[디지털데일리 김보민기자] 지난 2월, 한국지능정보사회진흥원(NIA)에서 개인정보가 담긴 자료 파일이 유출되는 사고가 발생했다. 피해 규모는 6500여명. 자료에는 소속, 이름, 휴대폰번호 등 기본 정보가 포함돼 있었고 일부는 주소와 계좌번호 정보가 유출되는 피해를 입은 것으로 파악됐다.

유출 사고는 여기서 그치지 않았다. 같은 달 카카오엔터프라이즈는 내부 인프라 서버에 악성코드가 설치된 사실을 확인하고 한국인터넷진흥원(KISA)에 이를 통지했고, 개인정보보호위원회(이하 개인정보위)를 비롯한 관계 기관이 사실관계를 확인하고 있는 상황이다. 이번 사고 또한 임직원 60여명의 계정 정보를 유출하는 결과를 낳았다.

뿐만 아니라 지난 1월 GS리테일, 이달 블랙야크 등 패션·유통 업계에서도 고객 정보가 유출되는 사고가 이어지고 있다. 인사관리(HR) 기업 인크루트는 외부 공격에 의해 일부 고객 정보가 유출된 것으로 의심되는 정황을 확인했다고 전날 공지했다. 올해 역시 공공과 민간을 가리지 않고 개인정보 유출 사고가 끊이지 않는 모습이다.

나열한 사례만 살펴보더라도, 내부 정보가 유출되는 경로는 다양해지고 있다. 일부 사고는 관계 직원의 불찰이, 일부는 해킹 등 사이버 공격이 원인으로 꼽히고 있다. 관련 조사가 진행 중인 만큼 결론을 내리기 이르지만, 흔히 말하는 사이버 공격자들의 위협만이 '최대의 적'이 아니라는 점을 엿볼 수 있는 부분이다. 내부 관계자들의 실수, 혹은 의도된 행위 또한 자칫 조직의 중요 정보를 노출하는 결과를 초래할 수 있다는 의미다.

누구를 어떻게 신뢰할지 범위에 대한 고민이 필요한 때다. 그동안 보안 시장에서 신뢰는 필요하지 않은 도구처럼 여겨져왔다. 신뢰가 곧 보안 체계에 취약한 구멍을 낼 수 있다는 취지에서다. 믿었던 내부 직원이 기밀 자료를 빼가거나, 믿었던 보안 솔루션에 취약점이 발견돼 악성코드가 유입되는 사고가 낯선 일이 아니게 되면서, '신뢰는 곧 보안의 적'이라는 이야기가 공식처럼 통하기도 했다. 국내 정보기술(IT) 시장은 최근까지 '불신 보안'에 대한 믿음을 곧 정답으로 믿기도 했다.

이제는 판도가 달라지고 있다. 무조건적인 불신이 아닌, 무엇을 신뢰할지를 재정립할 필요가 커졌기 때문이다. 그 일환으로 글로벌 시장에서는 제로트러스트(Zero Trust) 키워드를 앞세워 '누구도 믿지 말고 검증'하는 보안이 대세로 떠올랐고, 그 과정에서 보안 정책을 아키텍처 측면에서 세분화하는 방식이 두드러지고 있다. 국내 또한 민간과 더불어 공공 국가망보안체계 개선 작업으로 신뢰에 대한 재정립이 이어지고 있다. 가이드라인과 정책 흐름이 새 규제를 낳을 수 있다는 우려도 있지만, 보안 체계를 강화한다는 측면에서 긍정적으로 볼 필요가 있는 부분이다.

최근 아시아태평양(APAC)지역 글로벌 행사에서 만난 보안기업 관계자는 제로트러스트 보안에 대한 필요성을 논할 때가 지났다며, "낮은 수준의 신뢰를 갖춘 기업은 결국 비용을 치르게 될 것이고, 신뢰가 곧 비용 절감의 역할을 한다는 점을 이해하는 작업이 필요하다"고 전했다. 신뢰 범위를 재정립하는 작업이 수반돼야, 개인정보 유출 사고를 방지하고 사후 대응 및 회복 전략을 수립할 때 도움이 될 수 있다는 취지다.

국가사이버안보센터에 따르면, 지난해 정보보호 및 IT 제품의 취약점을 악용한 소프트웨어(SW) 측면 공급망 공격은 전년 대비 두 배 이상 증가했다. 지난해 개인정보 분쟁조정 신청 건수도 전년 대비 21% 증가했다. 막연한 신뢰, 혹은 불신 만으로 보안 체계를 완성했다고 자만할 수 있는 시대는 갔다는 점을 보여주는 수치다. 개인정보 유출에 따른 2차 피해로 불안을 떠안은 피해자들이 더 발생하지 않도록, 공공과 민간의 자성과 변화가 있기를 바라본다.