보안 사고가 터질 때마다 기업은 늘 같은 말을 반복한다. “예상하지 못했다” “외부 해킹이었다” “개인 일탈이다.” 그러나 이제 이런 변명은 더 이상 통하지 않는다. 오늘날 발생하는 보안 사고의 본질은 기술 부족이 아니라 구조적 무능, 다시 말해 낡은 보안 체계에 대한 집단적 안일함이다.
문은 굳게 잠겼는데 데이터는 새고 있다. 출입 기록과 시스템 접속 기록이 따로 놀고, 물리 보안은 총무 부서의 일로, 정보 보안은 IT 부의 책임으로 떠넘겨진다. 분절된 구조 속에서 기업은 '누가 건물에 들어왔는지'는 알면서도 '누가 서버에 접속했는지', 그리고 그 둘이 같은 사람인지조차 확인하지 못한다. 이것이 오늘날 기업 보안 민낯이다.
보안 사고 80%가 내부자에 의해 발생한다는 사실은 상식에 가깝다. 문제는 내부자가 반드시 악의를 가진 범죄자라는 점이 아니다. 정상적인 권한을 가진 사람이, 통제되지 않은 구조 속에서 얼마든지 시스템을 악용할 수 있다는 데 있다. 퇴사자가 수개월간 내부 시스템에 접근하고, 협력사 직원 계정으로 핵심 정보가 빠져나가도 아무도 이상을 감지하지 못한다. 보안이 '연결'되지 않았기 때문이다.
최근 대형 보안 사고들은 이 현실을 적나라하게 보여준다. 국내외를 막론하고, 기업을 멈춰 세운 것은 첨단 해킹 기술이 아니라 내부 인증 체계 허술함이었다. 출입 여부와 시스템 접속 여부를 교차 검증하지 않는 구조, '아이디와 비밀번호만 맞으면 누구든 직원이 되는' 시스템이 참사를 키웠다. 예고된 결과였다.
글로벌 기업은 이미 답을 알고 있다. 출입 통제와 정보 보안을 하나의 컨트롤타워 아래 통합하고, 보안을 IT 문제가 아닌 경영 문제로 격상시켰다. 데이터에 접근하는 순간, 그 사람이 실제로 안전한 공간에 있는지 확인하는 것은 선택이 아니라 기본 원칙이 됐다. 반면 많은 국내 기업은 여전히 보안을 비용으로만 바라본다. 사고가 나면 땜질하고, 시간이 지나면 다시 잊는다.
환경은 달라졌다. 2026년부터 개인정보 유출에 대해 매출액의 최대 10% 과징금과 징벌적 손해배상이 현실이 된다. 이제 보안 사고는 이미지 훼손 문제가 아니라 기업 존속의 문제다. 그럼에도 보안 조직은 여전히 말단에 머물고, 책임은 분산되어 있으며, 의사결정권은 없다. 이것이야말로 가장 큰 리스크다.
보안 체계는 더 많은 장비를 도입한다고 강화되지 않는다. 필요한 것은 통합된 시각, 연결된 구조, 그리고 명확한 책임이다. 출입문과 로그인 화면이 따로 존재하는 한, 기업은 언제든 내부에서 무너질 수 있다. 보안을 부서별 기능으로 쪼개는 순간, 책임은 사라지고 사고만 남는다.
이제 선택의 시간이다. 낡은 보안 관행을 유지한 채 다음 사고의 주인공이 될 것인가, 아니면 보안을 경영의 중심으로 끌어올려 생존의 기준을 새로 쓸 것인가. 보안 체계 혁신은 미룰 수 있는 과제가 아니다. 그것은 기업이 내일도 존재할 수 있는지에 대한 최소한의 조건이다.
길재식 기자 osolgil@etnews.com
