"팀 쿡 애플 CEO는 아이폰과 아이패드의 성능뿐 아니라 보안과 프라이버시에서도 차별성을 강조합니다. 애플이 사이버 보안에 얼마큼 신경쓰는지 보여주는 사례입니다. 삼성전자가 라이벌 애플을 넘기 위한 첫 관문은 보안 투자입니다. 보안 분야에서 인재 확보는 물론 필요시 M&A에도 나서야 합니다."

보안 분야 권위자인 임종인 고려대 정보보호대학원 석좌교수는 7일 IT조선과 만나 이같이 밝혔다. 최근 삼성전자가 잇따른 해킹 사고로 사이버 보안 취약점을 드러낸 것에 대해 미래 보안 역량을 더 강화하는 계기로 삼아야 한다는 제언이다.

임종인 고려대 정보보호대학원 석좌교수 / 조선DB
임종인 고려대 정보보호대학원 석좌교수 / 조선DB
반도체, 스마트폰, 가전 부문에서 세계 정상을 다투는 글로벌 기업 삼성전자의 신뢰도가 흔들린다. 국제 해커조직에 삼성전자의 기밀 데이터가 속수무책으로 해킹된 사례가 올해만 두 번째다. 최근에는 개인정보 수집 기업에 엄격한 책임을 묻는 미국에서 천문학적 벌금과 함께 피해를 입은 회원들로부터 손해배상 소송을 당할 가능성도 제기된다.

보안업계는 우리나라 대표 기업인 삼성전자가 상대적으로 사이버 보안 역량 강화에 소홀하다는 지적을 한다. 애플, 구글 등 글로벌 빅테크가 보안 분야에서 대규모 투자와 M&A로 방패를 튼튼히 한 반면 삼성전자는 눈앞의 하드웨어 투자에만 매몰돼 있다는 비판의 목소리다.

고도화되는 사이버 공격에 기업들의 피해 사례가 늘어나는 추세다. 임종인 교수는 최근 글로벌 빅테크에서 제품의 기술적 차별화 이상으로 중요성이 강조되는 있는 사안이 보안 분야라고 설명했다. 고객정보와 소스코드 등 민감한 기업 자산이 유출되지 않도록 각 기업들이 천문학적 비용을 들여 방어체계 구축에 나서고 있다는 것이다.

구글이 3월 사이버보안 회사 ‘맨디언트(Mandiant)’를 54억달러(6조 7000억원)에 인수한 사례가 대표적이다. 2004년 설립된 맨디언트는 사이버 침해 사고를 탐지하고 대응하는 분야에서 손꼽히는 회사다. 600명 이상의 보안 컨설턴트를 내세워 매해 수천건의 사고에 대응한다. 2020년엔 미국 연방정부 네트워크에 침투한 이른바 ‘솔라윈즈(SolarWinds)’ 공격을 처음 발견했다.

임 교수는 삼성전자가 보안 분야에서 무조건 유명 회사를 인수하라는 뜻은 아니라고 강조했다. 유능한 인재가 많은 회사를 인수하되, 유지·발전 시키는 것이 더욱 중요하다는 얘기다.

임 교수는 "구글의 맨디언트 인수 조건에는 창업주를 포함한 수백명의 기존 인력이 회사를 떠나지 않는다는 내용이 담겼다"며 "흔히 보안을 창과 방패의 싸움으로 비유하는데, 방패를 튼튼하게 하려면 유능한 인재를 다수 보유한 회사를 인수하는 것은 물론, 그들을 끝까지 지키고 역량을 발휘할 수 있는 환경을 만들어야 한다"고 말했다.

2022년 삼성전자의 반기보고서를 살펴보면 삼성전자의 선행 연구를 담당하는 삼성리서치 현역 임원 29명 중 시큐리티 앤 프라이버시(Security & Privacy)팀 임원은 4명에 불과하다. 모두 부사장이 아닌 상무급이다. 삼성전자의 선행 연구에 보안 분야 비중에 높지 않은 것으로 풀이할 수 있다. 5월 삼성전자가 발표한 국내외 450조원 투자계획에서도 보안은 언급되지 않았다.

임 교수는 이에 대해 "삼성전자가 수년 전부터 제품 간 연결성을 강조하면서도 이를 구현하기 위해 필수적인 보안 체계 구축에 대한 준비는 미흡해 보인다"며 "매년 보안 기술 포럼을 여는 정도로는 안 된다. 애플처럼 보안에 있어 최고라고 얘기할 수 있는 수준이 돼야한다"고 말했다.

삼성전자 미국 법인은 7월 말 사이버 공격을 당해 미국 소비자의 개인정보를 유출했다. 2020년 소비자 프라이버시 보호법(CCPA)의 발효로 미국 내 데이터 프라이버시 보호 기조는 강화되는 추세다. 미 당국 조사에서 삼성전자의 잇따른 해킹 피해가 ‘합당한 보안 절차 불이행’으로 비춰질 경우 회사는 천문학적 벌금을 물어야 할 상황에 직면할 수 있다.

임 교수는 삼성전자의 이번 위기 대응 키워드로 ‘투명성’과 ‘적극적 방어’를 꼽았다. 불투명한 프로세스로 피해를 쉬쉬하기보다는 유출은 고의가 아니었고 해킹 방어에 최선을 다했다는 태도가 필요하다는 얘기다. 또 앞으로 개선된 보안 체계를 구축하겠다는 의지를 내비쳐야한다는 주장이다.

임 교수는 "삼성전자가 해킹으로 사회보장번호, 신용·직불카드 정보 등 민감한 정보가 유출되지 않았다고 밝혔지만, 미 당국의 디지털 포렌식 조사로 새로운 유출 사실이 드러날 수도 있다"며 "제품에 대한 소비자 불신으로 이어지지 않도록 정보의 투명성을 유지하면서 기술적·법적으로 적극적인 방어를 해야한다"고 말했다.

이광영 기자 gwang0e@chosunbiz.com