사이버 안보 '총체적 부실'... 국가·기업, 속수무책 뚫린다

'보안은 비용' 인식에 투자·인력 '구멍'... CISO 4명 중 1명은 비임원

주요국 유일 '컨트롤타워' 부재... 사이버안보법 18년째 국회 표류

[이코노믹데일리] 국가 기간망부터 민간 기업의 핵심 정보까지 대한민국의 사이버 안보 체계가 뿌리부터 흔들리고 있다. 인공지능(AI) 기술을 등에 업은 사이버 공격은 날로 지능화·조직화하며 국경을 넘나드는 ‘전쟁’의 양상을 띠고 있지만 국내 대응은 ‘소 잃고 외양간 고치는’ 수준을 벗어나지 못하고 있다. 민간은 보안 투자를 비용으로 치부하며 소홀히 하고 정부는 명확한 컨트롤타워 없이 부처 간 책임을 떠넘기는 사이 국가 시스템 마비와 핵심 기술 유출이라는 ‘시한폭탄’의 초침이 흘러가고 있다는 지적이 나온다.

최근 발생한 일련의 해킹 사태는 이러한 위기를 단적으로 보여준다. 회원 2000만명의 인터넷 서점 예스24는 랜섬웨어 공격에 전산망이 마비돼 나흘간 서비스가 중단됐고 CJ올리브네트웍스는 인증서 파일이 유출돼 북한 해킹 그룹 ‘김수키’ 연루설까지 제기됐다. SK텔레콤에서는 2700만건에 달하는 가입자 식별 정보가 유출됐으며 악성코드는 최소 3년간 잠복해 있었던 것으로 드러났다. 이러한 개별 기업의 피해는 ‘공급망 공격’으로 확산되며 산업 생태계 전체를 위협한다. 올 2월 L그룹의 협력사 S사가 랜섬웨어 공격으로 설계도면, 부품 시험결과 등 기밀문서를 탈취당한 것이 대표적 사례다. 이는 보안이 취약한 협력사를 우회해 대기업을 노리는 최신 공격 트렌드를 반영한다.

이러한 위협은 더 이상 개별 기업의 문제를 넘어 국가 안보 차원의 의제로 부상했다. 최근 이란의 가상화폐 거래소를 공격한 친이스라엘 해킹 조직 ‘프레더토리 스패로’와 이에 맞서 이스라엘 주요 인프라 공격으로 보복한 이란의 사례는 사이버 공간이 이미 새로운 전쟁터가 되었음을 명확히 보여준다. 한 보안 전문가는 “사이버 공간에서의 총성 없는 전쟁은 이미 현실이 됐다”며 “과거에는 물리적 타격이 전쟁의 시작을 알렸다면 이제는 전력망, 통신, 금융 등 국가 핵심 인프라를 마비시키는 것이 선제공격의 핵심이며 이는 단순 기술 유출을 넘어 사회 전체를 혼란에 빠뜨릴 수 있는 명백한 안보 위협”이라고 진단했다.

그러나 국내 기업들의 현실 인식은 위기감과 거리가 멀다. 시가총액 상위 10대 그룹 계열사 87곳의 지난해 정보보호 투자액은 9849억원으로 전년 대비 18.2% 증가했지만 정보기술(IT) 투자액 대비 정보보호 투자 비중은 5.8%로 제자리걸음이었다. 이는 IT 예산의 평균 26%를 사이버보안에 지출하는 미국 기업의 4분의 1에도 미치지 못하는 수준이다. 인력 구조의 허점도 심각하다. 정보보호 인력 3명 중 1명(35%) 이상이 외주에 의존하고 있으며 특히 SK그룹은 그 비중이 72.6%에 달했다. 한 보안 컨설팅 업계 전문가는 “보안은 단순한 기능이 아니라 조직 문화와 깊이 연관되어야 한다”며 “외부 인력에 과도하게 의존하는 구조는 비상 상황 발생 시 신속하고 책임 있는 의사결정을 저해할 수 있으며 핵심 방어 역량은 반드시 내재화하여 충성도와 전문성을 동시에 갖춘 방패를 만들어야 한다”고 강조했다.

보안 정책을 총괄하는 최고정보보호책임자(CISO)의 위상과 권한이 미흡한 것도 구조적 문제다. 대기업 계열사 4곳 중 1곳은 CISO가 임원이 아니었으며 전체의 72.4%는 다른 직책을 겸직하고 있었다. 심지어 한 KT 자회사는 정보보호와 정반대의 목표를 가진 최고재무책임자(CFO)가 CISO를 겸직하는 이해충돌 상황까지 벌어졌다. CISO가 임원급 의사결정권을 갖지 못하면 예산 확보와 신속한 위기 대응은 요원할 수밖에 없다. 또 다른 보안 전문가는 “기업의 정보 자산은 곧 미래 경쟁력과 직결된다”면서 “‘우리는 안전하다’는 막연한 자신감을 버리고 ‘이미 침투당했다’는 전제 하에 데이터를 파편화하고 암호화하는 등 최후의 보루를 지키는 전략으로 전환해야 한다. 해커가 데이터를 가져가더라도 쓸모없게 만드는 것이 핵심”이라고 조언했다.

기업들의 안이한 대응 못지않게 정부의 역할 부재도 심각한 문제로 지적된다. 국가 행정전산망과 법원 해킹 등 공공 시스템이 뚫려도 수개월째 범인조차 특정하지 못하고 있으며 사이버 위협 대응 연구·개발(R&D) 예산은 오히려 전년 대비 8% 삭감됐다. 무엇보다 심각한 것은 재난 상황을 일사불란하게 지휘할 컨트롤타워의 부재다. 미국(CISA), 영국(NCSC) 등 주요국은 모두 국가 차원의 사이버 안보 기관을 운영하지만 한국은 관련 이슈가 터지면 과기정통부, 경찰, 국방부, KISA 등이 각자 대응해 효율성이 떨어진다. 실제로 예스24는 해킹 사고 후 KISA의 기술 지원 협조 요청을 거부했지만 이를 강제할 수단이 없었다.

컨트롤타워 설립과 민관 합동 대응 체계 구축을 골자로 하는 ‘사이버안보기본법’은 국가기관의 민간 사찰 우려라는 인권 논란에 발목이 잡혀 2006년 이후 18년째 국회 문턱을 넘지 못하고 있다. 한 보안업계 관계자는 “개별 기업의 방어 노력만으로는 국가 단위로 움직이는 해킹 조직을 막아낼 수 없다”며 “범정부 차원의 강력한 리더십 아래 민관이 유기적으로 협력하는 통합 방어 체계가 절실하며 AI 기반의 차세대 위협에 맞서려면 방어 기술 R&D에 국가적 역량을 집중하고 이를 산업계와 신속하게 공유하는 선순환 구조를 만들어야 한다”고 역설했다.