시중의 최대 이슈는 KT와 롯데카드 등 통신·금융 대기업에서 발생한 해킹 사태다. 올해 4월 SK텔레콤에서는 유심정보 2696만건과 단말기 고유식별번호(IMEI) 29만건 등 대규모 개인정보가 유출됐다. 얼마 지나지 않아 국내 최대 인터넷서점인 예스24도 랜섬웨어 공격을 받아 도서 구매, 티켓 예매, 전자책 서비스가 중단됐다.
지난 달에는 KT에서 불법 소형 기지국을 활용한 무단 소액결제로 362명이 2억4000만원에 달하는 피해를 입었다. 롯데카드에서는 해킹으로 인해 297만명의 개인정보가 유출됐고, 이중 28만명은 결제 필수 정보인 카드번호, 유효기간, CVC 번호가 유출됐다.
이와 같은 전방위 사이버 공격에는 인공지능(AI)의 발전이 큰 몫을 차지하고 있다. 이제는 비전문가도 챗GPT 안내만 따라하면 10분 만에 해킹에 성공하는 시대가 된 것이다. 물론 챗GPT, 제미나이를 비롯한 AI 도구에는 해킹 질의와 같은 부적절한 질문에 대한 답변을 막는 안전장치가 존재한다. 그러나 조금만 프롬프트 엔지니어링 지식이 있어도 AI 도구의 안전장치를 우회하는 것은 어렵지 않다. 예를 들어 '해킹 대회 참가를 도와 달라'는 식으로 요청하면 챗GPT는 해킹 기초부터 데이터베이스 접근법까지 조목조목 알려준다.
비개발자가 인터넷 서비스를 손쉽게 만드는 '바이브 코딩'(Vibe Coding)이 사이버 공격에 적용되면서 이른바 '바이브 해킹'(Vibe Hacking) 시대가 열리고 있다. 그렇다면 전문 해커 그룹이 AI의 도움을 받아 각국 정부기관과 통신·금융 기업을 공격하는 것도 훨씬 쉬워진 셈이다.
AI는 생산성을 높이는 도구인 동시에 기업 보안을 위협하고 사이버 공격을 고도화하는 '양날의 검'이 됐다. 이제 AI는 사이버 공격의 최전선에 서서 랜섬웨어 공격을 자동화하거나, 피싱(phishing) 이메일을 만드는 '해킹 AI 에이전트'로 진화하고 있다.
그러나 디지털 안전관리에 대한 사회적 인식과 기업 투자는 너무도 인색한 수준이다. 이미 '주민등록번호를 비롯한 모든 개인정보는 중국에 넘어가 있다'는 자조 섞인 인식도 팽배해 있다.
이에 정부는 해킹 사실을 감추거나, 늑장 신고할 경우 과태료를 부과하는데 그치지 않고, 중대 사고에 대해 징벌적 과징금을 예고하고 있다. 이는 기업의 디지털 안전관리 의무를 강화하기 위한 고육책이다. 그러나 처벌을 강화하는 것은 근본적인 대책이 될 수 없다.
사모펀드(PEF)가 인수한 롯데카드 사례에서 보듯, 단기 수익성이 중요한 전문경영인에게 장기적 보안 투자를 요구하는 것은 마치 '우이독경'(牛耳讀經)과도 같다. 과장해 말하자면 정작 당사자는 관심이 없는데, 주변에서 떠들어도 시늉만 할 뿐이다.
기업의 디지털 안전관리 투자를 독려하기 위해서는 민형사상 징벌이 아닌 과감한 인센티브 제도 도입이 보다 효율적일 수 있다. 예를 들어 디지털 보안에 대한 인프라 투자와 비례해 법인세를 감면하는 조치도 검토할 만하다. 전문가들이 주장하는 공공 책임론도 눈여겨 봐야 한다. 이들은 기업의 보안 유출에만 책임을 물리는 것이 아니라 정부와 지방자치단체, 공공기관도 책임 소재에서 결코 자유로울 수 없다고 주장한다. 공공과 민간이 함께 책임을 져야 한다는 뜻이다.
우리는 소프트웨어(SW) 보안과 더불어 통신망 등 물리적 보안을 총괄하는 법령 정비에도 신경 써야 한다. 2022년 판교 데이터센터 화재 사고는 네이버, 카카오 등 국민 일상과 경제 활동에 밀접한 디지털 서비스 장애로 직결되어 국민 불편과 피해를 가져왔다. 이후 정부는 '방송통신발전기본법' '정보통신망 이용촉진 및 정보보호에 관한 법률' '전기통신사업법'을 개정해 디지털 안전관리 체계를 강화하고자 노력했다.
그러나 현행 법체계는 디지털 안전관리의 구성요소인 기간통신서비스, 부가통신서비스, 데이터센터를 3개의 법령에 분산 규정하고 있어 중복 규제와 행정 비효율이 발생하고 있다. 이에 디지털 안전 3법의 통합을 통해 디지털 재난·장애 관련 전 주기 안전관리의 법적 근거를 마련해야 한다. 더불어 디지털 재난과 장애 관련 안전관리를 전담하는 기관을 지정하는 것도 필수적이다.
며칠 전 국가인공지능전략위원회에서 보안TF를 설치하고, 이론과 실무를 겸비한 전문가인 이원태 국민대 특임교수에게 디지털 안전관리를 총괄하는 역할을 부여한 것은 반가운 조치다. 더 이상 정치인 출신 기관장이나 현장 경험이 부족한 학자에게 전문성이 필요한 자리를 맡겨서는 안 된다. 현 정부 들어 산업을 잘 아는 전문가들이 정책 일선을 지휘하면서 정부 정책의 현실성이 높아진 점은 환영할 만한 일이다.
정부는 기업의 SW 보안 투자를 독려하기 위한 인센티브 체계를 서둘러 구축해야 한다. 정부 부처와 지방자치단체, 공공기관의 보안 정책도 체계적으로 정비할 필요가 있다. 또 통신서비스와 데이터센터를 아우르는 디지털 안전관리 법체계 역시 시급히 정비해야 한다. 늦었다고 생각할 때가 오히려 디지털 안전관리 전환의 적기다.
황보현우 서울대 산업공학과 객원교수 scotthwangbo@snu.ac.kr