"매일 또 해킹, 응답은 없나"…한국 사이버 보안 무정부 상태

최근 써브웨이, 머스트잇 등 일상 속 플랫폼 사용자들이 잇따라 정보 유출 피해를 입은데다 인터넷서점 예스24까지 랜섬웨어 해킹을 당하자 한국 사이버 보안 체계의 구조적 취약성이 다시 수면 위로 떠올랐다. 올해 사이버 침해 사고는 전년 대비 48% 증가해 1887건에 이르렀다. 매일같이 터지는 해킹 사고와 예스24 사태에서 드러난 한국인터넷진흥원(KISA)의 대응 한계는 한국의 사이버 보안 체계가 실질적 정부 강제력이 부재한 채 민간 자율에 의존하는 '사이버 무정부 상태'에 가깝다는 비판으로 이어지고 있다.

지난달 27일 패션 플랫폼 머스트잇에서 최대 9개 항목의 개인정보가 API 설계 오류로 인해 노출됐다. 앞서 파파존스와 써브웨이에서도 로그인 없이 URL을 조작하면 다른 이용자의 전화번호·주소 등 민감 정보가 노출되는 허점이 발견됐다. 써브웨이는 "기술적 문제를 인지하고 조치했다"고 밝혔지만 "최소 5개월간 무방비 상태였을 것"이란 지적이 제기됐다.
공급망 관련 해킹도 확산 중이다. SKT 유심 해킹, LG 계열 부품 공급사의 문서 유출, CJ올리브네트웍스 인증서 탈취 등 대기업의 파트너사·인프라가 우회 경로로 공격받는 일이 속출했다.

올해 6월에는 예스24 랜섬웨어 공격으로 시스템이 약 나흘간 마비되며, 디지털 콘텐츠 접근이 불가능해진 이용자들의 불만이 폭주했다.

사고 후 대응도 기대 이하의 모습이다. 예스24는 해킹 의심 정황이 확인된 뒤 KISA 분석가들이 2차례 예스24를 방문했으나 예스24는 KISA의 기술지원에 협조하지 않았다.

여기서 문제는 현행법상 민간 기업이 정부의 보안 조치를 거부하더라도 이를 제재할 구체적인 강제 수단이 없다는 것이다. 관련해 사이버 공격 대응 체계의 법적 토대가 될 '사이버안보 기본법'은 2006년 발의 이후 20년 가까이 국회 문턱을 넘지 못하고 있다.

이에 반해 미국은 국토안보부 산하에 사이버인프라안보국(CISA), 국가안보국(NSA) 내 전담 부서를 두고 있으며, 유럽연합(EU)은 사이버 보안과 관련해 EU 전 지역을 아우르는 'NIS2' 지침과 유럽사이버보안국(ENISA)을 중심으로 대기업은 물론, 취약한 보안 인프라의 중소기업까지 포함하는 법·제도 체계를 갖췄다. 반면 한국은 여전히 정보통신망법, 기반보호법 등 파편화된 규정에 의존하고 있다.

우리 정부는 뒤늦은 대응에 나서고 있다. 과기정통부는 최근 2차 추경을 통해 정보통신 기반 보호(67억 원), 해킹 바이러스 대응 고도화(90억 원), 인공지능(AI) 기반 침해 대응(50억 원)에 대한 예산을 증액했다. 사물인터넷(IoT) 보안 인증도 기존 주택 중심에서 가전·금융·의료 등 8개 분야로 확대된다고 밝혔다.

KISA는 올해 안에 독일과 IoT 보안 인증 상호인정(MRA)을 추진하며 글로벌 기준과의 정합성도 강화할 방침이다.

사이버 보안은 ‘추가 비용’으로 인식돼 단기적 효율성을 중시하며 정보보호 투자를 후순위로 미루는 경향이 짙다. 그러나 보안을 단순한 비용으로 치부할 경우 이후 발생할 피해는 훨씬 더 큰 '비용'으로 되돌아올 수 있다. 해킹으로 인한 브랜드 훼손과 고객 신뢰 상실은 단기간에 회복이 불가능한 구조적 피해다. 실제로 SK텔레콤은 유심(USIM) 해킹 사고 이후 브랜드 가치 순위가 29계단이나 하락하며, 시장의 냉정한 평가를 받았다.

예스24 서비스를 이용하는 한 이용자는 "여기만 해킹당한 게 아니다"라며 "매일 터지는 해킹 사고에 실망을 넘어 무력감마저 든다"고 말했다. 이어 "이제는 공허한 사과나 사후 조치보다 실질 보안 강화가 필요하다"고 덧붙였다. 근본적인 법제화와 통합 대응 체계 없이 방치된다면 국민의 심리적 '보안 무방비 상태'는 앞으로도 지속될 것으로 보인다.


김지유 글로벌이코노믹 기자 tainmain@g-enews.com