[디지털데일리 김보민기자] KT가 백도어 악성코드 BPF도어에 감염된 사실이 드러났다. BPF도어는 올 초 SK텔레콤 해킹 사고에서 원인으로 지목된 악성코드다. 통신업계가 오랜 기간 보안 위협에 노출돼 있었지만 이를 방치하거나 대응하지 못했다는 점이 여실히 드러났다.

공격을 받은 사실을 몰랐다면 변명이라도 할 수 있겠지만, KT는 이를 인지하고도 은폐한 점이 문제로 꼽히고 있다. 정부와 민관합동조사단에 따르면 KT는 지난해 BPF도어와 웹셸 등 악성코드에 감염된 서버 43대를 자체 확인하고도 관계당국에 신고하지 않았다. 보안 사고가 발생해도 '숨기면 된다'는 일부 기업의 악습이 이번에 되풀이된 셈이다.

그럼에도 꼬리는 밟혔다. 최우혁 과학기술정보통신부 네트워크정책실장은 전날 KT 침해사고 발표를 통해 "BPF도어가 모두 지워진 상태여서 (SK텔레콤 해킹 후) 당국 전수조사에서 나타나지 않았지만, 백신 실행 흔적이 드러나면서 해킹 사실을 파악했다"고 설명했다. 개인정보보호위원회는 SK텔레콤과 유사한 백도어 공격이 있었던 만큼 개인정보 유출 여부도 확인할 계획이다.

업계에서는 쏟아지는 보안 사고에 대해 놀랍지 않다는 반응을 보이고 있다. 국내 보안업계 관계자는 "한국 통신업계가 BPF도어에 취약하다는 경고는 예전부터 있었고, 인식을 높이고 투자를 늘려야 한다는 목소리도 이어져왔다"며 "침해 사실을 알고도 쉬쉬했다면 더욱 심각한 문제"라고 말했다. 이어 "보안 인식을 제고해야 한다는 말이 이제 지겹게 들릴 지경"이라며 "지금이야말로 기업과 기관이 보안을 강화할 마지막 골든타임"이라고 강조했다.

이제 모든 시선은 정부와 관계 당국의 처벌에 쏠리고 있다. 보안 관리에 소홀하거나, 사고가 반복된 조직에 징벌적 과징금을 부과하겠다고 예고한 만큼 추후 논의를 거쳐 처벌 수위가 결정날 전망이다. 정부 부처와 공공기관 또한 보안 사고에서 자유롭지 않은 만큼, 이에 상응하는 조치 마련이 불가피할 것으로 보인다.

그러나 처벌만으로 보안 인식이 높아질 수 없다는 점은 문제다. 과징금 공포는 단기적일 뿐, 장기적 대책이 될 수 없다. "과징금 한 번 내는 게 보안 투자보다 싸다" 혹은 "덜 번거롭다"는 자조 섞인 악습도 여전하다.

보안 인식을 제고하기 위해 '채찍'이 있다면 '당근'도 있어야 한다. 인센티브 제도가 해답이 될 수 있다. 정부는 정보보호 종합대책을 통해 보안 투자를 유인할 인센티브 제도를 마련하겠다고 예고했고, 현재 태스크포스(TF)를 통해 세부 안을 구상 중이다. 세제혜택 등 다양한 방안이 거론되는 가운데 처벌만큼 강력한 인센티브가 필요한 시점이다.

국내 한 정보보호최고책임자(CISO)는 "막대한 비용을 들여서라도 보안 사고를 막아야 한다는 사실을 모르는 기업은 없다"며 "문제는 언제나 우선순위에서 밀린다는 점"이라고 말했다. 이어 "기업은 늘 투자대비수익을 따져야 하고, 보안은 '숫자'로 효율성이 드러나기 어렵다는 특징이 있다"며 "자발적으로 보안 투자를 확대하고 인식을 높이려면 그만큼 강력한 유인책이 필요할 것"이라고 강조했다.

인공지능(AI)을 악용한 공격이 일상화됐다고 한다. 앞으로 더 많은 공격이 자동화될 테고, 현 악습과 보안 인식만으로 대응하기 어려운 시대가 올 것이다. 정부는 골든타임을 지킬 실효성 있는 유인책이 시급하다는 점을 잊지 않아야 한다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -