“이제 정보 보호는 좀 쉬엄쉬엄해도 되지 않을까요?” 사업이 어려운 때 정보 보호 관련 인력과 투자를 줄이려는 유혹을 나무랄 수 없다. 계속되는 정보 보호 관련 투자에 지친 탓도 있다. 그래도 정보 보호를 강화해 온 덕분에 지금까지 큰 사고 없이 버텨 왔다고 설득하지만 막무가내다.
우리나라는 지난 2003년 1월 25일 국가 정보통신망이 일시에 마비되는 악재로 커다한 충격을 받았지만 전산시스템과 네트워크 보안의 필요성이 부각되고 인력 양성이 강화되는 반대급부 효과를 가져왔다. 2008년 1000만명이 넘는 옥션 개인정보 유출 사태를 계기로 프라이버시의 중요성이 강조됐고, 10만개 이상의 좀비 PC가 동원된 2009년 7〃7 분산서비스거부공격(DDoS, 디도스)으로 인프라 보안의 틀을 갖추게 됐다.
빈번한 해킹 사건에도 우리나라는 다행히 사이버안보 컨트롤타워를 지정하고 주관 부처의 정보보호국을 확대하는 정부 대응과 화이트해커 양성 및 기술 개발에 집중한 민간 협력으로 일정 수준의 사이버 보안 체계 구축이 가능했다. 진흥에 억눌린 보호 강화를 위해 최고기술경영자(CIO)와 정보보호최고책임자(CISO)의 업무를 제도로 분리한 정책도 크게 기여했다. 그 결과 우리는 2017년 평창올림픽에서 대규모 해커 공격을 극복하고 행사를 무사히 치를 수 있었고, 정보 보호 산업 규모도 급성장했다.
5세대(5G) 이동통신망과 사물인터넷(IoT) 기반의 첨단의료, 자율자동차, 스마트공장 등이 지배할 미래는 정보 보호가 부실하면 사상누각이 될 수 있다. 최근 더욱 심각해지는 지능지속공격(APT), 랜섬웨어, 공급망 공격 등은 기업과 국가를 단번에 허물어뜨릴 수 있는 파괴력이 있기 때문이다. 그러나 4차 산업혁명과 함께 보폭을 크게 해야 할 정보 보호가 권태기를 맞고 있다. 계속되는 대규모 공격에도 둔감해지고 있다. 20만개가 넘는 여권 정보가 범죄 사이트 '다크웹' 에 노출된 지난 9월의 사건이 일부 신문 지상의 구석에 방치된 사실이 이를 방증한다. 과학기술정보통신부가 정보보호국을 네트워크실의 한 조직으로 통합하려는 시도도 포착된다. 정보 보호 기능과 정책에는 변함이 없다고 주장하지만 명칭이 띠는 상징성과 중요성은 점차 퇴색할 것이 분명하다.
오히려 정부의 정보 보호 기능을 명시해서 강화할 시점이다. 미국은 국토안보부 중심으로 각종 사이버테러에 대응하고, 사이버안보담당특별보좌관은 국제 사이버 분쟁과 해커 동향뿐만 아니라 정보통신기술(ICT) 신뢰성까지도 대통령에게 보고하고 있다. 미국이 ICT 보호를 위한 국가비상사태를 선포한 근거를 제시한 조직이다. 사이버안보비서관과 사이버안보특별보좌관을 폐지한 우리나라 정부와 비교된다.
작은 구멍이 전체를 붕괴시킬 수 있는 정보 보호는 일단 파괴되면 복구가 어렵지만 실적에 포함되지 않아 축소 유혹이 상존한다. 그러나 과거의 해킹은 경고에 불과하다. 좀 더 철저한 조직과 정책으로 대비하지 않으면 땅을 치고 후회할 것이다. 대통령이 정보 보호를 직접 챙기고 주관 부처의 정보 보호 조직을 강화해야 한다. '설마'라는 확률 게임에 나라를 맡길 수는 없기 때문이다.
정보 보호는 발전을 떠받치는 기둥이다. 기둥 없는 건축물이 외관상 화려해 보이지만 반드시 무너진다는 교훈을 명심해야 한다. 각 부분을 튼튼히 하면 기둥이 없어도 된다는 억지 논리는 부당하다. 연일 보고되는 새로운 해킹 기술과 기법에서 국민과 국가의 안전을 지키기 위해 정부는 지금까지의 역할에서 한 걸음도 물러서지 않기를 바란다.
정태명 성균관대 소프트웨어학과 교수 tmchung@skku.edu