이종현 칼럼

[취재수첩] 총체적 난국, 대한민국 사이버보안

이종현
[디지털데일리 이종현기자] 총체적 난국. 사이버보안을 취재하는 기자로서 한국 보안에 느끼는 감상이다. 정부, 정책, 기업, 인식 등 전방위적으로 문제가 쌓여있다 보니 무엇부터 지적해야 할지도 막막하다.

그럼에도 먼저 하나를 꼽자면, 사이버보안에 대한 윤석열 대통령의 태도다. 윤 대통령은 사이버보안을 국정과제로 삼은 첫 번째 대통령이다. 임기 직후 열린 한-미정상회담서 사이버보안을 강조하는 등 기대를 모았다. 하지만 임기가 1년여가 지난 현재, 윤 대통령이 사이버보안을 강조했던 것은 공(公)약 아닌 공(空)약이었던 것처럼 보인다.

2022년 공공부문의 정보보호 관련 제품·서비스 구매 예산은 7411억원이었다. 문재인 대통령 임기 시절 편성된 예산이다. 윤석열 대통령 임기에서의 첫 정보보호 예산인 2023년은 얼마일까. 6679억원이다. 전년대비 9.9% 줄었다. 공공기관의 사이버보안 수준이 이미 충분히 높은 수준이라면 수긍할 수 있겠지만, 현실은 그렇지 않다.

이는 ‘작은 정부’를 내세우는 현 정부의 기조 탓으로 보인다. 그런데 예산이 줄어든 것에 그치지 않는다. 공무원도 줄이는 중이다. 문제는 한국인터넷진흥원(KISA), 개인정보보호위원회(이하 개인정보위) 같은, 현재도 인력 부족에 시달리는 곳들도 인력 축소를 지시받았다는 점이다. KISA는 민간 영역 사이버보안을, 개인정보위는 개인정보 유·노출을 담당하는 곳이다. 이 기관들이 역할 축소는 사이버보안 및 개인정보 유·노출에 대한 대응력 약화로 이어진다.

당장 연초 발생한 통신사의 개인정보가 유출된 당시, KISA는 국회에 불려 가 ‘왜 선제적으로 유출 사실을 파악하지 못했나’라는 질책을 들었다. 당시 KISA가 속 시원하게 답하지 못한 말을 대신하자면, ‘충분한 예산과 인력이 없었기 때문’이다.

산발하는 위협에 대응하려면 고가의 사이버위협 인텔리전스(CTI)와 보안관제 서비스, 그리고 이를 관리할 전문인력 등이 필요하다. 200여명도 안 되는 침해대응 인원이, 또 약 1500억원의 사이버보안 예산으로 민간 전반의 사이버보안을 책임질 수 있다면 사이버보안에 수십조 예산을 투입하는 미국은 헛돈을 쓰는 셈이다.
판란트가 지적한 국내 온라인 보안 문제점 게시글에 업로드된 이미지. 그는 웹사이트를 이용하기 위해 5개의 보안 프로그램을 설치해야 하는 환경에 대해 비판했다.
판란트가 지적한 국내 온라인 보안 문제점 게시글에 업로드된 이미지. 그는 웹사이트를 이용하기 위해 5개의 보안 프로그램을 설치해야 하는 환경에 대해 비판했다.

기업들도 한숨이 나오기는 마찬가지다. 연초 독일 보안 전문가 라디미르 팔란트(Wladimir Palant)가 국내 사이버보안 제품 상당수에 문제가 있다고 공개 지적했다. 블로그에 ‘막다른 골목에 놓인 한국의 온라인 보안(South Korea’s online security dead end)’이라는 글과 함께 순차적으로 여러 기업들의 보안제품이 왜 문제인지, 어떤 취약점이 있는지 등을 게시했다.

사이버보안 기자이기 전에 대한민국 국민으로서 팔란트의 지적 대부분에 공감됐다. 하지만 금융 서비스의 주축이 PC에서 모바일로 넘어갔다거나, 또 문제의 원인이 사이버보안 기업보다는 수요기업에 있다는 등 변명의 여지가 있는 것도 사실이다.

문제는 이런 지적에 대하는 기업들의 태도다. 팔란트는 발견한 취약점을 개별 기업들에게 제보했지만 답을 받지 못했다고 한다. 실제 취약점을 지적받은 기업 중 한 곳이 기자간담회를 개최해 현장에서 “왜 취약점을 제보받고 피드백하지 않았나”라고 물었더니 “굳이 피드백할 필요가 있나. 그 사람이 우리 회사의 비즈니스 고객도 아닌데”라는 답을 내놨다.

