전 세계적으로 사이버 공격이 고도화되면서 해킹 사고에 대한 국가적 대응 체계의 미비와 기업들의 낮은 보안 인식이 심각한 문제로 떠오르고 있다. 우리나라도 예외는 아니며, 최근 발생한 대형 해킹 사고를 계기로 이중적인 대응 체계와 민간 보안 역량 부족이 동시에 도마 위에 올랐다.
현재 우리나라 사이버 보안 대응 체계는 금융과 비금융 부문으로 이원화돼 있다. 금융 분야는 금융위원회와 산하 금융보안원이, 일반 기업을 포함한 비금융 부문은 과학기술정보통신부와 한국인터넷진흥원이 각각 관리하는 구조다. 이런 체계는 현실과의 괴리를 낳고 있다. 예를 들어 지난 9월 발생한 KT와 롯데카드 해킹은 각각 다른 부처가 담당하면서 정부 발표조차 따로 진행되는 이질성을 드러냈다. 해킹 피해가 특정 산업에 한정되지 않고 융합 서비스로 확산되는 상황에서 이 같은 칸막이식 대응은 정보 공유 차단과 초기 조치 지연으로 이어질 수 있다는 우려가 크다.
글로벌 추세는 이와 대조적이다. 미국은 국가 차원의 사이버 보안 기구인 사이버 인프라보안국을 중심으로 연방수사국, 국가안보국, 국방부 등이 협력하고 있으며, 유럽연합도 전담 기구인 유럽네트워크정보보호원을 운영하고 있다. 이들 기관은 정책 수립에서 침해 대응까지 통합적으로 역할을 수행하며 빠른 정보 공유와 공동 대응을 가능하게 한다. 이에 따라 우리 정부도 국가안보실 주도로 통합 보안 컨트롤타워 구성을 검토 중이다.
그러나 정부 대응 체계의 한계만으로는 문제를 설명하기 어렵다. 국내 기업들, 특히 중소기업들의 보안 인식은 매우 낮은 수준에 머물러 있다. 과학기술정보통신부와 한국정보보호산업협회가 2024년 실시한 조사에 따르면 사이버 침해를 겪고도 아무 대응을 하지 않은 기업이 전체의 67%에 달했다. 보안 솔루션 도입이나 정책 개선 등 적극적 대응을 한 기업은 소수에 불과했고, 전문 기관에 자문을 구한 경우는 겨우 1.5%였다. 이마저도 해킹을 신고하지 않은 사례가 80%가 넘으면서, 정보 공유와 협력 대응의 기반 자체가 약화되고 있는 실정이다.
민간의 보안 역량 부족은 인력과 예산에서도 고스란히 드러난다. 기업 내부에 보안 조직을 둔 비율은 32.6%에 불과하고, 그중에서도 전담 인원을 갖춘 곳은 3%에 그쳤다. 응답 기업 절반 가까이는 보안 예산이 전혀 없다고 응답했고, 1억 원 이상을 투자한 기업은 0.6%에 불과했다. 직원 교육이나 정책 수립조차 충실히 이뤄지지 않는 상황에서 해킹 위협에 스스로 노출되고 있는 것이다.
개인 사용자의 보안 의식 역시 취약하다. 정보보호 교육을 받은 경험이 있는 국민은 12%에 불과하며, 다중 인증을 설정하지 않거나 동일한 비밀번호를 여러 계정에 사용하는 경우도 많다. 피싱 메일이나 문자를 통한 공격이 여전히 효과적인 이유다. 최근 들어 스마트폰의 무단 결제 피해나 계정 탈취 사례가 증가하는 것도 이런 허술한 개인 보안 습관과 무관치 않다.
이 같은 흐름은 향후 더 심각한 보안 위험으로 이어질 수 있다. 디지털 전환이 가속화된 환경에서 사이버 보안은 단순히 기술적 문제가 아니라 국가 경제와 사회 전반의 신뢰를 지탱하는 핵심 인프라에 해당한다. 지금 필요한 것은 정부의 통합적 대응 체계 확립뿐 아니라, 기업들의 보안 투자 확대와 국민 개개인의 보안 인식 제고다. 보안을 단순한 비용이 아닌 생존 전략으로 봐야 할 시점이다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>