[박현채 칼럼] 해킹사고, 땜질식 처방은 이제 그만

2025-09-26     박현채 주필
▲ 박현채 주필
해킹 사고가 빈발하고 있다. 4월 SK텔레콤 사건에 이어 6월부터 예스24, SGI서울보증, 웰컴저축은행, GS리테일, 알바몬, KT, 롯데카드 등이 줄줄이 해킹을 당했다. 이로 인해 수십만 명의 개인정보가 줄줄 새고, 휴대폰 자동 결제로 본인도 모르게 돈이 빠져나갔다.
 
고객정보는 보이스 피싱, 대출 사기, 불법 거래 등 금융 범죄로 연결될 수 있는 민감한 데이터이다. 이것이 외부로 유출될 경우 신용카드와 은행 계좌까지 위험해질 수 있다. 사이버 범죄는 금전 손실을 넘어 사회 신뢰와 국가 안보를 흔들 수 있는 중대 사안이기도 하다.
 
우리나라에서는 최근 들어 통신사에 이어 보험, 카드, 저축은행, 자산운용사에 이르기까지 보안 사고가 발생, 고객 불안이 커지고 있다. 심지어 기업의 정보보호 체계가 적합하게 운영되는지를 심사하는 인증제도인 국내 최고 수준의 금융보안원(FSI) ‘보안관리체계(ISMS-P)’인증을 받고도 채 얼마 지나지 않아 해커들에게 뚫리는 수준이니 고객 불안이 클 수밖에 없다.
 
해킹을 당했는데도 보름이나 지난 뒤에 늑장 인지하거나 유출된 데이터의 규모조차 제대로 알지 못하는 경우가 대부분이다. 심지어 이번 KT 해킹처럼 경찰이 관련 피해 사실을 알렸는데도 회사측이 “(해킹으로) 뚫릴 리가 없다”며 별다른 조치를 취하지 않거나 SK텔레콤 사건처럼 해킹 피해를 파악하고도 고객 이탈 등을 우려해 당국에 ‘늑장 신고’를 하는 경우도 있다.
 
개인정보를 노리는 해킹 피해는 갈수록 늘어날 수밖에 없다. 인공지능(AI) 시대에 접어들면서 해킹이 그만큼 손쉬워지고 교묘해졌기 때문이다. 코딩을 모르는 일반인조차 AI의 도움을 받으면 해킹 프로그램을 만들 수 있을 정도다. 실제로 해커들은 서버에까지 침투해 정보를 빼내는가 하면 생성형 AI를 기반으로 피싱 메일이나 문자 등에 사용할 자연스러운 문구나 사진, 위조 음성 등을 만들어 낸다. 해킹 기술은 고도화하는데 정부, 기업의 해킹 대응 역량과 투자는 10년 전 수준에 머물러 있다.
 
특히 금융회사들의 보안 무능력은 금융회사가 맞나 싶을 정도다. 예컨대 롯데카드는 해킹 발생 사실을 12일 동안 까맣게 몰랐을 뿐 아니라, 사실 인지 후에도 외부 전문업체의 조력을 받고서야 피해 규모를 파악했다. 이마저도 당국의 조사 결과 드러난 해킹 규모에 비하면 극히 일부에 불과했다. 이 회사는 정보보호 투자 관련 예산 축소와 자체감사 미실시 등으로 외부 해킹에 대비하는 보안시스템이 사실상 전무한 상태에서 천만 고객의 신용거래를 운용해 온 셈이다.
 
일상에 필요한 서비스를 받으려면 으레 개인정보를 요구받는다. 디지털 결제 시대에 스마트폰은 지갑이며 금융 앱은 현금이나 다름없다. 특히 개인정보는 한번 털리면 되돌릴 수 없다. 그런데도 대다수 한국 기업은 지금까지 보안을 긴요하지 않은 영역으로 여겼다. 사고가 터지지 않으면 매몰 비용이 된다고 생각, 투자에 적극적이지 않았다. 그러다 보니 예방과 초동 대응에 실패, 호미로 막을 일을 가래로도 못 막는 일이 반복되고 있다.
 
정부는 해킹 사고가 날 때마다 “관련자들을 엄중히 처벌해 재발을 막겠다”는 엄포만 되풀이해왔다. 제도적 개선과 실효성 있는 조치는 찾아보기 어려웠다. IT 예산 대비 보안 투자 비중도 2021년 12%에서 2022년 10%, 2023년 8%로 갈수록 줄어들었다.
정부의 대응 체제가 이원화돼 있는 것도 문제로 지적된다. 우리나라의 보안 관리 체계는 공공과 민간 분야로 역할이 쪼개져 있다. 공공 부문은 국가정보원과 국방부가 관할한다. 민간 영역은 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 맡고 있다. 민간 분야 중에서도 금융권의 해킹 사고 및 개인정보 관리는 금융위원회의 관리·감독 아래 금융보안원이 담당한다.

이는 분야별 특성과 전문성을 고려한 체계이다. 하지만 보안기관 간 정보 공유가 원활하지 않고 초기 대응이 늦어질 수 있다는 단점이 지적된다. 이에 따라 일각에서는 분야별로 쪼개진 대응보다 일원화된 ‘사이버 보안 컨트롤타워’가 필요하다는 주장이 강력히 제기되고 있다.
 
해킹과 개인정보 유출은 이제 특정 기업만의 문제가 아닌 국가 차원의 문제로 부상했다. 기업은 보안을 선택이 아닌 생존 조건으로 인식하고 보안 투자를 개인정보 보호를 위한 설비나 인력 투입 비용이 아닌 미래의 전략적 투자로 생각해야 한다.
 
정부는 이번 기회에 국내 보안체계에 대한 전면 재점검을 실시, 시스템 개선을 통한 보안체계 구축에 역량을 집중해야 한다. 향후 유사 사고의 방지를 위해서는 사후약방문식 처벌만으로는 한계가 있기 때문이다. <투데이코리아 주필>