[기고-이득춘] 사이버 보안 사고 대응하려면

우리나라는 명실공히 자타가 인정하는 정보기술(IT) 강국이다. 국가 전체적으로 경제 발전이 아주 단기간에 이뤄졌지만 그 속에서도 급성장한 IT산업이야말로 우리나라 주력 산업이 됐다. IT산업이 세계적 수준이라는 데는 이견이 거의 없다. 하지만 IT산업 가운데 소위 음지에서 역할을 하는 정보보안산업이 세계적 수준인지에 대해서는 선뜻 수긍하지 않는 분위기다.

어느 국가나 주력 산업이 있기 마련인데 우리 정보보안산업은 지난 15∼20년의 짧은 기간 국가 방위산업으로서 역할을 충실히 해오고 있다고 자부한다. 각종 IT 관련 지표에서 글로벌 톱을 기록할 수 있었던 것은 이렇게 보이지 않는 데서 일하는 정보보안산업인들의 땀과 열정이 있어 가능했다고 본다.

하지만 국가 방위산업과 같은 정보보안산업에서 안타까운 일들이 최근 자주 발생하고 있다. 수백만명의 개인정보가 유출되는가 하면 국가 핵심 기술이 해외로 유출되는 사고도 빈번하고, 금융권에서도 달갑지 않은 일들이 발생해 국내 정보보안산업계를 대변하고 있는 협회로서 안타까움을 느끼고 있다.

그렇다면 최근 일련의 정보보안 관련 사고들이 향후 발생하지 않도록 하기 위해서는 무엇이 필요할까. 설령 발생한다 하더라도 그 피해를 최소화할 수 있는 방안은 무엇이 있을까.

우선 공공·민간 부문 등 국가 전체적으로 보안 분야 투자 확대가 선행돼야 한다. 우리나라는 공공 부문의 경우 IT 관련 예산 중 정보보호 예산 비중이 5% 미만이며, 이는 민간 부문도 거의 같은 상황이다. 갈수록 지능화되는 악의적 정보보호 사고를 예방하기에는 턱없이 부족한 수준이다. 이를 최소 8% 이상 비중으로 확보할 수 있는 강력한 방안이 국가적 차원에서 마련돼야 할 것이다.

다음은 갈수록 증대되는 사이버 보안 사고에 대한 대응을 강화하는 것이다. 최근 정보보호 관련 사고들은 모두 사이버 공간에서 발생한 것이다. 지난 3·4 디도스 공격의 경우 과거 7·7 디도스 사건에 따른 대비로 피해를 최소화할 수 있었으나 최근 금융권 전산장애는 사전 대응책이 없던 관계로 해결하는 데 많은 시간이 걸렸다. 관련 부처들이 산학 간 체계적 공조를 통해 대응할 수 있는 시스템을 마련해야 할 것이다.

끝으로 법·제도 정비도 수반돼야 한다. 우리나라에는 IT뿐만 아니라 정보보호 등과 관련된 법과 규정이 많다. 문제는 구속력이 크게 떨어진다는 것이다. 산업 활성화를 위해서는 규제를 최소화해야겠지만 정보보호만큼은 다소 예외 규정을 둘 수밖에 없다.

지금도 사이버 상에서는 무수한 공격과 방어가 진행되고 있으며 그런 행위가 기업의 존폐, 나아가 국가 안전을 위협할 수도 있는 만큼 국가 정보보호 체계를 효과적으로 마련하는 일을 서둘러야 할 것이다. 국가 안보를 확립하고 글로벌 보안 시장을 선도하기 위해 전 산업 분야에 걸쳐 ‘국가 사이버 보안 인프라’ 확보가 절실히 요구되는 시기다.

이득춘(지식정보보안산업 협회장)