[기고] 처벌이 능사 아니다…정보보안 투자 끌어낼 정책 펴야
입력
수정
지면A30
신민수 한양대 경영학부 교수세계경제포럼(WEF)은 올 1월 ‘사이버 범죄 및 불안’을 글로벌 위험 요인으로 제시했다. 소프트웨어 공급망 공격, 랜섬웨어 해킹 등을 포함하는 정보보안 위협이 챗GPT와 같은 생성 인공지능(AI)의 확산과 맞물리면서 지능화, 다양화될 것이란 지적이었다. 과학기술정보통신부, 금융보안원, 국가정보원 등도 올해 사이버 보안 관련 주된 키워드로 AI, 클라우드 등 신기술과 함께 지능형 지속 공격(APT), 랜섬웨어 같은 새로운 사이버 공격 기법을 꼽았다.
디지털 심화 시대의 정보보안 위협은 단순히 고객 이탈이나 금전적 손실 같은 기업 차원의 리스크에 그치지 않는다. 사이버 위협의 주체와 대상도 모호하다. 특정 기업이나 국가가 단독으로 사이버 위협에 대응하는 것도 불가능하다.기업에 데이터를 제공한 이용자 개인 입장에서 보더라도 사이버 공격으로 개인정보가 일단 유출되면 다른 목적으로 악용되는 등의 추가 피해로 이어질 수 있다. 이 같은 점을 고려해 우리 정부는 정보보안 사고 재발 방지 차원에서 개인정보보호법을 위반하고 개인정보 유출 사고를 낸 기업에 사후 제재를 강화해 왔다.
하지만 정보보안 분야는 막대한 투자를 하더라도 사고의 완벽한 예방을 보장하기 어렵다. 하루가 다르게 새로운 산업과 시장, 서비스가 출현해 디지털 사회의 진화 방향이 예측되지 않는 상황에서는 더욱 그렇다. 이제 개인정보를 유출한 기업에 정부가 부과하는 제재 처분이 얼마나 적정한지에 대한 판단은 물론 정보보안 사고 재발 가능성을 최소화해 우리 사회에 가장 유익한 결과를 가져올 수 있는 효과적인 방안이 무엇인지 고민해야 할 시점에 들어섰다.
전 사회에 걸친 디지털 혁신의 가속화로 정보통신기술(ICT) 의존도가 높아지는 상황에서 기술의 취약점을 공격하는 정보보안 위협이 항시 도사리고 있다는 점을 기억해야 한다. 정보보안 사고는 징벌적 제재 중심의 처분에만 집중하는 것만으로 해결될 문제가 아니다.
산업정책적 관점에서 지속가능한 디지털 혁신을 위한 신뢰 체계를 정립할 수 있도록 정보보안 사고 대응 방식을 유연하게 개편해 나가는 것이 처벌을 강화하는 것보다 사고를 예방하는 데 더욱 효과적인 결과를 가져올 수 있다. 데이터 활용 증대와 개인정보 보호의 균형발전이라는 현 정부의 정책 기조를 유지하기 위해서는 정보보안 분야 투자 유인이 제공되는 유연한 정책적 기반을 조성하는 방향으로 국가 정책을 변화시켜 나가는 것이 바람직하다.