[디지털데일리 김보민기자] 국내 대표 이동통신사 KT에서 이용자 동의 없이 무단으로 소액결제가 완료되는 사고가 발생했다. 경찰이 확인한 피해 사례는 199건, 금액은 1억2600만원 수준이다. 조사가 진행될수록 확인된 피해 규모는 더욱 늘어날 전망이다.

보안사고는 KT만의 문제일까? 이 질문의 답이 '아니다'라는 점은 이제 누구나 아는 사실이다. 올 초 SK텔레콤은 해킹 공격으로 고객 유심정보를 유출하는 사고를 낳았고, 최근까지도 대응책과 고객 보상을 마련하기 위해 진땀을 흘렸다. 보안 전문지 '프랙'은 지난달 KT와 더불어 LG유플러스 또한 국가 배후 공격을 받았을 가능성을 주장하기도 했다.

그렇다면 통신3사가 보안사고를 겪은 것은 이번이 처음일까? 이 질문의 답 또한 '아니다'이다. 통신3사는 2000년에 들어선 이후 해킹, 악성코드 감염, 기지국 관리 부실, 가입자 정보 불법 조회 등 사건·사고의 주인공으로 거론됐다. 통신업계를 둘러싼 '보안 채찍'이 하루 이틀이 아니라는 점을 엿볼 수 있는 대목이다.

새 정부는 이러한 반복 사고를 좌시하지 않겠다는 의지를 내비쳤다. 이재명 대통령은 최근 "보안 사고를 반복하는 기업에게 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 조치를 신속히 준비하라"고 지시했다. 그러면서 "개인정보 보호를 위한 보안 투자를 불필요한 비용으로 간주하는 잘못된 인식이, 이런 사태의 배경은 아닌지 되짚어봐야 한다"고 강조했다.

이 대통령의 말은, 반은 일리가 있고 반은 물음표를 남겼다. 이 대통령 말대로, 사고가 발생하고 나서야 보안에 투자하는 사후약방문식 대처는 개선될 부분이다. 사전에 자체적으로 보안 체계를 강화하고, 다가올 위협에 대응하기 위한 예방 시스템을 마련하는 것은 이제 선택이 아닌 필수다. 최근에는 북한을 비롯한 국가 배후 해킹그룹까지 인공지능(AI) 기술을 악용 중이라는 보고가 이어지고 있어 보안 투자에 대한 필요성은 더욱 부각될 전망이다.

그러나 징벌적 과징금을 통해 처벌하는 것만으로는 보안 인식을 개선할 수 없다. 해킹 사고는 점차 교묘해지고 있고, 같은 기업에서 보안 사고는 분명 반복적으로 일어날 수밖에 없다. 비단 통신사만의 일이 아니다. 해커는 공격에 성공할 수만 있다면, '돈이 되는 기업'은 어디든지 계속 뚫어내려고 노력할 것이다. 통신사가 보안을 마냥 방치했냐고 묻는다면, 자신 있게 '100% 그렇다'고 이야기할 이도 없을 터다.

이제는 막연한 처벌 만을 이야기할 것이 아닌, 보안 인식을 개선할 방법을 고안해 내야 한다. 모든 결정권을 가진 최고경영자(CEO)의 인식을 끌어올리는 것이 시작이다. 일각에서는 규제를 잘 다뤄야 CEO 인식을 개선하고 궁극적으로 CEO 주도로 해킹사고를 예방할 방법이라고 이야기한다. 보안사고 발생시 CEO에게 책임을 묻는 방안을 찾아야 한다는 취지다. 그 일환으로 산업 발전을 저해하지 않는 선에서, 산업 별로 허용할 수 있는 수준을 결정해 균형을 잡는 작업도 선행될 때가 왔다.

한국은 보안에 대한 CEO 인식이 저조한 것으로 유명한 국가다. 시장조사기관 프로스트앤설리번(Frost & Sullivan)에 따르면, 아시아태평양(APAC) 지역의 최고정보책임자(CIO) 중 86%는 사이버보안 대응에 있어 "매우 높은 복잡성을 마주하고 있다"고 답변했다. 이와 관련해 F&S 관계자는 기자를 만나 "결국 CEO가 보안에 대해 무엇이 중요한지 먼저 파악하는 과정이 필요하다"고 거듭 강조했다. 보안 사고가 곧 보안 담당자만의 책임이 아니라는 의미였다.

완벽한 보안은 없다. 대형 보안사고를 낸 기업들도, 이들 기업을 질타하는 정부도 이를 모를 리 없다. 해킹 사고는 내일도, 내년에도, 그리고 머지않은 미래에도 계속될 것이다. CEO의 생각이 바뀌지 않는다면, 강력한 처벌도 그저 '한 번 내면 끝나는 비용'에 그칠 수 있다는 점을 잊어서는 안 된다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -