[보안칼럼]코로나19 극복과 사이버 위기 대응

김영기 금융보안원장
김영기 금융보안원장

코로나19로 위생수칙을 지키고 사회적 거리 두기를 실천한다. 초연결 개방 사회가 오는가 싶더니 하늘길이 막히고 사람 간 접촉이 줄어들면서 현실 세상은 오히려 은둔과 폐쇄 사회로 퇴보하는 듯하다.

마이크로소프트(MS) 창업자 빌 게이츠는 2015년 연설에서 1000만명 이상이 죽는 것은 전쟁이 아니라 전염성 강한 바이러스일 것이라 경고했다. 5년이 흘러 현실이 됐다. 코로나19 성격과 전파 과정을 보면 사이버 공격과 너무나 유사하다.

신종 코로나 바이러스는 육안 확인이 불가능하다. 기하급수로 순식간 전 세계에 확산, 누구나 감염 위험성에 노출된다. 변이성 측면에서도 바이러스가 계속 진화한다. 컴퓨터 등 디지털 기기로 침투하는 사이버 위협도 마찬가지다. 적을 눈으로 확인할 수 없고, 공격 대상 또한 무차별이다. 침투 경로는 기하급수로 증가하는 단말기 숫자에 비례해 늘며, 공격 방법과 유형도 하루가 다르게 진화한다.

바이러스가 눈으로 볼 수 없는 곳에서 발생하고 전파돼 현실 세계에 파문을 일으키듯 보안 사고도 보이지 않는 사이버 공간에서 발생해 현실 세계에 막대한 영향을 미친다. 지난 2017년 150개 이상 국가를 대상으로 발생한 워너크라이는 약 40억달러어치의 경제 손실이 발생한 것으로 추산된다. 미국 연방수사국(FBI)은 2015~2019년 미국 사이버 범죄로 인한 피해액이 102억달러에 이른다고 밝혔다.

국내 코로나19 대응이 세계 모범 사례로 평가되는 것은 다양한 요소가 복합 작동한 결과다. 정부는 위기 대응 리더십을 발휘하면서 검사를 적극 실시하고 확진자 동선 확인을 통해 감염 확산을 차단했다. 방역에 필요한 정보도 투명하고 신속하게 공유했다. 선진화한 의료 체계, 발전된 온라인 환경, 물류 체계와 함께 개인위생수칙을 지키고 생필품 사재기를 하지 않으며 불편을 감수하는 성숙한 시민 의식도 중요한 위기 극복 요소로 작용했다. 중증급성호흡기증후군(SARS·사스), 중동호흡기증후군(MERS·메르스) 등 질병을 겪으면서 쌓은 경험과 노하우, 감염병 재난 상황에 대비한 표준 매뉴얼 마련, 평소 대비 훈련을 기초로 한 질병관리본부 등 전문가와 의료진의 헌신도 일조했다.

사이버 위기 대응도 이와 같다. 기업 최고 의사결정 기구인 이사회와 경영진은 다음 사항에 유의해야 한다. 첫째 리스크 전사 관리 관점에서 사이버 위기 가능성과 위기 발생 시 예상되는 피해 종류 및 규모를 분석한다. 보안 취약점을 찾아 제거하는 조치 기술만으로는 부족하다. 둘째 예상되는 피해를 최소화할 수 있도록 위기 대응 계획을 마련하고, 진화하는 사이버 공격 시나리오를 가정한 훈련을 통해 꾸준히 검증하고 개선한다. 셋째 내부통제 전사 시스템 구축과 올바른 사이버 보안 문화를 형성하기 위해 노력한다.

정보보호 전문 부서의 의견을 중시하고, 전문가가 제 역할을 다할 수 있도록 적절한 권한을 부여하는 한편 위상을 강화하는 것도 중요하다. 2019년 금융보안원이 금융권의 사이버 보안 실태를 조사한 결과 143개 금융회사 가운데 26%는 1년 동안 정보보호 관련 안건을 이사회에서 논의한 적이 없었으며, 57%는 이사회 보고 건수가 3건 이내였다. 여전히 많은 이사회와 경영진이 사이버 보안을 정보보호 부서에 국한되는 이슈로 생각하고 있는 것으로 나타났다.

코로나19 감염을 막기 위해 체계화된 의료시스템은 물론 정부의 리더십, 전문가의 헌신, 온 국민이 한마음으로 노력하듯이 사이버 위협 피해를 막기 위해서는 적절한 내부통제 시스템과 아울러 이사회와 경영진의 관심·노력이 함께하고 모든 조직 구성원이 사이버 보안 수칙을 준수하는 문화가 어우러져야 한다.

김영기 금융보안원장 withfsec@fsec.or.kr