[ET단상]사이버 공격에 대비하지 않는 기업은 `100전 100패`

최근 월스트리트저널에 따르면 미국 법무부는 중국군 소속 장교 5명을 미국 5개 기업 컴퓨터에 침입해 해당 기업의 비밀 정보를 해킹한 혐의로 기소했다. 이들이 해킹한 기업은 미국의 대표기업인 US스틸·웨스팅하우스·ATI·알코아·솔라월드다.

중국군의 스파이 활동은 미국 기업의 전략적 정보, 즉 상업과 무역에 영향을 미칠 기업의 여러 비밀정보를 사이버 해킹으로 절취한 것이다. 이들은 31회에 걸쳐 티타늄 등 특수 합금을 생산하는 알레기니테크놀로지(ATI)와 태양광 업체 솔라월드 등 미국 기업과 미국 철강노조 컴퓨터나 서버를 해킹했다고 한다. 핵발전소·철강·티타늄·알루미늄 등 미국 전략산업의 다양한 정보는 중국 업체의 경쟁력 강화와 상업적 우위를 위해 활용됐다고 미국 정부는 주장했다.

알코아의 한 중역은 이메일이 무려 2907회나 해킹 당한 것으로 알려졌다. 이들은 웨스팅하우스가 중국에 건설 중인 최신형 원자력 발전설비인 AP1000의 제원을 훔쳤다. 솔라월드의 태양광 패널 생산계획과 원가 구조를 해킹해 중국 업체에 유리한 사업 판단 정보를 제공한 혐의도 받고 있다.

지금까지 해킹은 개인 정보 유출이나 테러리즘 방지, 그리고 정치적이고 군사적인 정보를 위한 영역에서 이뤄졌다. 하지만 이번 사건은 글로벌 기업의 다양한 정보가 정부 차원에서 조직적으로 해킹되고, 그런 기업 정보는 글로벌 시장에서 국영기업의 이익을 위해 활용됐음이 드러났다.

최근 미국의 대표적 온라인 거래업체인 이베이에서 2억3300만명의 고객중 60% 이상인 1억4500만명의 고객정보가 유출됐다. 또 미국의 대표적인 리테일 업체인 타겟의 고객정보 7억건이 유출됐다. 이 사건은 미국에서 가장 매출이 활발한 크리스마스 세일 기간 동안에 러시아인들에 의해 해킹 당한 정황이 제시됐다.

다양한 해킹으로 입는 피해 액수는 세계적으로 대략 연 1000억~5000억달러로 추산된다. 시스코 보고서에 따르면 2014년 세계적으로 100만명 이상의 보안 전문가가 부족할 것으로 예상된다.

우리나라 기업이 글로벌 시장을 겨냥해 개발하고 있는 각종 신제품이나 첨단 기술 정보, 그리고 글로벌 시장에서 입찰가격 정보가 해킹된다면 그 피해는 가늠하기 힘들 정도로 심각할 것이다. 문제는 해킹 당하고 있는지 조차도 모르고 있을 수도 있다는 사실이다.

회사와 조직에서 최고정보보안책임자(CISO:Chief Information Security Officer) 신설과 운영은 매우 필요한 문제다. 최고경영자(CEO)나 최고재무책임자(CFO)처럼 그 역할과 임무가 한 부서가 아닌 전 조직에 걸쳐 신속하고 광범위한 권한 아래 이뤄져야 한다. 이제는 CEO와 같은 수준의 역할과 권한이 CISO에게 필요한 시대다. 이런 점에서 정보보안은 전통적인 리스크 관리와는 다른 인식과 투자를 필요로 한다. 디지털과 사이버 세계 속에서 일어나는 리스크는 산업사회나 아날로그 사회에서 경험한 것과는 그 형태와 대책이 근본적으로 다르기 때문이다.

이런 조직적인 접근도 중요하지만 사이버 보안 전문가 육성과 확보는 신기술이나 제품 개발을 주도하는 인재들처럼 시급하고 중요한 문제다. 사이버 보안에 인적·기술적 투자를 비용으로 보는 경영자들은 그런 시각을 빨리 바꿔야 한다. 전쟁이 한동안 일어나지 않았다고 국방에 투자하지 않는 우를 범하는 국가는 힘없이 무너졌듯이 사이버 전쟁은 실체이며 우리 모두를 지속적으로 공격하는 공공의 적이 될 것이다.

김종식 서울과학종합대학원 교수(한국형경영3.0 최고경영자과정) jskim@assist.ac.kr