SK텔레콤 유심(USIM) 해킹 사고 여파가 커지는 가운데 기업이 면피용이 아닌 '진짜' 사이버보안을 구축할 수 있도록 정부가 유인해야 한다는 목소리가 커지고 있다. 현행 제도는 기업이 정보보안 점검 체크리스트를 중심으로 최소한의 정보보호 투자에 머무는 원인이 된다는 지적이다.
사이버 보안 영역은 창과 방패의 싸움으로 통한다. 해커가 창을 날카롭게 다듬듯이 기업은 방패를 두껍게 만들어야 한다. 해커는 투자 대비 수익(ROI)을 따져 공격하는데, 손쉽게 공격에 성공할 수 있는 무늬뿐인 사이버보안을 구축한 기업은 해킹 대상이 될 수 있다. 반대로 기술적으로 난이도가 높고 비용이 많이 들어도 이를 능가하는 수익이 보장된다면 공격자 도마 위에 오를 수 있다. 이번 SK텔레콤 사고 건은 후자로, 해커 입장에선 2000만명이 넘는 고객을 보유한 SK텔레콤은 노려볼만한 공격 대상인 셈이다.
반면 국내 기업은 체크리스트를 비롯한 의무 설치 보안 장비 구축 등 최소 요건만 충족하는 데 그치는 경향성이 짙다. 저가 입찰로 보안 장비를 구축하면 그만인 것이다. 해커의 갈고 닦은 창을 막아내기엔 모양만 갖춘 방패를 세워놓는 격이다.
김용대 한국과학기술원(KAIST) 전기 및 전자공학부 교수는 “현행 정보보호 정책이 우리 기업이 사이버 보안 강화에 관심 갖도록 이끄는지 의문”이라면서 “체크리스트와 같은 실제 보안 강화에 도움이 안 되는 정책은 과감하게 폐기하고 기업이 보안 강화에 집중하도록 정책을 수정해야 한다”고 말했다.
그러면서 “기업은 체크리스트 만족과 정보보호관리체계(ISMS) 인증 획득이 곧 '면죄부'라고 인식해선 안 된다”고 덧붙였다.
정부가 사이버 보안 취약 점검에 적극적으로 조치할 수 있도록 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 개정 필요성도 강조했다. 정보통신망법 제47조 4는 정부가 취약점 점검을 할 수 있다고 돼 있다. 하지만, 48조는 누구나 정당한 접근권한 없이 정보통신망에 침입할 수 없다고 명시하고 있다. 동의 없는 취약점 점검은 법률 위반 소지가 있는 것으로 해석된다.
김 교수는 “해커는 우리 기업을 공격하기 위해 최선을 다해 취약점을 찾고 악성코드를 심는다”며 “정부가 취약점을 점검하고 발견 시 해당 기업에 업데이트를 권고할 수 있도록 정보통신망법을 개정해야 한다”고 말했다.
염흥열 순천향대 정보보호학과 명예교수는 보안 침투 테스트 중요성을 강조했다.
염 교수는 “SK텔레콤 건은 외부로부터 악성코드가 침투된 보안 사고”라면서 “역량 있는 외부 제3자에 의한 침투 테스트를 통해 보안을 강화할 수 있다”고 말했다.
기업에 사이버 보안 사고 책임을 강화할 필요가 있다고도 지적했다.
염 교수는 “글로벌 규제 동향을 살펴보고 자율보안과 규제를 모두 고려할 필요가 있다”면서 “기업의 자율보안을 전제로 사고 발생 시 국가가 개입하는 등 기업 책임을 강화할 수 있는 제도적 방안을 마련해야 한다”고 말했다.
조재학 기자 2jh@etnews.com
