[ET단상]창조경제의 핵심은 바로 정보보안

한국에서 ‘어벤저스2(The Avengers2)’가 촬영돼 화제다. 이 영화 제작사인 마블스튜디오는 우리나라의 최첨단 IT강국 이미지 때문에 우리나라를 선택했다고 한다. 하지만 최근 발생하는 개인정보 유출 사고와 매년 지속적으로 발생하고 있는 사이버테러에 대한 미흡한 대응 등으로 현재 우리나라는 IT강국으로서의 위상이 흔들리고 있다.

기업은 정보보호를 위해 다양한 솔루션과 장비를 도입하고 있지만 개인정보는 계속 유출되고 있다. 최근 개인정보 유출사고를 보면 대부분 해킹으로 인한 사고가 아니라 인재(人災)였다. 기업은 해킹, 디도스 등 외부 공격으로부터의 보호를 최우선으로 생각하고 있으나, 정작 필요한 내부의 개인정보에 접근할 수 있는 시스템 개발자나 관리자들에 대한 프로세스 강화에는 크게 신경 쓰지 않는다. 이는 근본적으로 기업들이 정보보안을 ‘투자’가 아닌 ‘비용’으로만 생각하는 그릇된 인식 때문이다. 정보보안이 필요하지 않는 기업, 기관은 없지만 이렇게 인식이 부족하기 때문에 이런 사고가 반복되고 있는 것이다.

이러한 문제를 해결하기 위해서는 정부·기업·국민 모두의 인식 전환이 필요하다.

매년 발생하고 있는 사이버테러와 개인정보유출 사고와 관련된 범죄들이 점점 고도화되고 지능화되면서 그 피해 또한 점점 커지고 있다. 하지만 정부는 이러한 사고가 발생한 후 사후약방문격으로 관계법령을 고치고 처벌기준을 강화하는 모습만 보여 왔다. 그러나 이러한 규제 강화는 실효성이 없는 규제들로 문제를 일으킨 기업들에 아무런 제재가 되지 못했다. 사고를 낸 기업들에는 그에 맞는 법적·행정적 책임을 물어야 하지만 솜방망이 처벌로 인해 그 결과 계속해서 보안사고가 확대되고 있는 것이다.

개인정보의 보호는 국민의 기본 권리다. 정부에서는 미국 등 해외의 기업처럼 이러한 문제가 발생했을 때 회사가 문 닫을 수 있다는 책임감을 부여해 미연에 방지할 수 있도록 관리·감독 기준을 높이고 엄격하게 적용해야 할 것이다.

이제 기업에서는 정보보안을 소홀히 하면 기업이 흔들린다는 생각으로 적극적인 투자가 필요하다. 이를 위해 외부적인 요소에 대한 투자도 중요하지만 내부의 보안 관리 프로세스 강화에도 힘써야 할 것이다.

기업에서 투자 대비 효과를 크게 볼 수 있는 제도는 소프트웨어의 결함을 발견하는 화이트해커에게 보상금을 지급하는 ‘버그 바운티(bug bounty)’ 제도의 도입이라고 생각한다. 현재 구글, 마이크로소프트, 페이스북 등 다양한 글로벌 기업에서는 공개적으로 취약성을 찾아 해결하고 있다. 우리나라도 이제는 내부의 한정적인 인력으로 모든 것을 해결하려고 보안 허점을 감추는 데 급급할 것이 아니라 블랙해커를 화이트해커로 막는다는 이이제이(以夷制夷) 전략이 필요하다고 생각한다.

또 이러한 모든 활동을 제대로 수행할 수 있도록 정보보안최고책임자(CISO)나 정보보안 전담조직에 그 역할과 책임에 걸맞은 권한도 함께 부여해 주는 것이 가장 중요하다고 생각한다.

그리고 우리 국민들도 개인정보에 대한 의식을 높여 개인정보가 곧 자신의 재산임을 인지하고 소중하게 다루는 자세가 필요할 것이다.

우리가 가진 세계 최고 수준의 우수한 과학기술과 정보통신기술(ICT)이라는 토양에서 창조경제가 꽃피기 위해서는 그 핵심이 바로 모든 산업의 근간이 되는 정보보안이다. 그 중에서도 가장 중요한 것이 바로 ‘사람’이다. 모든 문제를 일으키는 것도, 이를 해결하는 것도 ‘사람’이기 때문이다. 이를 위해 우리는 인재를 발굴, 양성하고 지원하는 체계적인 프로세스를 확립해야 하며 또 정보보안전문가들에게 그에 걸맞은 대우를 함으로써 ‘사람’을 귀하게 여기는 사회적 문화가 필요하다.

이러한 국민적 공감대를 형성하고 정부와 기업이 함께 노력한다면 우리나라가 IT강국으로서의 위상을 지키며 정보보안 강국으로 우뚝 설 수 있는 날이 분명히 올 것이라고 확신한다. 그때야말로 세계에서 가장 크고 안전한 사이버영토를 가진 나라가 될 것이다.

유준상 K-BoB시큐리티포럼 이사장 yoojs1321@kitri.re.kr