사이버 사고 터질 때마다 일반인들의 관심 크게 높아지는 패턴 보여
정부, 기업, 사용자의 책임 확대되어가는 상황...보안은 이미 일상의 문제

[보안뉴스 문가용 기자] 사이버 보안은 아직 평소의 삶과 동떨어진 것처럼 느껴지는 분야다. ‘사이버 보안’보다 ‘해킹 사고’가 더 입에 붙어 있고, ‘보안 전문가’보다 ‘해커’가 더 친숙하다. 사실 ‘사이버 보안’이 우리 삶을 빠르게 바꿔가고 있는데도 말이다.


자녀의 진학 문제나 가파르게 오르는 전세, 좀처럼 나아질 기미가 없는 청년 실업률처럼 사이버 보안도 이미 우리 생활과 밀접한 문제다. 그런 의미를 담아 ‘For a Better Life’라는 주제로 진행되고 있는 ISEC 2018의 첫 기조연설자로 나선 삼정KPMG 김민수 상무는 제일 먼저 ‘Cyber Security’라는 단어를 살피며 사이버 보안이 얼마나 우리 가까운 곳에 있는지 짚었다.

“작년 구글 검색 키워드인데요, 유명 배우인 디카프리오나 브래드 피트보다도 ‘사이버’라는 단어를 검색한 사람이 훨씬 많았습니다. ‘사이버’의 검색 빈도가 꾸준히 높기도 하지만, 그 추이를 살펴보면 주요 사건이 발생할 때마다 많은 사람들이 검색한다는 걸 알 수 있습니다. 이런 패턴은 화재, 화산, 홍수 등 일반적인 사건 사고가 발생할 때 나타나는 것으로, 이미 사이버 사건의 관심도가 일반인들 사이에 높아져 있다는 뜻이기도 합니다.”

일반인들만이 아니라 글로벌 기업의 CEO들과 주요 학자들 사이에서도 보안은 주요 관심사다. “글로벌 CEO들이 가장 관심을 기울이는 것 두 가지가 ‘사이버 보안’과 ‘새로운 기술’입니다. 보안 사고는 반드시 일어나는 일이라는 개념이 자리 잡아가고 있고, 그래서 ‘만약’의 문제가 아니라 ‘시기’의 문제라고 말하고 있습니다.”

그의 설명은 계속된다. “뿐만 아니라 마크 굿맨(Marc Goodman)이라는 미래학자는 ‘사이버 범죄가 자동화되고 기하급수적 규모로 진화하고 있다’고 경고했고, 토마스 셸링(Thomas Schelling)이라는 경제학자는 ‘사이버 무기를 통한 공격으로 전 세계 국가들은 예상할 수 없는 공격에 대한 상호 위협의 위험에 노출되고 있다’며 ‘공멸의 게임을 하고 있다’고 지적했습니다.”

실제 연간 글로벌 사이버 범죄 비용은 4500억 달러 규모로, 이는 한화로 470조원 정도가 된다. “이는 세계 인터넷 경제 규모의 14%, 전 세계 GDP의 0.8%에 해당하는 엄청난 액수입니다. 요즘 우리나라에서 말이 나오고 있는 슈퍼예산도 공교롭게 470조원이죠. 80년대는 나름 순수하게 출발했던 ‘해커’가 2000년대와 2010년대를 거치며 하나의 거대한 산업이 됐습니다.”

그러면서 그는 “사이버 사고가 실질적인 위협이 되기 시작하면서 사람들의 인식이 바뀌게 되었다”고 설명을 이어갔다. “사이버 사고를 일으키던 사이버 범죄자들이 제조업 현장에 침투해 기계 오작동을 일으켜 안전사고를 일으키고, ATM에서 돈을 불법으로 빼가고, 이제는 의학 분야의 심박 조절기 등에 접근해 환자 개인의 생명도 위협하고 병원 운영을 마비시키기도 합니다. 이런 사건들이 CEO들과 학자들의 주목을 받기 시작한 것이죠.”

실제로 2014년 독일의 한 철강 회사에서는 용광로 통제 장치가 해킹을 당하는 바람에 큰 물리적 피해가 발생했다. 2015년 폭스바겐 공장에서는 로봇이 오작동을 일으키며 근로자를 미는 바람에 인명 피해가 발생한 바 있다. 2018년 한국에서도 비슷한 사고가 있었다고 김 상무는 덧붙였다.

