지난해 4월 SK텔레콤 유심 해킹 사고 이후 1년, 금융·유통 등 다양한 분야에서 크고 작은 해킹이 끊이지 않는다. 정보보호에 대한 사회적 경각심이 최고조에 달한 가운데 정부와 기업의 인공지능 전환(AX) 설계 단계부터 '제로트러스트(아무도 믿지 않는다)' 개념을 적용한 보안 체계를 접목, 모든 영역에 보안 내재화를 실현해야 한다는 목소리가 높다.
13일 관련 업계에 따르면 지난해 4월 18일 SK텔레콤을 시작으로 KT, LG유플러스 통신 3사와 롯데카드, 쿠팡 등에서 대규모 고객정보 유출사고가 발생, 이로 인한 후속 조치가 지금도 이뤄지고 있다.
지난 1년 사이 발생한 통신 3사의 고객정보 유출 사고는 가장 안전한 영역 중 하나라고 여겼던 통신 부문이 무너졌다는 점에서 충격을 줬다. 롯데카드 사태로 금융정보가 통째로 털리고, 쿠팡 사고는 약 3370만개의 계정이 유출되는 역대 최악의 해킹 사고였다는 점에서 여진이 남아 있다.
사고 발생 후 통신 3사는 최고정보보호책임자(CISO)를 최고경영자(CEO) 직속으로 이관하고, 총 2조4000억원 규모 정보보안 투자 강화 계획을 밝혔다. 쿠팡 역시 기존 최고기술책임자(CTO) 산하 정보보안단을 CEO 직속 정보 보안실로 격상했다.
근본적인 재발 방지를 위해 제로트러스트 개념에 바탕을 둔 차세대 보안 패러다임을 받아들여야 한다는 지적이 나온다. 시스템 설계 단계부터 제로트러스트 원칙에 입각한 보안성 검증이 가장 중요한데, 대대적인 AX 투자가 단행되고 있는 현 시점이 최적 타이밍이라고 전문가들은 조언한다.
이경호 고려대 정보보호대학원 교수는 “통신사가 기지국에 AI를 적용해 통신 효율을 높이는 동시에 하나의 데이터센터로 활용하는 등 AX에 총력을 기울이고 있다”며 “전반적인 기업 시스템과 조직이 AI로 개편되는 상황에서 설계 단계부터 제로트러스트 원칙을 적용해 보안을 적용하면 경쟁력을 배가시킬 수 있을 것”이라고 말했다.
갈수록 치밀해지는 사이버 공격의 방어와 실패에 따른 책임만 물을 게 아니라 지속적으로 개선책을 마련하고, 문제 발생 시 함께 고민하는 생태계 조성도 시급하다는 지적도 나온다. 정보보안 투자를 유도할 인센티브와 취약점 발생시 빠른 공유와 대응 마련에 힘을 모을 체계가 필요하다는 것이다.
박철준 경희대 컴퓨팅공학부 교수는 “현재 정부 제도는 보안 사고 이후 책임을 묻는 데 초점을 맞췄지만 취약점을 적극적으로 찾고 개선하는 활동을 장려하는 방향으로 전환할 필요가 있다”고 주문했다. 박 교수는 “보안 개선 노력과 적극적인 버그 바운티 운영, 보안 사고 이후 2차 대응을 잘 수행한 기업에 대한 인센티브 등을 적극 고려해야 한다”고 덧붙였다.
정용철 기자 jungyc@etnews.com
