[지디넷코리아]
‘완벽한 보안’은 아직 환상에 불과하다. 구조적으로 사이버 보안은 공격자가 압도적으로 유리한 싸움이다. 보안 담당자는 수천, 수백가지 IT 자산을 보호해야 하는 반면, 공격자는 단 한 가지 취약점만 알아도 시스템을 장악하고 데이터를 빼갈 수 있기 때문이다. 이제는 ‘뚫리지 않는 것’보다 ‘뚫린 뒤 어떻게 대응하느냐’가 기업의 실력을 가르는 척도가 됐다.
최근 침해사고를 보면, 해킹 사실보다 눈살을 찌푸리게 만든 것은 ‘일단 숨기고 보자’는 식의 폐쇄적 문화였다. 지난해 대형 통신사들의 해킹 사고 역시 조사 결과 여러 은폐 정황이 발견됐다.
두 차례나 랜섬웨어 공격으로 서비스가 마비된 예스24에서도 유사한 패턴이 반복됐다. 예스24는 랜섬웨어 공격을 받고 정부 기관에 협조하고 있다고 공지했으나, 실제로는 기술 지원을 거부하며 독자적으로 대응하려다 한국인터넷진흥원(KISA)에 의해 거짓말이 들통나 비난을 샀다.
정보보호 실태조사에 따르면 국내 기업 중 해킹 사고 후 외부 기관에 신고하거나 정보를 공유하는 비율은 고작 19.6%에 불과하다. 10곳 중 8곳은 여전히 ‘조용한 수습’이라는 위험한 도박을 하고 있는 셈이다.
이런 관점에서 최근 발생한 교원그룹 랜섬웨어 사고는 국내 기업에게 시사하는 바가 크다. 교원그룹은 자체조사 결과 침해 정황이 없는 서버까지도 정확한 사실 확인을 위해 KISA에 신고했다. 이는 ‘자체조사 결과 개인정보 유출 정황은 없다’고 일관하며 KISA의 지원을 거듭 거부하던 예스24와는 대조적인 모습이다.
오해를 살만한 대목도 있었다. 교원그룹이 침해 정황이 없는 서버에 대해 KISA에 신고 철회를 요청한 사실이 22일 밝혀지면서다. 그러나 이는 조사를 피하기 위함이 아닌, KISA 조사에 조사 대상을 구분하기 위함이었다.
교원그룹 측은 “사고 당시 혹시 모르니 별도로 운영되는 법인들의 서버도 KISA에 신고했었다. 그러나 조사 결과 독립적으로 운영됐던 서버는 침해 정황이 없는 것으로 확인돼 KISA에 참고차 요청을 한 것”이라며 “자체적으로 판단해서 철회하려고 한 것은 아니었다. KISA 원칙상 신고 철회는 불가능하다”고 설명했다.
향후 조사 과정에서 교원그룹에서 보안 미흡 사항이 발견된다면 그에 합당한 처벌이 내려지는 것은 당연한 수순이다. 하지만 이와 별개로 사고를 입은 기업이 취해야 할 태도는 지난해 해킹 사태가 벌어진 다른 기업과는 사뭇 다르다. 투명성이 기업 신뢰로 이어진다는 점을 명확히 인지, 교원그룹이 ‘조용한 수습’과는 다른 길을 걷고 있는 것이길 바란다.
교원그룹도 아쉬운 점은 있다. 대규모 유출 사고 우려가 있는 상황에서 2주가 넘는 시간 동안 아직도 ‘유출 정황’만 파악됐다는 점이다. 구체적인 유출 규모도 확정되지 않았으며, 어떤 정보가 포함돼 있는지도 아직 분석 단계에 머물러 있다. 이에 오랜 기간에 걸친 조사로 조치의 ‘골든타임’을 놓칠 수 있다는 우려도 나온다.
사고는 피할 수 없지만 은폐는 범죄다. 침해사고는 충분한 보안 조치를 갖췄다는 전제 하에 ‘부끄러운 실수’가 아니라 ‘누구나 당할 수 있는 디지털 재난’이다. 그 재난을 얼마나 빨리 투명하게 알리고 피해를 막느냐가 핵심이다.
이를 위해 강력한 제도적 장치가 필수다. 해외의 경우 기업이 사고를 숨겼을 경우 벌금, 상장폐지 등 감당해야 할 리스크를 사고를 숨기는 데 드는 비용보다 훨씬 크게 설정해놨다. 은폐 시 강력한 제도적 장치를 마련해 기업의 투명성을 강제한 것이다.
다행히 우리나라도 변화의 조짐이 보인다. 해킹 은폐 시 매출액의 5%까지 과징금을 부과할 수 있게 한 법안 등은 긍정적인 신호다. ‘사전 방치, 사후 은폐’의 악순환을 끊고, ‘사전 예방과 사후 공개’라는 건강한 보안 문화가 자리 잡길 기대한다.