해킹과 전쟁 선포한 정부…'축소·부인' 해킹 대응, 바꿔야 산다

▲배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사 본관 브리핑룸에서'범부처 정보보호 종합대책' 관련 브리핑을 하고 있다. (사진제공=과기정통부)

최근 통신사·카드사·플랫폼 기업을 강타한 해킹 대란은 한국 사이버 보안의 민낯을 드러냈다. 피해는 커졌지만 정부와 기업은 서로 책임을 미루며 시간을 허비했고 국민은 불안과 불신 속에서 방치됐다. 사후 통지, 축소 발표, 지연 신고가 반복되며 ‘한국형 사이버 위기 관리의 구조적 실패’라는 지적이 쏟아졌다.

이번 정부의 범부처 정보보호 종합대책은 이런 고질적 대응 체계를 끊어내겠다는 선언에 가깝다. 이제야 국가 차원의 ‘보안 컨트롤타워’가 구축되고 AI·양자 시대를 대비한 시스템 개편이 시작된 것이다.

그간 한국의 보안 체계는 부처별로 쪼개진 구조였다. 과학기술정보통신부, 금융위원회, 개인정보보호위원회 등 부처별 대응 체계가 따로 운영되고 있어 정보 공유와 초기 대응에 공백이 발생해 공조 체계가 제대로 작동하지 못했다. 결국 컨트롤타워 부재는 보고 체계의 사각지대를 만들었고 사고가 발생해도 부처 간 책임 공방과 절차적 지연으로 ‘골든타임’을 놓치는 일이 반복됐다.

이번 대책의 가장 큰 변화 중 하나는 ‘실질적 컨트롤타워’의 가동이다. 국가 핵심 인프라인 주요정보통신기반시설을 범부처 위원회인 정보통신기반시설보호위원회를 통해 지정을 확대해 나가고 기반시설의 사고 원인 조사 단계에서는 침해사고대책본부(국가사이버위기관리단으로 지정)를 활성화한다.

정부는 ‘원스톱 신고체계’를 도입해 기업이나 기관이 사고를 한 번만 신고하면 관련 부처가 즉시 정보를 공유하도록 하고 조사단 투입 시기도 중앙에서 최적화해 현장의 혼선과 중복 조사 문제를 해소한다는 계획이다.

이번 대책이 실질적인 성과로 이어지기 위해선 산업계의 인식 전환이 선행돼야 한다는 지적이 나온다. 정부의 제도적 지원만으로는 한계가 있는 만큼 기업 스스로 보안을 ‘비용’이 아닌 경영의 필수 인프라로 인식해야 한다는 것이다. 대다수 기업은 여전히 보안은 ‘비용’으로 인식하며 공격적 투자에 소극적인 탓이다.

과기정통부와 한국정보보호산업협회가 발표한 ‘2024 정보보호 실태조사’에 따르면 해킹 피해 기업의 80% 이상이 당국에 신고하지 않은 것으로 나타났으며 자체 보안 조직을 둔 곳은 30%대에 불과했다. 더 심각한 부분은 응답 기업 절반 가까이는 보안 예산이 ‘0원’이었으며 있다 하더라도 1억 원 이상을 투자하는 곳은 0.6%에 불과했다.

이번 정부 대책은 제도적 틀을 세웠다는 점에서 의미가 크지만 실효성을 확보하기 위해선 현장과 산업계의 움직임이 뒤따라야 한다. 업계에서는 정부의 정책 방향에 공감하면서도 ‘비용 부담’을 우려하고 있다.

업계 관계자는 “대기업은 자체 보안 조직과 시스템을 갖추고 있지만 중소기업은 보안 담당자 1명조차 두기 어려운 실정이라 해킹이 발생해도 대응 매뉴얼조차 없는 경우가 대부분”이라며 “정부 대책이 현장의 실태를 충분히 반영해 중소기업의 인력·예산 한계를 고려한 실행 가능한 가이드라인과 재정지원 체계로 구체화되지 않는다면 이번 대책 역시 선언적 수준에 머물 수 있다”고 지적했다.