고재만 디지털테크부장

올해는 대한민국 전 국민의 개인정보가 역대급으로 탈탈 털린 한 해였다. SK텔레콤, 롯데카드, KT, 넷마블에 이어 쿠팡까지 업종을 가리지 않는다. 해킹 공격에 동원된 기술은 제각각이지만, 사건의 원인은 놀랍도록 비슷하다. 인공지능(AI)을 이용한 공격에 대한 우려가 넘쳐났지만, 정작 자기 집 문단속에는 허술했다. 말로만 '보안이 최우선'이었을 뿐 실제로는 기본적인 원칙조차 지키지 않았다.

정부 중간조사 결과를 보면 KT는 그동안 사고가 일어나지 않았던 게 신기할 따름이다. 관리 사각지대에 있는 수많은 불법 펨토셀(초소형 기지국)이 오랫동안 회사 내부망에 접속해 있었고, 동일한 인증서를 10년 가까이 돌려쓰는 등 기본적인 통제가 안 됐다. '설마 이런 걸로 뚫리겠어'라며 방치해온 허점들이 한꺼번에 터진 인재(人災)다.

쿠팡 사태는 더 심각하다. 3370만개가 넘는 계정 정보가 유출되는 것을 회사는 몇 달 동안 눈치채지 못했다. 퇴사한 직원의 액세스 토큰 서명 키를 폐기하지 않고 방치한 것이 원인으로 꼽힌다. 직원이 퇴사하면 권한을 끊고 접근 키를 주기적으로 교체하는 것은 보안의 기본 중 기본이다. 그 기본이 무너지면서 내부자 한 명의 일탈이 국민 대다수가 피해자가 되는 참사를 야기했다.

'사람이 부족해서' '서비스가 바빠서' '매번 귀찮아서' 등 변명도 다양하다. 하지만 공격자는 바로 그 사소한 틈을 파고든다. 보안 사고는 최첨단 기술이 아니라 누구나 알고 있지만 아무도 하지 않은 일에서 출발하는 경우가 더 많다.

상황이 이런데 기업의 시선은 화려한 앞쪽만 향하고 있다. 요즘 회사 중에서 'AI 전환(AX)'을 얘기 안 하는 회사를 찾기 힘들다. 클라우드, 그래픽처리장치(GPU), 거대언어모델(LLM)에는 아낌없이 투자하면서 보안 투자에는 인색하다. 공격 빈도와 강도가 커졌으니 조금씩 늘리긴 하지만, 매출에 즉각 기여하지 않는다는 이유로 우선순위에서 항상 밀린다는 현장의 푸념이 나온다.

해킹 사태로 시끄러운 KT의 차기 대표 선임 절차가 진행 중이다. 후보추천위원회는 해킹 이슈를 수습하고 AI 신사업을 주도할 수 있는 적임자를 찾겠다며 후보군을 7명으로 압축했다. 오는 16일 최종 후보 1인을 선정해 내년 3월 주주총회에서 새 대표로 선임할 예정이다. 후보자들마다 AI 비전을 내세우고 신성장 동력을 찾겠다고 강조한다.

물론 AI는 현시대 최대 화두이자 기업의 미래 경쟁력을 좌우할 핵심이다. 최고경영자(CEO)에게 AI 이해도와 디지털 전환 전략이 요구되는 것은 당연하다. 그러나 최근 일련의 보안 참사를 보면서 AI에 앞서 '기본적인 보안과 내부 통제를 잘 챙길 적임자인가'라는 질문이 필요해 보인다. CEO를 비롯한 경영진이 위험을 체감하지 못한 채 당장 눈에 보이는 화려한 성과만 좇는다면 이번 참사는 또 다른 참사의 예고편에 불과하다.

AI 산업을 보면 화려한 '쇼케이스'를 보는 것 같다. 글로벌 빅테크 CEO들이 수천 명 관객들 앞에 화려하게 등장해 상상도 못할 금액의 투자 계획을 밝히면 온 지구가 그들의 쇼맨십에 환호한다. 이런 분위기 속에서 퇴사자 계정을 제때 없애고, 정기적으로 비밀번호를 바꾸고, 쓰지 않는 펨토셀을 찾아 폐기하는 '기본'은 눈에 띄지 않는다. 기본을 지키지 않으면 AI는 오히려 리스크를 확장시키는 증폭기가 될 뿐이다.

화려한 미래를 꿈꾸기 전에 가장 단순한 것부터 바로잡는 기업만이 진짜 디지털 전환(DX) 시대를 이끌어갈 수 있다. AI가 기업의 성장을 보장한다면 보안은 기업의 생존을 약속한다. 첨단 기술을 지탱할 기본의 복원이 필요한 시점이다.

[고재만 디지털테크부장]

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]