[기자수첩] 구멍 숭숭 공공보안, 이래도 CISO 뒷짐질텐가

류은주 기자
입력 2021.06.23 06:00
5월 미국 최대 송유관 회사 콜로니얼 파이프라인이 랜섬웨어 해킹을 당했다. 사건은 세계를 당혹케 했다. 일반적인 민간 기업 해킹은 고객의 개인정보나 기업의 기밀 정보를 담보로 대가(몸값)를 요구하지만, 이번엔 달랐다. 산업계 전반에 영향을 미칠 수 있는 ‘석유' 공급이 달린 문제였다.

석유 공급 이슈는 기름값 폭등으로 이어질 수 있다. 해커는 500만달러(약 57억원)에 달하는 몸값을 요구했는데, 유류 공급 중단이 장기화될 경우 그 피해는 막대하다. 콜로니얼 측은 울며 겨자먹기로 이에 응할 수밖에 없었다.

세계 최고 사이버 보안 기술력을 자랑하는 미국도 당했다. 우리나라도 안전하지 않다. 북한의 해킹조직으로 추정되는 세력이 최근 한국원자련연구원을 해킹하려는 시도가 있었던 것으로 알려졌다. 해커의 시도가 성공하면 한국의 주요 원전 기술이 외부로 유출될 수 있다.

공공기관은 아니지만 최근 복수의 방산업체도 해킹 공격을 받았다. 국가 기밀이 담긴 정보가 유출됐다는 일은 상상만해도 아찔하기만 하다. 국민의 민감 정보를 갖고 있는 국민연금, 전력 공급을 담당하는 한국전력 등이 해킹 공격을 받는 것 역시 상상하고 싶지 않다.

사이버 보안의 중요성은 아무리 강조해도 지나치지 않지만, 사고가 터진 후 부랴부랴 수습하려는 경우가 태반이다. 국내에서는 특히 그렇다. 국내 보안 사업이 성장하지 못하는 이유는 내수 시장 규모가 작은 것도 있지만, 공공과 민간 모두 보안에 대한 투자를 공격적으로 하지 않기 때문인 것도 있다.

정부는 매해 정보보호에 대한 투자와 경계심이 부족하다는 지적을 받는다. 최고정보보호책임관(CISO) 제도만 해도 수 년째 공회전 중이다. 정보보호 중요성을 민간에 강조하면서도 정작 정부에서는 CISO 제도를 적극적으로 도입하지 않는 아이러니한 상황이다.

미국 펜타곤 등 국가 주요 기관에서 자국 보안 기업 제품을 사용하면서 민간 보안 시장을 키워왔던 사례를 우리는 이미 알고 있다. 정부도 이미 답을 알고 있을 수도 있다. 국가정보원이 모든 공공기관의 사이버보안을 콘트롤 하는 데는 한계가 있다. 청와대와 국정원은 콘트롤 타워 역할에 집중하고, 공공 CISO가 교두보 역할을 해줘야 보안 분야 위협에 대응할 수 있다.

아래에서 내는 목소리가 의사결정 단위로 올라가기 못하는 경우가 많다. 공공 기관에는 CISO가 필요하다. 정보보호를 잘 아는 사람이 있어야 윗단에서 논의라도 할 수 있다. 우리나라 보안 산업이 성장하고 공공 보안이 강화되려면 지금 바로 제대로 된 결단과 실행을 해야할 것이다.

류은주 기자 riswell@chosunbiz.com


T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기