1992년 암호학을 처음 접한 뒤 공직에 간 시기를 제외하고는 사이버 보안 현장을 지켜왔다. 학위 과정부터 보안 소프트웨어(SW) 회사를 운영하던 시절까지, 뚫리고 막히는 실전의 긴장 속에서 한국의 보안 현실을 체감했다. 1990년대 한국은 세계 최고 수준의 인터넷망을 갖춘 나라였다. 그러나 이 뛰어난 인프라는 역설적으로 해외 해커들의 우회 경유지이자 실험장이 됐다. 개인 해킹은 국가 단위의 조직적 공격으로 진화했고, 공공기관이 국정원 가이드라인에 따라 동일한 제품들로 구축한 시스템의 '획일성'은 치명적 약점이 되었다. 한 곳이 뚫리면 전체가 무방비가 되는 구조가 형성된 것이다.
최근의 정부망 침해는 증가 추세다. 올해 드러난 온나라시스템 침해 사고는 2022년부터 약 3년 동안 해커가 합법 사용자로 위장해 정부 행정망 깊숙이 접근했고, 공무원 인증서 650여개가 유출됐다. 행정안전부, 외교부, 통일부 등 핵심 부처가 타격을 입었지만, 정부는 수년 동안 침투 사실을 인지하지 못했다. 이는 어제오늘의 문제가 아니다. 2014년 한국수력원자력은 북한 추정 해커에게 원전 설계도와 임직원 개인정보를 탈취당했다. 2015년 지하철 1~4호선 서버와 청와대·국회·외교부·국방부에 대한 대규모 침해 시도가 이어졌고, 2016년에는 백신 중계 서버를 통해 국방망이 뚫렸다. 그 결과 장관 PC를 포함해 3200여대의 컴퓨터에서 군사기밀이 유출되었다. 2023년에는 중앙선거관리위원회 시스템의 취약점이 확인돼 민주주의 기반인 선거 신뢰도에 우려가 제기됐다. 같은 해 공공기관 대상 사이버 공격은 하루 평균 162만건으로, 전년 대비 36% 증가했다.
이처럼 공격자는 점점 정교해지고 장기화하는데, 정부의 대응 체계는 이를 따라가지 못하고 있다. 가장 큰 원인은 구조적 문제다. 현재 정부 시스템은 부처·지자체·산하기관별로 제각각 발주되고, 유지보수도 분절돼 있다. 행안부 보안 담당자는 절대적으로 부족하고, 시스템은 수십개 외주 업체에 나뉘어 운영된다. 이 구조에서는 전문성의 축적도, 위험 대응의 일관성도 기대하기 어렵다. 민간 대기업들이 전체 시스템을 한 계열사에서 통합 관리하는 것과 대비된다.
민간에서 발생하는 대형 사고는 정부 리더십의 부재를 더 선명히 드러낸다. 2025년 한 해 사이버 침해 주요 사건을 보면, 온나라 시스템뿐 아니라 SK텔레콤 2695만건 개인정보 유출, 금융권 랜섬웨어 '킬린'으로 약 30여개 자산운용사의 2TB 데이터 다크웹 공개, 쿠팡 3370만계정, 이름, 연락처 등 무단열람, 업비트 445억원 상당 자산 탈취, 넷마블 총 3711만건의 정보유출이 이어졌다. 이 사건들의 공통점은 최초 침투 시점이 '수년 전'이라는 것이다. 공격은 이미 오래 전에 시작됐고, 우리는 뒤늦게 알아차렸다. 정부가 민간의 보안 수준을 끌어올리려면 먼저 자신을 지킬 수 있어야 한다.
이에 대한 대안은 분명하다. 고액 연봉을 줄 수 있는 공사를 만들어 전문성을 확보한 사람들을 데리고 와야 한다. 이 공사는 정부망 전체를 관할할 전문 조직을 만들고, 분산된 외주 체계를 통합해야 한다. 예산도 대폭 확대해야 한다. 무엇보다 정책을 설계하는 자리에 실제 공격과 방어의 변곡점을 경험한 전문가들이 들어와야 한다. 관심 있는 사람이 아니라, 해 본 사람이 필요하다.
디지털 경제 시대의 사이버 보안은 국가 안보이자 국민 일상의 안전망이다. 초연결 사회에서 한 번의 사이버 공격이 수천만 명의 삶을 흔들 수 있다. 세계 최고의 디지털 인프라를 가진 한국이 이제는 그에 걸맞은 세계 최고 수준의 사이버 안보 역량을 갖춰야 한다. 이것은 선택이 아니라 생존의 조건이다.
이영 KAIST 문술미래전략대학원 초빙석학교수·前 중소벤처기업부 장관
