상대적으로 개인정보 유출에 무감각했던 우리 사회가 최근 발생한 SK텔레콤 유심정보 해킹을 계기로 경각심이 높아졌다. 하지만 여전히 해커들은 사이버 공간 곳곳을 안방처럼 드나들고 있다.

26일 피자 프랜차이즈 한국파파존스에서 고객의 개인정보가 외부에 유출되는 사고가 발생했다. 고객명과 연락처, 주소는 물론 일부 가림처리가 되기는 했지만 신용카드 번호까지 유출됐다. 전날에는 명품 플랫폼 머스트잇에서도 개인정보가 유출됐다.

공공기관도 별반 다를 게 없다. 지난 12일 한국연구재단은 ‘온라인논문투고시스템’에 대한 해커들의 공격에 속수무책으로 당했다. 12만건의 연구자 개인정보가 유출됐다. 오죽하면 ‘개인정보는 공공재’라는 웃지 못할 우스갯소리까지 나돌까.

중요 정보를 볼모로 금전적 이득을 노리는 랜섬웨어 공격도 늘었다. 최근 발생한 인터넷 서점 예스24 해킹이 대표적인 사례다. 해커들의 공격에 예스24의 전산 시스템이 마비되면서 홈페이지와 앱이 수일간 먹통이 됐다.

올해 4월까지 해커그룹이 다크웹 등에 국내 기업과 기관에 대한 랜섬웨어 공격을 공개적으로 주장한 사례만도 9건에 달한다. 하지만 전문가들은 해커에 당한 기업이 실제로는 훨씬 많을 것으로 판단한다. 해킹을 당한 기업이 숨기는 경향이 있기 때문이다. 조용히 해커들이 요구하는 돈을 지불한 뒤 사업을 정상화시키는 방법을 택하는 기업이 적지 않다는 얘기다.

해킹 피해 사례를 보면 그 원인이 수법의 진화보다는 무감각한 사이버 보안의식 때문인 경우가 더 많다. 민간의 경우 보안예산을 단순히 추가 비용으로 인식하는 경향이 많다. SK텔레콤의 관련 예산은 동종업계 최하위였다. 예스24는 마이크로소프트가 기술 지원을 종료해 보안에 취약한 ‘윈도 서버 2012’ 등 옛 운영체제(OS)를 그대로 사용했다.

해킹을 당한 후에는 별다른 해결책이 없기 때문에 사전예방을 위해 소프트웨어 업데이트와 백업 시스템 등 보안에 투자해야 한다는 전문가들의 조언은 늘 뒷전이었다. 해킹이 발생하면 기업이 망할 수도 있다고 생각하는 경영자가 얼마나 될까.

사실 사이버 보안 예산을 투자로 보고 편성할 때 예방이 가능해진다. 민간에 비해 책임소재가 불분명한 공공기관은 기관장이 함께 책임지는 구조를 만들어야 문제 해결의 돌파구를 찾을 수 있다.

이재명정부는 우리나라를 세계 인공지능(AI) 3강으로 발전시키겠다고 했다. 하지만 AI기반 해킹 수법까지 등장한 지금, 현재와 같은 사이버 보안 시스템으로 정부 구상이 현실화될 수 있을까. AI 3강을 얘기하려면 정보보호 투자 의무화 등 국가 전반의 사이버 보안 역량 강화를 위한 청사진도 함께 제시해야 한다.

장세풍 기획특집팀 기자