[포럼] 사이버공격 먹잇감 된 기업들

박춘식 아주대 사이버보안학과 교수
사이버 보안 분야의 2019년을 되돌아보면, 정부는 물론이고 기업이나 개인에 대한 미국 러시아 중국 북한 등의 국가 지원 무차별 사이버 공격이 너무도 두드러진 한 해였다. 그리고 은행이나 가상화폐거래소를 해킹하여 약 20억달러(약 2조4000억원)의 자금을 탈취했다는 내용을 담은 유엔제재 보고서를 보면, 공격 대상이 은행이나 카지노 등에서 가상 화폐 채굴, 크립토 재킹, 가상화폐거래소 해킹 등으로 북한의 사이버 공격이 변화되고 있음을 알 수 있다. 이는 추적이 곤란하며 정부의 규제가 느슨하거나 보안 대책이 다소 미흡한 기업 등으로 옮겨가고 있음도 알 수 있다.

반면,국가적으로는 사이버안보비서관 폐지에 이어서 정보보호정책관 마저 폐지됐고, 국가사이버안보 전략은 수립되었지만 사이버범죄협약 가입 논의조차 없었다. 사이버 안보의 국제협력은 물론 사이버 보안 관련 예산조차 제대로 마련되지 못했다. 과연 누가 사이버보안을 하고 있는지 조차 알 수 없었던 2019년 한 해였다고 생각된다.

2020년 올해, 사이버 안보에 대한 정부의 인식보다 우려되는 것이, 우리나라 기업들에 대한 사이버 스파이나 랜섬웨어 등 국가지원을 받는 그룹이나 단체 그리고 조직에 의한 체계적이고 조직적이고 지속적인 무차별 사이버 공격의 급증이다. 특히 중국 북한 베트남 인도 등의 국가 지원 해커들이 방산·자동차·중공업·반도체·제조업·의료 등 다양한 분야의 기업에 침입해 지적 재산이나 첨단 기밀정보를 훔쳐내고자 하는 사이버공격 조직이나 공격 대상 등이 보다 다양하게 증가할 것으로 예측되고 있기 때문이다.

사실, 우리나라 기업에 대한 사이버공격 급증 양상보다 더욱 우려되는 것은, 개인정보 유출이나 해킹 등 사이버 공격을 숱하게 당한 우리나라 기업들이 그 자체를 숨기려고만 하여 그 피해 실태를 제대로 파악조차 못하고 있는 안타까운 현실이다. 물론, 법제도가 제대로 정비되어 있지 않아 정부 기관이나 관련 기관이 사이버 공격을 파악해도 민간 기업에 대한 어떠한 조치도 할 수 없는 현실이다. 기업들이 정부나 전문가들의 도움은 제대로 받지 못하면서 회사 이미지만 나빠지게 되는 피해의식으로 인해 외부 노출을 극히 꺼려하는 탓도 있다고 생각한다.

기업을 사이버공격으로부터 보호하기 위해서는 먼저 정부의 인식부터 바뀌어야 한다. 국가의 지원을 받거나 직접 수행하는 사이버 스파이 활동 등의 사이버공격이 급증하고 있는 상황에서, 숱한 사이버공격으로부터 우리나라 기업을 보호하기 위해서는 정부가 더 많은 행동에 나서야 한다. 기업과의 정보 공유는 물론이고 기업과 정부가 사이버 보안에서 더욱 협력해야만 한다.

정부의 사이버보안 정책에 포함되어야 하는 것은 물론이고 기업의 CEO들이 보안을 비용으로 보는 것이 아니라 투자로 볼 수 있도록 기업들의 정보보호 인식을 바꾸는 제도부터 마련해야 한다. 기존 사이버 보험제도나 기업 정보보호 공시제도의 권고를 단계적으로 의무화하면서 적용 범위를 더욱 넓혀 나가야 한다. 또한 국내 기업이 국내 정보보호제품 도입 시 세제상 우대 조치나 기업의 공급체인 관련 협력 중소기업에 대해서도 동일한 보안 대책이 마련되도록 하는 정책 등도 마련되어야 한다.

기업도 이제는 사이버보안을 더 이상 미룰 수가 없으며 서두르지 않으면 안 된다. 국가가 지원하는 데이터 절도 및 첨단 기업비밀을 훔치는 사이버 스파이는 물론이고 기업의 지적재산이나 개인정보 해킹 등을 통해 기업 브랜드 저하와 경쟁력 약화는 물론이고 기업에 재정적 부담과 파산까지 시도하는 공격들이 우리 주변 국가들조차 공개적으로, 전략적으로 그리고 국가적으로 급증하고 있기 때문이다.

이제 우리나라 기업에 대한, 지금까지와는 아주 다른 형태의 국가지원의 사이버 공격들이 급증하고 있다. 법규 준수 차원의 지금까지의 아주 소극적인 기업 보안은 크게 도움이 되지 못할 것이다. 기업보안, 이제 기업 스스로 적극적으로 대처하지 않으면 안 되는 시대가 되었다.