기업들 신제품엔 돈 퍼붓고, 보안엔 늘 뒷전
AI 해커는 진화 중인데 방어는 과거에 멈춰
사고 터져야 움직이는 후진 대응, 참사는 예고됐다
“또 털렸다.”
지난 4월 SK텔레콤의 발표는 충격적이었다. 해커들이 무려 3년간 시스템 내부에 숨어 있었다는 사실 때문이다.
2022년 6월부터 시작된 이 침입에서 해커들은 USIM 인증키라는 핵심 보안 정보부터 가입자의 개인정보까지 빼갔다.
USIM 인증키란 휴대폰이 통신망에 접속할 때 신원을 확인하는 일종의 ‘디지털 열쇠’다. 이게 털렸다는 건 집 열쇠를 도둑에게 맡긴 격이다.
피해 규모는 최대 2600만 명. 한국 인구의 절반에 달하는 숫자다. 이쯤 되면 개인의 불운이 아니라 국가적 재앙이다.
보안엔 짠돌이, 사고 나면 ‘커피값 벌금’
핵심 원인은 경영진의 인식에 있다. 많은 기업이 보안을 ‘돈 먹는 하마’로 본다.
신제품 출시나 광고비에는 수백억을 쏟아붓지만, 보안 시스템 구축에는 인색하다. 보안 투자는 당장 매출로 이어지지 않기 때문이다.
더 큰 문제는 제재의 약함이다. 수천만 명의 정보가 유출돼도 과징금은 고작 수십억 원 수준이다.
SK텔레콤의 연간 매출이 18조원을 넘는다는 점을 고려하면, 이는 월급쟁이가 커피값으로 내는 수준이다.
기업 입장에서는 보안에 수백억을 투자하는 것보다 사고 후 과징금을 내는 게 더 경제적일 수 있다는 역설이 생긴다.
보안 전문가들의 지위도 형편없다. CISO(최고정보보안책임자)라는 거창한 직책이 있지만, 실상은 다른 업무와 겸직하거나 순환보직으로 채워지는 경우가 많다.
이러한 상황에서 전문적인 보안 전략을 기대하기는 어렵다.
강한 규제 내세운 외국, 늦장 대처 반복하는 한국
해커들의 공격 기법은 날로 정교해진다. 인공지능을 활용해 보안 취약점을 찾아내고, 이미 뚫린 다른 시스템을 거점 삼아 목표물에 침투하는 APT(지속적 표적 공격) 방식이 대표적이다.
반면 기업들의 방어체계는 여전히 과거에 머물러 있다. 클라우드, 사물인터넷, 원격근무 확산으로 공격당할 수 있는 지점은 폭발적으로 늘어났지만, 보안 인력과 예산은 이를 따라잡지 못한다.
더 심각한 건 정부의 안일한 대응이다. 해외는 다르다. 미국 FCC는 통신사 해킹 사고 시 수천만 달러 벌금과 함께 구체적인 보안 강화 조치를 명령한다.
영국은 2022년 ‘통신보안법’으로 사전 예방을 의무화했고, 유럽 GDPR은 연 매출의 4%까지 과징금을 물릴 수 있다
하지만 한국은 사고가 터진 뒤에야 과징금을 물리고 규제를 강화하는 식이다. 화재가 발생한 뒤 소방서를 짓는 격이다.
‘또 털렸다’는 뉴스, 이젠 일상이 됐다
이번 SKT 해킹은 한 기업의 실수로 끝날 문제가 아니다. 보안을 뒷전으로 미뤄온 한국 IT 생태계 전반의 구조적 문제가 드러난 사건이다.
진정한 변화를 위해서는 경영진의 인식 전환부터 시작해야 한다. 보안을 비용이 아닌 필수 투자로 봐야 하고, 정부는 사후 처벌보다 예방 중심의 정책으로 전환해야 한다.
그렇지 않으면 ‘또 털렸다’는 뉴스는 계속 반복될 것이다. 이제는 더 이상 운에 맡길 수 없는 시점이다.
사형시켜야
이 개나라 정치꾼이나 법조계 는 돈만 알지 국민을 위해 뭘하겠나?
박정희덕에 졸부나라…좌파덕애 후진국민성