자동차 운전자들은 반드시 책임보험에 가입해야 한다. 자동차 사고 피해자에게 금전적으로 최소한의 보상을 해주기 위해 운전자의 의지와 상관없이 정부가 강제적으로 가입하도록 하고 있다. 만에 하나 사고가 났을 때에 대비한 장치인 셈이다. 물론 사고가 나지 않았을 경우 보험비가 그대로 날아가게 돼 운전자들 입장에서는 공돈을 썼다고 생각하게 마련이다. 하지만 이 같은 이유로 대부분의 운전자들이 책임보험을 들지 않는 것은 아니다. 책임보험료를 아끼려고 하다간 엄청난 피해를 볼 수 있다는 것을 스스로 인식하고 있기 때문일 것이다.
갑작스럽게 책임보험 이야기를 꺼내는 것은 책임보험과 정보보호에 대한 사회적 인식의 차이 때문이다. 우선 최근 제3차 지정을 눈 앞에 두고 있는 주요 정보통신기반시설을 예로 들어 보자. 주요 정보통신기반시설은 중요한 공공기관이 해킹이나 바이러스로 인한 피해를 사전에 막기 위해 보안컨설팅을 받도록 정부가 강제적으로 규정하는 제도다. 1차로 2001년 4개 부처의 23개 시설에 이어, 2002년 2차로 4개 부처와 국회 등 66개 시설이 추가로 지정된 바 있다. 정부가 보안컨설팅을 받도록 강제하고 있는 것은 그만큼 보안의 중요성이 커지고 있기 때문일 것이다. 책임보험과 마찬가지로 만일의 사고에 대한 최소한의 대책인 셈이다. 당연히 국가의 핵심기관이나 사회간접자본(SOC) 설비, 개인정보 등 국민의 생활과 밀접한 공공시설 등이 대상이 돼야 함은 물론이다. 그러나 이번 3차 지정마저 애초 시한보다 1년 넘게 지체됐으며 대상기관 또한 대폭 축소돼 6∼7개 수준에 그칠 것이라는 게 일반적인 관측이다.
해킹 경유지로 이용되고 있다는 부끄러운 뉴스가 전 세계에 타전되기도 했던 국내 일부 교육기관이나, 개인정보보호 사각지대로 지목되고 있는 일부 대형병원들도 당연히 대상에 포함돼야 한다. 그러나 이번에도 이들 기관은 지정 대상에 포함되지 않고 1, 2차 지정에서 빠졌던 정통부 산하의 중소규모 인터넷서비스공급자(ISP) 등만이 포함된다는 것이다. 이 같은 결과의 일차적인 책임은 우선 사업을 주관하는 정통부에 있다. 하지만 이 사업의 전제가 각 부처 간 합의에 있다고 한다면 이들 기관을 관리·감독할 의무가 있는 해당 부처가 더 큰 책임이 있다. 왜 교육기관이냐, 왜 병원이냐고 소관 부처가 반대한다면 정통부의 입장에서도 어쩔 수 없을 것이기 때문이다.
보안에 대한 인식의 부재는 정부 등 공공기관의 문제만이 아니다. 일반 기업들도 마찬가지다. 해킹 피해를 막기 위해 개인정보가 집합돼 있는 대형 쇼핑몰이나 인터넷포털들을 대상으로 이달 중에 시작될 것으로 알려진 정보보호 안전진단 제도가 대표적인 예다. 대형포털들이 매년 정보보호컨설팅 전문업체로부터 안전진단을 의무적으로 받도록 한 ‘정보보호 안전진단제도’가 기업들의 경비부담을 가중시켜 경쟁력을 저하한다는 관련업체들의 주장은 그야말로 난센스다. 심지어 이 제도 자체가 보안업체들의 시장확대를 위한 것 아니냐는 지적은 보안에 대한 우리 기업의 보안의식의 심각성을 적나라하게 보여주는 대목이다.
정부 및 공공기관, 사회간접자본, 국민과 직접적인 생활과 연결돼 있는 금융이나 교육기관, 개인정보가 밀집돼 있는 대형 인터넷쇼핑몰이나 포털 등에 대한 해킹 피해는 단순히 그들만의 문제가 아니다. 불특정 대다수의 피해로 연결되기 때문이다. 기업들의 정보보호에 대한 투자는 자동차 운전자들이 책임보험을 드는 것과 마찬가지다. 인터넷 대란과 같은 대형 보안사고가 또다시 발생했을 때 그동안 경비 부담이나 경쟁력 약화를 이유로 보안에 대한 투자를 소홀히해 온 기관이나 기업들이 무슨 변명을 할 것인지 궁금하기만 하다.
양승욱 컴퓨터산업부장