황당한 것은 해당 기업이 팔란트가 한 것처럼 웹사이트나 애플리케이션(앱)의 취약점을 찾아내고 보완도록 돕는 화이트해킹 사업을 하는 기업이라는 점이다. 취약점을 찾은 이에게 보상금을 주는 버그 바운티(Bug Bounty)까지는 아니더라도, ‘어그로’ 취급을 한 것에 큰 실망을 느꼈다.

어느 한 기업의 문제가 아니다. 취재차 다크웹 등을 살피다가 한국 정보가 유출된 것을 확인해 제보하면 ‘무슨 목적이냐’고 묻는 것이 부지기수다. 통신사 유출때도 KISA 및 개인정보위에 최초 제보 후 빨리 대처해야 피해를 줄일 수 있다는 생각에 수차례 대응 상황을 물었으나 돌아오는 답은 ‘알아서 잘하고 있다’는 내용이었다. 무능력 이전에 무관심한 태도다.

사이버보안을 제공해야 할 수요기업도 문제가 있기는 매한가지다. 사실 팔란트가 지적한 PC 사이버보안 제품의 문제 대부분은 수요기업에 의한 것이다. 국내 사이버보안 전문가 다수는 “보안 플러그인 대부분은 서비스 이용 기업들을 지키기 위해서가 아니라, 사고 발생 시 기업의 책임을 회피하기 위해 설계됐다”고 말한다. 팔란트가 국내 보안을 두고 ‘가짜 보안 시장’이라고 지적한 배경이다.

문제는 기업들이 선제적으로 보안에 투자할 이유가 없다는 점이다. 사이버보안에 투자하는 글로벌 기업들은 모두 ‘보안사고가 나면 더 큰 비용을 치르게 된다’고 말한다. 반대로 말하면 더 큰 비용을 치르지 않는다면 보안에 투자할 이유가 없다. 이것이 한국 사이버보안의 근본적인 문제다.

이렇다 보니 사이버보안 기업들이 ‘좋은 보안제품’을 만들어도 팔리지 않고 구색을 맞추기 위한 낡은 보안제품이 팔리고 유지보수만 하는, 다소 이해하기 어려운 상황이 연출된다. 팔란트를 비롯해 많은 이들이 지적하는 가짜 보안 시장의 정체다.

실제 국내에서도 글로벌 사이버보안 제품 평가기관을 통해, 혹은 시장조사기관을 통해 경쟁력을 검증받은 기업들이 상당수 있다. 하지만 보안산업 전반에 대한 불신이 이들의 성장을 막고 있다. 해외에서 인정받은 기술이 국내에선 기회조차 부여받지 못하는 경우도 있다.

미국이나 유럽연합(EU) 등은 보안사고 발생 시 기업에게 천문학적인 과징금을 부과한다. 중국 차량공유업체 디디글로벌은 개인정보보호법 등 위반으로 1조5000억원의 과징금을 부과받았다. 인스타그램 4억300만달러, T모바일 3억5000만달러, 메타 2억7700만달러, 왓츠앱2억5500만달러, 우버 1억4800만달러 등 수천억원 이상 과징금 부과 사례도 드물지 않다. 과징금에서 끝이 아니다. 한국에서는 상상도 할 수 없는 수준의 손해배상소송 등도 이뤄진다.

2540만건, 1030만명의 개인정보 유출 사고가 발생했던 인터파크의 경우 2016년 45억원여의 과징금·과태료를 부과받았다. 또 그해 소송이 진행돼 5년 뒤인 2021년 1인당 10만원을 지급하는 것으로 마무리됐다. 피해자 중 보상을 받은 것은 5년 동안 소송 과정에 함께한 2400여명이다.

그나마 정보기술(IT) 환경이 온프레미스에서 클라우드로 옮겨감에 따라 상황이 나아질 것으로 기대된다. 사이버보안 기업은 좋은 기술로 시장에서 인정받고, 수요기업이나 공공기관은 이런 기술을 이용해 서비스의 안전을 강화하고, 정부는 이런 생태계가 잘 이뤄질 수 있도록 지원하는 바람직한 생태계가 꾸며지길 기대한다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널