포맷이 해킹 대응?···韓, 이러니 글로벌 해킹맛집됐지 : zum 뉴스

#국내 굴지의 한 대기업 협력 업체는 해킹이 발생했을 때 관계 기관이나 보안전문 업체에 연락하는 대신 공장을 세우고 관련 업무 PC를 포맷했다. 잠시 공장을 멈추고 PC를 모두 포맷하면 설치된 랜섬웨어가 사라지니 해킹 문제가 해결된다고 생각했기 때문이다. 보안업계의 한 관계자는 “실제로는 해커의 침해 경로나 취약점이 파악되지도, 보완되지도 않았기 때문에 상황은 그대로인 것”이라며 “결국 이 기업은 3년 간 세번의 해킹을 당하고서야 적극적인 대처에 나섰다”고 전했다.

#국내 한 중견 건설사는 올 상반기 정례 정보보호 공시에서 회사 내에 정보보호 전담인력이 ‘제로’이면서 유일한 보안 관계자인 최고정보보호책임자(CISO)의 활동 역시 ‘없다’고 발표했다. 명목상 CISO가 있지만, 사이버 보안을 위한 노력과 활동은 전무한 셈이다

최근 기업을 노린 해킹이 급증하고 있지만 치닫고 있지만 기업 실무 현장에서 보안 업무는 뒷전으로 밀려나고 있다. 사이버 보안 업무를 인사 담당자가 겸직하는 등 보안 업무를 등한시하는 기조는 오히려 커지고 있으며, 보안 투자를 휘발성 비용으로 인식하는 최고경영자(CEO)도 여전하다는 것이 현장의 목소리다. 겉보기로는 법과 정부 지침을 따르고 있지만 실제 보안 활동은 잠잠한 ‘실질적 무관심’ 상태라는 평가다.

업계에서는 이미 사이버 보안이 국내 산업 경쟁력을 저해하는 수준으로 치달은 만큼 지금이라도 보안에 대한 투자와 인식전환이 뒤따르지 않을 경우 인공지능(AI) 전환과 같은 국가 과제 역시 좌초될 수 있다는 우려가 나온다. 자칫 한국이 ‘글로벌 해커들의 놀이터’ 처지에서 벗어나기 어려울 것이라는 경고도 이어지고 있다.

기업 70%가 보안전담 인력 ‘0명’…일반 개발자 대비 처우 문제도

과학기술정보통신부와 한국정보보호산업협회가 최근 발간한 2025년 국내 정보 보호 산업 실태 조사에 따르면 정보 보호 전문 기업의 정보 보안 인력 채용 계획은 2029명에 그쳤다. 지난해 채용 규모인 3159명보다 35.77% 감소한 수치다.

국내 기업 가운데 보안 업무를 위한 전업 인력을 갖춘 곳도 28.6%에 불과한 실정이다. 기업 10곳 중 7곳은 보안 전문 인력이 존재하지 않는 것이다. 보안 담당 인원이 있는 곳도 대부분 다른 업무와 겸업하고 있다. 실제 기업의 63.6%는 보안 업무를 다른 업무와 겸업하도록 하고 있고 외부 인력을 활용하는 곳은 7.8%로 나타났다. 심지어 정부의 보안 공시에서 건설사 등 일부 기업에서는 인사 담당자가 IT지식이 필요한 보안업무를 총괄하는 것으로 보고하기도 했다.

여기에 일반 개발자보다 상대적으로 낮은 처우도 사이버 보안 전문 인력 확산의 걸림돌이다. 과기부에 따르면 2023년 기준 보안 업계 인력의 55.3%가 5000만 원 미만의 연봉을 수령하고 있다. ‘5000만 원 이상, 1억 원 미만을 받는다’는 응답은 40.1%, ‘1억 원 이상을 받는다’는 4.5%에 불과했다.

현재 사이버 보안 인력을 보유하지 않은 기업의 대다수(97.2%)는 앞으로도 보안 인력 자체가 필요하지 않은 것으로 보고 있다. 정보 보호에 예산을 배정하는 기업 가운데 1억 원 이상을 투입하는 기업은 0.6%에 그치는 실정이다. 투자 기업 75.8%는 예산 규모가 500만 원에 미치지 못하고 있다.

━

‘보안 강화하자 하면 비용절감 반대처럼 취급···이대론 AI전환도 먼 일’

이같은 기업들의 인식 부족에 따라 현재 국내 산업계의 사이버 위협이 과소평가되고 있다는 지적도 나온다. 해킹을 신고하지 않고 넘어가거나 해커와 대가를 지급하고 쉬쉬하기 때문에 피해가 제대로 드러나지 않고 있다는 것이다. 실제로 과학기술정보통신부에 따르면 침해사고 경험한 기업 중 별다른 활동을 수행하지 않았다는 비율이 67.7%에 이르렀다. 이성엽 고려대 기술경영전문대학원 교수는 “정보보안을 회사의 성장을 제한하는 요인으로 보거나 불필요한 비용이라고 보는 인식이 많기 때문”이라며 “최고정보보호책임자(CISO)가 보안을 강화하자고 주장할 수록 비용 절감을 추진하는 최고경영자(CEO)에 반기를 드는 것처럼 비춰지는 구도이기 때문에 역할이 클 수 없고, 보안이 제대로 이뤄지지 않는 악순환에 빠지는 것”이라고 짚었다.

