뒤로가기
스페셜뉴스
정보보호산업 육성 어떻게, 해커들에게 답을 묻다
[해킹, 그 은밀한 습격⑥] “규제는 풀고, 처벌은 강화해야”
2018. 07. 31 by 이미정 기자 wkfkal2@sisaweek.com
사이버 세계에선 오늘도 보이지 않는 습격이 이어지고 있다. 불순한 목적을 가진 해커들의 공격이 쉼없이 시도되고 있다. 교묘한 기술로 무장한 이들은 컴퓨터 정보시스템에 은밀히 침투, 전산망을 무력화시키거나 악성코드를 심어놓고 정보를 빼가고 있다. 4차산업혁명시대에 접어들며 이같은 사이버 범죄는 더 위협적으로 다가오고 있다. 보안이 담보되지 않으면 4차산업혁명은 제대로 뿌리를 내릴 수 없다. 우리는 제대로 된 대비를 하고 있는 것일까. 이같은 문제의식 아래, <시사위크>에서는 사이버 위협의 현주소를 짚어보고 대응책을 찾아보고자 한다. <편집자주>

 

화이트해커들은 국내 보안산업 발전을 위해선 현행 규제의 패러다임을 바꿔야 한다고 주장했다. <뉴시스>

[시사위크=이미정 기자] 보안이 중요하다는 ‘막연한 인식’만으로는 문제를 해결할 수 없다. 사고에 대응하기 위해선 정부 기관, 기업, 개인이 그에 걸맞는 확고한 위험 인식과 투자가 뒤따라야 한다. 앞서 다섯차례에 걸쳐 국내 사이버 위협의 현실과 문제점을 진단한 결과, 우리나라는 이 부분에 있어서 아직은 갈 길이 멀다는 결과를 마주했다.

그렇다면 어떻게 해야 할까. 본지는 화이트해커들과의 인터뷰를 통해 답을 물었다. 화이트해커연합 하루 심준보 회장(블랙펄시큐리티 이사)과 신동휘 스틸리언 이사가 바로 그들이다. 뛰어난 해커로 이름을 날려 온 이들은 국내 정보보호산업의 현실에 안타까운 시선을 보냈다. 그러면서 변화하는 사이버 환경에 맞춰 보안제도의 패러다임을 바꾸고 강력한 처벌 규정을 마련해야 하는데 의견을 모았다.

◇ 해킹과 보안에 대한 관점의 전환 “해킹, 언제든 당할 수 있다”

“해킹은 자연 재해와 같다고 봐야 한다. 언제든 당할 수 있고, 뚫릴 수 있다.”

심준보 화이트해커연합 하루 회장은 해킹을 바라보는 인식부터 다시 정립해야 한다고 주장했다.

심 회장은 “지금까지의 사이버 보안 정책 기조는 ‘예방’에 초점이 맞춰져 있는데, 여기에는 해킹을 막을 수 있다는 기본 생각이 깔려 있다”며 “하지만 이는 잘못된 것”이라고 주장했다. 그는 “해킹을 하는 사람들은 100가지 요소 중 하나의 취약점만 찾아내도 성공을 한다”며 “그러나 이를 막는 사람들은 그 100가지 요소를 한 가지도 놓치지 않고 봐야 한다. 심지어 범죄조직에 납치돼 목숨을 내걸고 불법 해킹을 하는 이들까지 있으니, 해킹이 이기는 게임”이라며 말했다.

심준보 화이트해커연합 '하루 회장

해킹은 당할 수밖에 없고, 언제든지 당할 수 있다고 인식하는 게 중요하다고 심 회장은 설명했다. 심 회장은 “우리나라는 해킹 예방에 초점을 맞추다보니, 정작 해킹에 당하고 난 뒤에 어떻게 할지와 피해 산정, 처벌 등에 대한 고민은 후순위에 미뤄둔다”고 꼬집었다.

다만 해킹이 위협적이라는 인식만으로는 보안 투자를 이끌어내기는 어렵다고 해커들은 지적했다. 보안사고가 기업이 실질적인 경제적인 손실로 이어질 수 있다는 인식 구조가 자리잡 게 중요하다고 강조했다.

신동휘 스틸리언 이사는 “미국은 대형 보안사고가 발생하면 기업이 망할 정도로 과징금을 부과한다”며 “반면 우리나라는 정보보호에 대한 세세한 규정을 만들어났지만 정작 처벌 규정은 약한 편이다. 이런 상황에서 세세한 보안 규정은 재판에 갔을 때, 기업들의 면피 수단이 되는 경우가 많다. ‘규정에 맞춰 노력을 했다’는 항변을 뒷받침하는 변론 근거가 되는 것”이라고 지적했다.

현행 법률상 개인정보보호 관련 정보통신망법을 위반할 경우, 위반 행위 관련 매출액의 3% 이하를 과징금으로 부과한다. 또 매출액 산정이 곤란한 경우 4억원 이하의 과징금을 부과한다. 그런데 지금까지의 처벌 전례를 보면 대부분이 솜방망이 수준에 그치는 경우가 많았다. 개인정보 유출사고를 자진 신고하거나 조사에 협조한 업체의 과징금을 최대 30%까지 깎아주던 관행까지 있어 과징금 부과 수위는 더 낮아졌다.

그나마 인터파크에 대한 과징금 처벌은 주목할만 했다. 전문 해커의 사이버공격으로 1,094만건의 개인정보를 유출한 온라인 쇼핑몰 인터파크는 2016년 과징금 44억8,000만원과 과태료 2,500만원을 부과받았다. 인터파크는 이에 불복해 행정소송을 제기했지만 최근 1심에서 패소했다.