그러다보니 정부와 기업, 일반 사용자의 역할이 조금씩 바뀌고 있다고 그는 짚었다. “사이버 보안 사고가 만연하기 전에 정부는 정부 기관의 자산과 데이터를 보호하는 책임만 지면 됐습니다. 기업도 마찬가지로, 기업 내 자산과 지적재산 등을 보호하는 것에만 신경 쓰면 됐습니다. 그러나 이젠 다르죠. 정부는 민간 자산과 데이터 등을 포함해 전 국가적인 사이버 공간의 보호를 책임지는 역할을 가져가고 있고, 그에 따라 조직을 창설하고 규제를 만들기 시작했습니다.”

그렇다면 기업은 어떨까? “지적재산과 회사 자산을 넘어 고객의 정보와 자산도 보호해야 하는 책임을 가지게 되었습니다. 기업과 고객, 기업과 기업 사이의 사이버 활동을 보호하는 것도 역시 기업의 몫이 되었고요. 그래서 요즘 기업들은 사이버 사고를 대비해 보험에도 가입하죠. 이처럼 책임이 확대되고 있는 분위기로 넘어가고 있습니다.”

이런 조직들에 속한 개인들에도 영향이 없을 수 없다. “처음 인터넷이 등장했을 때와 지금은 사용자들로부터 갖는 기대치가 전혀 달라집니다. 예전에는 개인정보와 같은 개념 자체가 일반인들에게는 없었기 때문에 어쩌다 남의 정보를 보게 돼도 별 생각이 없었습니다. 하지만 이제는 자기가 하고 있는 일, 보고 있는 정보가 합법적인 것인지를 살펴야 하죠. 비밀번호, 인증서 등을 통한 보호 조치와 보안에 대한 투자도 어느 정도 해야 하고요.” 역시 책임이 확대되고 있는 것을 알 수 있는 내용이다.

그러나 이렇게 조직적, 개인적으로 책임을 확대시킨다고 해도 사이버 보안 사고는 화재와 같아서 100% 예방할 수는 없다고 그는 말한다. 하지만 그렇기에 ‘사이버 보안’이라는 분야가 위험 관리, 통제 및 보장, 법률과 규제, 보안 평가와 감사 등 더 세분화되고 각 요소들에 맞는 전문가에 대한 수요가 있는 것이 지금의 시장 상황이라고 전했다.

“보안 조직은 회사에서 어쩌면 가장 인기가 없는 부서일 수도 있어요. 안전 문제로 안 된다고 하고, 불편하게 하고, 제한을 두니까요. 그렇지만 많은 기업들의 채용 1순위는 보안 전문가인 것도 사실입니다. 그만큼 중요하다는 것이죠. 그렇다면 중요하면서도 인기가 높아지려면 어떻게 해야 할까요? 보안 실천 사항에서 스트레스를 빼주면 됩니다. 다행히 최근 신기술들이 등장하고 있어 ‘편리한 보안’을 충분히 기대할 수 있게 됐습니다.”

그런 시대에 조직 내 각 위치에 있는 사람들이 해야 할 일을 김 상무는 이렇게 정의한다.
1) 최고 경영진 : 규제 기관에 보고하고 보안 전략을 확인 및 검토한다.
2) 실무 경영진 : 경영진에 보고하고, 전략 위협 선호도와 정책을 수립하고 설정한다.
3) 위험 관리 협의체 : 실무 경영진에 보고하고 위험 선호도 관리 및 컴플라이언스를 보장한다.
4) 기타 위험 관리 업무자 : 위험관리 위원회에 보고하고 위험 및 컴플라이언스 이슈에 대한 의사 결정을 보완한다.

그러면서 그는 앞으로 정보, 기업, 사용자들의 책임이 더 확대될 것으로 내다봤다.
1) 정부 : 국가적 사이버 리스크의 최소화를 추구하고, 신속한 사이버 생태계를 지원한다.
2) 기업 : 고객과 사회의 안전을 책임지는 서비스를 기획하고 제공하며, 사이버 비즈니스를 확대해야 한다.
3) 사용자 : 저절로 작동되는 보안과 신뢰할 수 있는 서비스를 도입해 누릴 수 있어야 한다.

3줄 요약
1. ‘사이버’라는 검색어는 이미 일부 할리우드 배우 이름보다 순위 높음. 그만큼 대중화 되었음.
2. 사이버 범죄는 이미 대규모 사업. 이에 대응하기 위해서는 정부, 기업, 개인의 책임이 확대되어야 하고, 실제 그렇게 되고 있음.
3. 책임 확대 -> 할 일 혹은 알아야 할 것 증가 -> 삶에 직접적인 영향
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>