‘정보보호산업의 진흥에 관한 법률’이 23일 시행된다. 정부가 정보보호시장에 개입한 이유는 무엇일까. 시장이 실패했기 때문이다. 초라한 정보보호기업 매출과 이익으로 인한 실패는 아니다. 대한민국 온라인, 사이버, 인터넷, 전자상거래, 전자금융 등 산업이 정보보호로 인해 실패했다는 의미다.
이미 개인정보 유출, 전자금융 사고, 사이버공격 및 침해, 간편결제, 공인인증서, 사이버범죄 등을 일상에서 접한다. 사고 피해규모는 이미 조 단위인데 걸맞은 양적 투자와 우수한 인적 자원 투입이 이뤄지지 않는다. 사고가 나면 희생양만 찾는다. 이는 조직 리더를 선임하고 유지하는 경영평가 잣대가 성장과 수익만 따지는 탓이다. 위험요인과 지속가능 요인을 최소화하거나 배제했기 때문이다.
정보보호산업 열악함이 한계에 도달했다. 누가 정보보호 산업을 일구려고 하겠는가.
공공기관이나 민간 기업은 정보보호 제품을 도입할 때 무작정 가격을 깎아내리는 이른바 ‘갑질’을 해왔다. 산업이 시장원리에 기반을 두고 항상 작동하기 어려운데 싼 것만 찾았다. 정보보호 기업은 솔루션을 납품한 후 정해진 범위 없이 모든 일을 해야 했다. 제품 품질 책임도 그들 몫이다. 이런 시장에서 생존한 자체가 놀랍다.
지나친 가격경쟁은 유아기도 벗어나지 못한 불완전한 초기 산업을 고사시켰다. 정보보호 업계 진입 자체를 포기하게 만들었다. 고객은 여전히 실패한 시장에서 가격과 전문성을 탓한다.
전문성이 하락한 것은 우수 인력이 유입할 매력이 없는 탓이다. 결국 국민에게 피해가 돌아가는 ‘시민실패’에 이른다.
정보보호 시장은 최저가 입찰을 할 곳이 아니다. 최고가 제품과 최고가 인력을 조달해야 한다. 그래야 좋은 인력과 자원을 시장에 끌어올 수 있다. 산업 초기 정보보호에 특화된 인력과 시스템에 가격 평가기준이 없었다. 주변 산업 대가 산정 기준과 계약 구조를 적용했다. 초기 품질이 높고 우수인력이 집중됐던 시장을 망쳤다.
정보보호는 엔진과 브레이크 관계처럼 산업 발전에 균형적으로 위치한다. 때로는 사유재로서, 때로는 공공재 역할을 하는 매우 독특한 재화며 용역이다. 한 조직이 정보보호를 하면 해당 조직 서비스 경쟁력이 높아진다. 이와 함께 이 조직을 경유해 다른 조직을 공격하려는 위협을 차단하는 방패 역할을 한다. 그와 반대로 한 조직 회원 비밀번호가 유출되면 유사하거나 같은 비밀번호를 사용하는 다른 서비스가 동시에 취약해진다. 개별 조직 정보보호도 중요하지만 사회 전반 정보보호 수준 제고가 함께 이뤄져야 한다.
과거에는 금전을 목적으로 사이버공격을 하는 사례가 많았다. 최근에는 국가가 배후인 집단이 국가안보를 위협한다. 공격자는 그동안 구축해 놓은 사회 전반 IT인프라스트럭처 약점을 찾아내 이용한다. 국민을 공포감에 휘말리게 해 사회를 혼란에 빠트리려는 의도로 심리전술을 활용한다.
정보보호산업에 사회적 기대와 요구수준은 매우 높다. 정보보호산업은 사이버 인텔리전스 산업으로 진화한다. 사이버 인텔리전스는 기본적으로 데이터 분석과 의사결정이 기본이다. 과거 분석방법을 넘어 새로운 환경에서 폭발적으로 증가한 변수를 포함한다. 충분한 하드웨어 용량 뒷받침으로 실시간으로 사고와 범죄를 정확히 탐지하고 최단시간 내 대응한다. 분석로직을 만들어 범죄예측, 사고예방, 실시간 공격탐지, 즉시대응, 피해확산 억제, 회복, 정상화 등 영역에 적용한다. 정보보호 영역은 기본기로서만 강조되는 산업이 아니다. 정보통신을 이용해 이뤄지는 모든 산업과 서비스 전제조건이다. 기업과 조직, 사회가 생존하는 데 필수불가결한 산업이다.
‘정보보호산업의 진흥에 관한 법률’은 이러한 배경과 취지를 담고 있다. 정보보호 산업이 제대로 작동하려면 확보해야 할 병목구간을 시원히 뚫기를 기대한다. 우리나라 온라인, 사이버, 인터넷, 전자상거래, 전자금융을 안전하고 신뢰하도록 만들어 주길 바란다. 또 우리나라 정보보호 시장을 애덤 스미스가 감동할 정도로 자원이 효율적으로 배분되는 시장경제 체계로 안착시키길 기대한다.
이경호 고려대학교 정보보호대학원 교수 kevinlee@korea.ac.kr