 남는다. 지불하지 않으면 기업 기밀이 유출될 수 있고, 탈취된 데이터에 고객 정보가 있는 경우엔 기업 신뢰도에 치명적인 타격을 입을 수 있다.
상황이 이러니 예방만이 최선이다. 최근 개인정보 및 정보보호 규제가 다방면으로 강화되고 있는 것은 이 때문이다.
개인정보보호위원회는 정보 유출 등 개인정보보호법 위반 시 과징금 기준을 관련 매출에서 연 매출로 높여 잡는 법 개정을 추진 중이다.
이달 초 국무회의에서 통과돼 반 년 뒤 시행되는 정보보호산업법 개정안은 '정보보호 공시' 제도에 따른 규제를 강화했다. 해당 제도는 투자 규모, 인력, 인증 등 기업의 정보보호 현황을 공개하는 것으로, 이번 개정안에서는 의무적으로 따라야 하는 대상 기준 및 불이행 시 처벌 조항이 생겼다.
중기업 이상에 대해 신고 의무를 부여하는 '정보보호최고책임자(CISO)' 제도도 위반 시 시정명령 조치만 가능했던 기존 법안을 개정, 보다 강화된 제재 규정이 곧 마련될 예정이다.
시의적으로 추진되는 정책임에도 산업계에서는 볼멘소리가 들려온다. 규제가 과도하고, 보안 수준을 강화하는 데 있어 실질적인 효과를 불러오지 못한다는 것이 주된 의견이다. 기업이 지켜야 할 의무를 추가하는 대신 자율적으로 보안을 강화하도록 유도하는 인센티브 중심의 정책이 바람직하다는 주장이다.
관련기사
- 'CISO 겸직제한 완화' 법안 국무회의 통과2021.06.01
- '정보보호 공시' 의무 기업 지정 법안, 국무회의 통과2021.06.01
- 랜섬웨어 공격 급증…정부, '대응 지원반' 운영2021.05.19
- 개인정보보호법 개정안이 우려되는 이유2021.04.07
기업 자율성을 훼손하지 않으면서도 바람직한 결과를 이끌어낼 수 있다면 이상적이겠지만, 보안 담당자들의 이야기를 들어보면 쉽지 않아 보인다. 실제로 과기정통부 관계자에 따르면, 지난 11일 열린 CISO 대상 랜섬웨어 대응 간담회에서도 이를 뒷받침하는 의견들이 나타났다. 참석자들이 사이버공격을 예방하는 데 있어 가장 어려운 점으로 '경영진 설득'을 꼽았다는 것이다. 보안에 대한 투자를 늘릴 필요가 있다고 아무리 강조해도, 당장 이익으로 돌아오지 않는 부분들이기 때문에 보수적으로 받아들인다는 하소연이다.
그러나 보안에 대한 투자는 '투자'이지, 단순 지출이 아니다. 피해가 현실화됐을 때 발생하는 경제적 손실과 기업 이미지 타격은 훨씬 막대하게 나타난다. 해커는 보안 허점을 찾기 위해 항시 호시탐탐 노리고 있다. 해킹 예방을 위해 보다 협조적, 건설적인 의견 개진이 이뤄질 수는 없는 걸까.