“회사 이름만 좀 가려 주세요.”
보안 취약점 관련 언론 취재가 이뤄지거나 행사 발표가 예정됐을 때 국내 기업이 흔히 취하는 자세다. 취약한 부분을 고쳐 보안을 강화한다든가 피해 최소화를 위한 후속 대책 마련보다는 외부 이미지 관리에 더 신경을 쓴다. 책임 회피와 감추기에 급급하다가 피해를 더 키운다.
민간 보안 전문가나 일반인의 취약점 제보에 대한 태도는 더하다. 대개 무시하거나 자사 서비스·제품을 불법 해킹했다며 법적 조치를 경고한다. `보안취약점 신고포상제(버그바운티)`를 바탕으로 보안을 강화해 나가는 문화가 정착된 해외와는 상반된 모습이다. 보안솔루션 개발 업체조차 다를 바가 없다.
일본 대형 인터넷·이동통신 서비스 사업자 소프트뱅크는 지난 2004년 인터넷 회선 가입자 425만명 정보가 유출되는 대형 보안 사고를 겪었다. 범인이 협박 전화를 걸어 거액을 요구했지만 손정의 회장은 숨기기보다 정면승부를 택했다. 곧바로 경찰에 신고한 후 사죄 기자회견을 열고 대응책을 밝혔다. 회사는 이미지에 타격을 받았지만 곧 고객 신뢰를 회복할 수 있었다.
회사 이름을 가린다고 해서 보안 취약점이 사라지는 것은 아니다. 고칠 부분이 있다는 점을 분명히 인정하고 신속히 대처하는데 공을 들여야 한다. 인터넷과 정보통신기술(ICT)이 산업 전 분야, 생활 깊숙이 들어온 만큼 취약점은 어디에나 존재한다. 아직 발견하지 못했을 뿐이다. `완벽한 보안`이라는 인식이 가장 위험하다.
사이버 공간에 국한된 여러 보안 위험 요소가 현실 사회에 영향을 미치면서 사이버보안의 중요성이 더욱 커졌다. 정부에서도 정보보호·보안을 미래 기업이 생존하기 위한 필수 요소로 바라본다. 매년 7월 둘째 주 수요일은 정부에서 지정한 `정보보호의 날`이다. 그동안 감추고 숨기기에만 급급하지는 않았는지 되돌아보는 하루가 됐으면 한다.
박정은기자 jepark@etnews.com