이들은 이같은 인식 제고를 위해선 과징금 처벌 수위 강화가 선행돼야 한다고 의견을 같이했다. 기업의 명운이 흔들릴 수준으로 처벌 수위가 높다면 보안 사고에 대한 경각심은 자연스럽게 높아질 것이라는 생각이다.

◇ 과징금 수위 강화ㆍ징벌적 손해배상 도입 필요 

같은 맥락으로 징벌적 손해배상제도에 대한 안착도 해법이 될 수 있다고 설명했다. 신 이사는 “우리나라는 징벌적 손해배상제도가 자리잡혀 있지 않다”며 “그렇기 때문에 해킹에 따른 개인정보유출로 소비자들이 큰 피해를 봐도, 제대로 된 보상을 받지 못하는 경우가 허다하다. 큰 사고를 쳐도 회사에 엄청난 타격이 없다보니 기업들의 보안인식이 낮을 수밖에 없는 것”이라고 말했다.

심 회장도 이에 대한 의견을 같이했다. 심 회장은 “해킹을 당해서 엄청난 벌금을 무는 것도 아니고 경제적 손해를 보는 것도 아니다보니 기업들이 보안을 위한 비용을 투자할 필요성을 크게 느끼지 못한다”며 “징벌적 손해배상제도가 자리잡은 미국과 같은 경우는 사고가 나면 회사가 망하는 사례도 적지 않다. 그러다보니 미국 기업들이 보안에 대한 투자를 강화하고, 관련 인력들에 대한 수요가 계속 증가해온 것”이라고 강조했다.

해커들은 기업들의 보안 인식을 높이기 위해선 현 규제를 포지티브에서 네거티브로 전환시키고 처벌 수위를 높이는 방안을 마련해야 한다고 주장했다. 사진은 4월 4일 열린 국제해킹방어대회 코드게이트 주니어부 해킹 대회에 참석한 참가자 모습. <뉴시스>

소비자들의 인식 전환과 역할도 중요하다는 의견도 나왔다. 심 회장은 “보안산업이 커지기 위해선 소비자가 보안성을 제품 구매 기준 중 하나로 인식하는 것이 중요하다”며 “보안산업이 발달된 미국이나 중국 소비자들은 이런 부분에 대한 인식 수준이 높은 것으로 나타나고 있다”고 설명했다. 또 사고가 발생했을 때는 소비자는 엄격한 ‘심판자’가 돼야 한다고 지적했다. 심 회장은 “보안사고를 일으킨 기업들이 소비자로부터 철저한 외면을 받아야 한다”며 “정부가 보안성이 취약한 기업들을 공개해 소비자가 합리적인 선택을 할 수 있도록 도와야 한다”고 설명했다.

◇ 보안규제, 포지티브에서 네거티브로

이런 경험이 누적된다면 기업들의 사이버 보안 대비는 지금보다 더 적극적으로 나설 것이라는 의견이다. 신 이사는 “기업은 철저한 이익 집단이지 않는가”라며 “보안사고가 이익에 반하는 일이라고 인식한다면 투자를 늘릴 것”이라고 말했다. 그렇게 되면 화이트해커에 대한 수요와 인력도 자연스럽게 늘어날 것이라는 생각이다.

보안 규제의 패러다임도 바뀌어야 한다는 지적도 있다. 지금까지 정부는 보안 정책들에 대해 ‘포지티브 규제 방식’을 도입해왔다. 이는 법률이나 정책에 허용되는 것들만 나열한 뒤, 이에 포함되지 않는 것들은 불허하는 규제 방식을 말한다. 정부는 이같은 규제 기조 아래, 보안을 위해 기업들이 취해야 할 규정을 세세하게 명시한 뒤 통제해왔다. 보안업계에선 이같은 규제 방식이 보안산업의 혁신성을 저해하고 기업들의 수동적인 보안 투자의 원인이 되고 있다고 보고 있다. 정부의 정한 기준만 지키면 별탈없다는 인식 아래, 스스로 보안 위협을 점검하거나 대책을 세우지 않는다는 지적이다. 여기에 해킹 사고로 피해가 발생할 경우 “우리는 법에서 정한 대로 할 만큼 다했다”는 기업들의 항변 수단으로 활용된다는 비판이 있어 왔다.

이에 보안업계에선 보안 규제를 ‘네거티브’ 방식으로 전환해야 한다는 목소리가 높았다. 원칙적으로 허용하고 예외적으로 금지하는 규제 방식이다. 규제에 대한 광범위한 자율을 보장하고 문제가 발생했을 시에 사후처벌을 강화하는 기조다. 이 같은 규제 기조 아래선 기업들은 스스로 보안 위협을 평가하고 최선을 대책을 세워야 한다. 만약 최선을 대책을 세우지 않아 사고가 나면 기업들 스스로 사고를 입증하고 책임을 져야 한다. 보안 솔루션에 대한 연구와 투자가 이어질 수밖에 없게 되는 셈이다.

심 회장은 “현재 우리나라는 국가가 나서서 가이드라인이 제시하고, 문제가 발생하면 또 국가가 나서서 사고 원인을 조사해준다”며 “이 과정에서 소비자 피해와 후속 대책은 후순위로 밀리고 보안종사자들의 역할도 사라진다. 그러니 보안 산업이 크지 못하는 것”이라고 말했다.

4차산업혁명의 물결이 전세계에 빠르게 밀려들어오고 있다. 새로운 흐름에 대응하지 못하면 떠밀려 가는 것은 한순간이다. 새로운 산업환경에 걸맞는 정부와 기업의 발 빠른 대처가 요구되는 시점이다.