전문가들은 앞으로 AI전환(AX), 해킹 전문화 추세가 맞물려 보안 사고 증가는 불가피할 것이라고 경고하고 있다. 산업계가 디지털전환(DX)이나 AX에 속도를 내면서 사이버 공격 면적(attack surface)은 늘어난 반면 기업들의 대처 노력은 따라오지 못하면서 해커들이 파고들 지점이 늘어났기 때문이다. 더욱이 최근 북한을 배후로 하는 김수키 등 국가 지원을 받는 해커 조직이 강세를 보이는 점도 고강도 해킹을 예고하는 대목이다. 염흥열 순천향대 정보보호학과 교수는 “보안은 가장 약한 고리가 전체 시스템의 보안 강도를 결정하는데 현재로서는 국내 산업계의 모든 측면에서 사이버 공격의 파노라마가 펼쳐지는 형국”이라며 “정보 보안 태세의 ABC조차 갖추지 못하고 있는 국내 상황을 고려하면 고도화한 사이버 공격을 막기 위해 기업과 정부가 현재 사이버 공간에서 일어나고 있는 상황의 변화를 직시해야 한다”고 강조했다. 염 교수는 “추가 해킹이 일어난다면 우리 사회와 경제의 근간이 되는 인터넷의 신뢰가 허물어지게 되고 이는 AI 등 전자정보 산업의 기반이 무너지는 것”이라며 “이제부터라도 인력·조직 등 기초부터 하나하나 다시 쌓아나가는 전면적 대개조를 시작해야 할 시점”이라고 조언했다.

━

방어태세 강화 넘어 보안을 수출산업으로 육성해야···국가 안보·경제 ‘두 토끼’ 잡아야

보안 업계에서는 사실상 최고경영자급(C레벨)이 직접 CISO로서 보안업무를 지휘하는 수준의 기업 문화가 정착되지 않는 한 한국이 ‘글로벌 해커들의 놀이터’ 처지에서 벗어나기 어려울 것이라고 경고하고 있다. 이에 △최고경영진(C-레벨) 수준의 CISO 권한 부여 △보안 투자에 대한 인센티브 제공 △CEO의 역할 확대 등을 산업계의 보안 인식 제고 방안으로 꼽고 있다. 보안업계 고위 관계자는 “AI 전환 시대에는 한 번의 사고가 기업과 사회전체의 큰 손실로 이어진다"며 "이제 기업들도 보안은 비용이 아니라 '투자-보험-리스크 관리를 통합하는 포트폴리오라는 관점을 명심해야 한다”고 촉구했다.

이번 기회에 보안 산업을 국가 수출 산업으로 육성해야 한다는 목소리가 힘을 얻고 있다. 산업 전반의 사이버 대응 능력을 강화하는 동시에 국가 경제에도 보탬이 되도록 두 마리 토끼를 잡자는 논리다. 장항배 중앙대 산업보안학과 교수는 “한국의 온라인 네트워크는 다른 나라보다 복잡한 구조로, 그동안 국내 보안 기업은 이런 환경에 맞추기 위해 높은 기술 수준을 구축했다”며 “사이버 보안의 수출 산업화는 가야 할 방향이자 갈 수 있는 길”이라고 강조했다.

이미 영국과 이스라엘 등 주요 국가는 국가 안보과 경제라는 두 토끼를 잡기 위해 사이버 보안을 전략적으로 육성하고 있다. 영국은 2009년 사이버 보안을 국가 안보 의제로 공식화한 이후 2018년 수출 전략 마련, 올해 9월 ‘액션 플랜’ 발표 등 정책을 잇따라 내놓고 있다. 그 결과 영국의 사이버 보안 수출액은 2018년 21억 파운드(약 4조1261억 원)에서 2023년 72억 파운드(약 14조 1183억 원)로 243% 증가했다.

이스라엘도 사이버 보안 스타트업 육성을 국가 전략의 한 축으로 삼으며 관련 분야 유니콘이 잇따라 탄생하고 있다. 이스라엘 보안 스타트업인 체크포인트의 시가 총액은 30조원을 넘어섰다. 올해 구글이 320억 달러(47조원)에 인수한 위즈나 팔로알토네트웍스가 250억 달러(37조원)에 인수한 사이버아크 역시 이스라엘에서 나왔다.

장 교수는 “국내 보안제품이 소버린 AI 생태계 안에서 검증되고 발전하면 자연스럽게 해외 수출 확대와 국제 표준화 대응으로 이어질 수 있는 것”이라고 말했다.