[시론] 미사일 든 해커, 총칼로 맞서는 기업

IT 강국이라지만 보안 열악
'SW 육성' 말보다 실행 필요

첩보영화에서 비밀 자료를 빼내기 위해 잠입하는 장면을 보면 긴장감이 극치에 도달한다. 그런데 그 방법을 보면 주로 사각지대를 파고들거나 내부자 도움으로 몰래 들어가거나，혹은 변장술로 위장하기도 한다. 잠입 방법은 다양해도 공격의 키워드는 약점을 파고드는 지능적인 은밀함이다.

사이버 공간에서 벌어지는 공격 시나리오도 이와 별반 다르지 않다. 악성코드는 급증하고 사이버 공격은 끊임없이 진화하고 있다. 그런 가운데서도 한 가지 일관되는 것이 있다. 바로 공격 행위의 중심에 악성코드가 있다는 점이다. 과거에는 해커와 악성코드 제작자는 다른 인물이었다. 서로 기술적 배경이나 의도에 차이가 있었기 때문이다. 그러나 지금은 해커가 악성코드를 직접 만들어 사이버 공격을 자행한다. 왜냐하면 컴퓨터가 네트워크로 긴밀하게 연결돼 있는 상황에서 구태여 어려운 정면 공격을 시도할 이유가 없기 때문이다.

일부에서는 해커는 막강한 존재라서 불가항력이지 않느냐고 반문한다. 허나 정보기술(IT) 강국이라고 자부하는 국가에서 변명을 하기에는 막연하면서도 궁색하다. 도둑 탓을 하기에 앞서 자신의 보물이 제대로 관리되고 있는지부터 들여다보는 것이 우선이 아닐까？

최근 잇단 사고로 인해 보안은 또다시 사회적으로 큰 이슈가 되고 있다. 항상 사고가 날 때마다 사이버 보안은 사회적 문제로 뜨겁게 부상하곤 했다. 그때마다 사회적 인식이 바뀌어야 하고 보안 투자를 늘려야 한다는 원론적인 대책은 항상 모범 답안으로 등장했다. 그러나 실행 없이 구호만 일시적으로 외쳐대니，그런 논의는 피로감만 가중시킬 뿐이다.

오늘날 정보기술(IT)이라는 요소를 빼버린다면 어떻게 될까. 각종 사업은 차치하고라도 은행 거래，연말 정산，영화 예매 등 개인적인 일상 생활도 IT를 중심으로 구성돼 있으니 IT 없이는 사회 자체가 돌아가지 않는다고 해도 과언이 아니다. 이렇게 우리 사회의 중심이라 할 IT가 공격 행위의 대상이 되는 것은 당연하다.

정보 보안의 문제는 취약한 소프트웨어 구축 환경에 기인한다. 아이폰 충격으로 우리나라가 자랑하는 IT의 실상은 하드웨어에 머물러 있었다는 것을 깊이 깨닫게 됐다. IT 예산은 눈에 보이는 하드웨어 실물에 의해 좌우됐고，화려한 IT 프로젝트의 이면에는 최말단의 하청업체에서 밤새워 일하는 소프트웨어 인력들의 땀과 노고가 자리잡고 있었다.

소프트웨어 개발자들은 수시로 뒤바뀌는 스펙 변화와 촌각을 다투는 개발 스케줄，사정없이 삭감되는 인건비의 악조건 속에 놓여있다. 이런 현실에서 차분히 좋은 소프트웨어를 만든다는 것은 거의 불가능하다. 또한 우수한 인력이 소프트웨어에 비전을 가지고 달려들기를 바라는 것은 희망사항에 불과하다.

무엇보다 그런 개발 과정에서 정보 보안은 끼어들 틈이 없었다. 우리 보안의 허약함은 부실한 프로젝트와 IT 기피라는 구조적 요인에 기인한다. 프로젝트가 끝나도 보안은 중심에 서기 힘들다. 보안을 IT의 일개 기능 정도로 생각하는 조직 문화에서 보안은 외산 제품의 유지보수 수준보다도 훨씬 못 한 대우를 받는 게 현실이다.

악성코드와 해킹 도구는 창궐하고 침해 기법은 날로 지능화하는데，적절한 제품은 없이 몸으로만 때우라고 한다. 상대방은 미사일을 쏘아대는데 총검술로 대항하라는 것과 같다. 그렇게 노동집약적인 수준으로 어떻게 전쟁에서 승리하기를 바랄 수 있겠는가. 과거에도 보안의 중요성에 대해서는 사회지도층 대부분이 소리 높여 외치곤 했다. 문제는 이를 진지하게 실행해 가는 의지다. 무엇보다 각 조직의 최고책임자가 정보 보안과 위험 관리를 자기 소임이라고 자처하고 나서는 게 첫 걸음이다. 그것이 선진 기업이 당연히 갖춰야 할 최소한의 자세다.

김홍선 < 안철수연구소 대표 >