정보보호 전문가가 북한 소행으로 결론짓는 정부 발표를 믿지 못한다고 입을 모았다. 북한 사이버전 능력을 경계하지만, 항상 북한 탓으로 돌리는 게 의심스럽다는 것이다.
전자신문이 정보보호커뮤니티 보안대첩과 공동으로 ‘북한발 해킹에 대한 인식’을 조사한 결과는 다소 충격적이다. 정부가 북한 소행으로 단정한 한국수력원자력 해킹 사건에 대해 응답자 41.3%가 신뢰하지 않는다고 답했다. 32.9%만이 신뢰를 보였다. 믿는 사람보다 믿지 못한다는 응답이 10%포인트 가까이 많았다.
신뢰하지 않는 이유로 ‘정치적으로 북풍을 이용한다’가 38.3%로 첫손으로 꼽혔다. 34.3%는 북한이라는 결정적 증거가 없고, 15.4%는 인터넷에서 공격자를 추적하는 게 어렵다고 답했다. 국내 사이버 공격 분석력을 믿지 못한다는 답변도 3.4%를 차지했다. 정부의 전문성에 대해 믿지 못하고, 이 때문에 정치적으로 악용한다는 인식이 강했다.
전문가 그룹에서 이 같은 반응이 나온 것은 의미심장하다. 이들은 해킹 사고가 터지면 원인을 찾기 위해 정부 곁에서 도움을 지켜본다. 정부 조사과정을 세세하게 아는 사람들이 미덥지 못하다고 입을 모았다. 그 말은 정부의 사이버보안 조사와 대처 과정이 치밀하지 못하고 전문적이지 않다는 의미이기도 하다. 이번 조사에서 정부 발표보다 외국 보안업체 발표는 신뢰한다는 응답이 많았다는 것은 대조를 보여준다.
해킹 원인 조사에서 명쾌한 분석을 내놓지 못하는 것은 사이버보안 능력 전반을 의심케 한다. 원인 조사가 제대로 이뤄지지 않으면 향후 예방이나 대책이 실효성을 거둘 수 없기 때문이다.
정부가 신뢰를 얻으려면 적어도 외국 보안업체 정도의 치밀한 조사체계를 갖춰야 한다. 전문인력 확충이 가장 중요한 키워드다. 해외기업의 앞선 방법론도 도입해야 한다. 전문가가 믿지 못하면 일반인은 불안할 수밖에 없다. 사이버보안이 중요하다고 말로만 떠들지 말고, 전문성부터 갖추는 실천이 중요하다.