[기자수첩]정보보안, 예방이 본질이다

[기자수첩]정보보안, 예방이 본질이다

외양간은 소를 잃어야 고친다지만 어떤 소를 잃으면 외양간이 재기 불능 상태가 된다. 웹호스팅 업체 라온넷닷컴은 지난 10월 말 랜섬웨어 공격을 받아 망가진 외양간 신세가 됐다. 라온넷닷컴 측은 당시 한국인터넷진흥원(KISA)에 신고하면서 “자체 해결을 하겠다”는 취지로 조사를 거부하고 연락을 단절, '잠수'에 들어간 상태다. 사실상 폐업이다.

진작 고쳐 놓지 않은 외양간 때문에 끔찍한 대가를 치른 사례는 계속 발생하고 있다. 암호화폐거래소 업비트는 지난달 자사 핫월렛에서 유출된 이더리움 약 580억원어치를 회사 자산으로 메우겠다고 발표했다. 보안은 기회비용이 너무 크다.

사이버 공격에는 국경도 없다. 미국 지방자치단체는 이미 수년간 랜섬웨어 공격으로 몸살을 앓아 왔다. 뉴올리언스시는 지난 13일(현지시간) 사이버 공격, 이보다 앞서 7월 루이지애나주는 공립학교를 겨냥한 멀웨어 공격을 받아 두 지자체가 비상사태를 선포했다. 지자체, 병원, 기업 등 영역을 가리지 않고 사이버 공격이 횡행하면서 보안 인식도 조금씩 높아지는 모습이다.

요즘 업계 관계자를 만나면 “사고 한 번 크게 나야 한다”는 말을 자주 듣는다. 사회 전반에 걸쳐 보안 인식이 저조해진 데 대한 쓴소리다. 기업은 여전히 계정 관리자 비밀번호를 엑셀 파일에 저장하고 있다. 거래처·협력사 이메일도 아무 생각 없이 클릭한다. KISA 민간분야 사이버위기 대응 모의훈련에 참여한 기업 관계자는 “몇 해 전 랜섬웨어에 당하고도 훈련 때 다시 랜섬웨어 이메일을 클릭했다”며 진땀을 흘렸다. 경험 있는 기업도 당할 정도이니 일반 기업은 생각만으로도 눈에 선하다.

지난 2~3년 동안 국내는 대형 보안 사고가 없었다. 경각심을 불러일으킬 계기도 전무했다. 보안 조치가 확대된 덕이라는 해석도 있지만 현재 보안은 뒷전으로 밀려났다. 별다른 사고 없이 평탄길을 달려온 올해, 그렇다고 정부가 정보보호 강화를 위해 우선했다고 꼽을 만한 정책은 딱히 보이지 않는다.

최근 열린 한 포럼 연사는 “기업은 보안을 여전히 투자가 아닌 비용으로 생각한다”고 꼬집었다. '우리만 안 당하면 된다' '설마 우리가 당하겠느냐'는 인식 때문에 당장 보안에는 투자하지 않는다는 쓴소리다. 소 도둑이 우리집 외양간을 찾을 것이라는 확신은 누구에게도 없다. 보안은 예방이 본질이다. 완벽한 보안은 없다 하더라도 우리 외양간에 들어올 때는 관문이 많아야 한다. 공격자도 투자수익률(ROI)을 따진다. 새해 경영 계획에 보안 강화를 포함하는 기업이 많아지길 기대한다.

오다인기자 ohdain@etnews.com