박춘식 아주대학교 사이버보안학과 교수·前 국가보안기술연구소장
SKT 해킹 사태로 온 나라가 떠들썩하다. 이런 사고가 있을 때마다 우리 사회는 유사한 모습을 반복해서 보인다.
처음 일어난 일인 것처럼 언론이 분주하게 방송과 기사를 쏟아내고, 유튜브도 거든다. 국회의원이나 전문가라는 분들도 한마디씩 한다. 또, 국회 청문회를 통해 기업 책임자와 정부를 상대로 국민의 불편을 줄여주려는 노력도 하는 것 같다.
[자료: 연합]
그러나 20여년 동안 여야가 바뀌어도 사이버안보기본법 조차 제정하지 못한 국회가 무슨 할 말이 많은지, 계속 반복되는 사고에 대해 책임을 추궁할 입장이나 되는지 개인적으로는 전혀 이해가 가지 않는다. 해당 기업의 보안 실태와 사후 대응 등의 문제점은 너무나도 할 말이 많을 것이다. 보안을 비용으로 생각하고 투자하지 않았다거나, 이사회가 CISO나 CEO로부터 보안 관련 보고를 받아본 적이 없다는 이야기를 듣는다.
하지만 정보통신기반보호법의 주요 기반보호시설 지정을 회피하는 모습이나 시나리오별 재난 대응 훈련 미흡한 부분은 경영자와 보안 담당자의 인식 수준을 짐작게 한다. 2500만 가입자로 국민의 절반 이상의 일상에 영향을 미치는 대기업의 대응을 보면 참담하다. 그렇다고 SKT를 제외한 다른 기업이나 정부 관련 조직, 산하 기관들이 보안을 잘한다고 생각하지 않는다. 운이 좋아 피해 갔지, 재난 대응이나 보안 시스템이 잘 갖춰진 곳은 매우 드물다고 생각한다. 다른 보안 전문가들의 의견도 크게 다르지 않을 것이다.
과학기술정보통신부나 개인정보보호위원회 등 정부 기관은 사고가 날 때마다 현장방문과 긴급 점검, 원인 파악, 대응책 마련 등을 통해 재발 방지를 약속했다. 그러나 이 순간만 지나가면 무슨 일이 있었나 할 정도로 되돌아가는 모습을 반복적으로 보여왔다.
이러한 사태가 반복되는 것에 대해 누가 누구에게 책임을 말하고 재발 방지를 말할 수 있을까? 안전이나 보안 관련 사고가 터지면, 늘 보여주던 모습이다. 개인도 기업도 정부도 마치 문화인 것처럼 정착했다. 언론이 비추고 국회가 말하는 일련의 상황은 우리 사회가 안전이나 안보에 대한 총체적인 인식이 아닌가.
▲박춘식 아주대 사이버안보학과 교수 [자료: 보안뉴스]
자신의 소중한 개인정보보호보다 편리함을 추구하는 개인, 효율이나 생산성 그리고 경쟁력 강화를 위해서라면 안전을 비용으로만 바라보는 기업, 성장이나 포퓰리즘만을 생각하고 사후약방문 같은 일시적 대응에만 급급한 정부와 정치권. 사회 전반의 안전·보안 인식이 크게 바뀌지 않는 한 SKT 해킹 사태와 비슷한 사건은 계속될 수밖에 없다.
우리는 다 알고 있다. 언제 그랬냐는 듯, 조금만 시간이 지나면 쉽게 잊힐 것이라고. 현장에 있는 관계자들이 다소 힘들겠지만, 조금만 더 지나면 언론과 정치권의 관심에서 멀어져 갈 것이라고. 잠시 소란이 있었지만, 뜨거운 국민적 관심도 차갑게 식는다는 것은 누구나 쉽게 예측할 수 있다.
안전이나 보안 사고는 단편적인 조치나 기술로 막을 수 없다. 소 잃고 외양간 고치는 행동만 반복될 뿐이다. 사고에 대한 단발적인 관심이나 보안을 비용이나 규제로 보는 개인과 기업. 사회의 전반적인 인식과 국가의 안전 불감증 문화가 가까운 미래를 너무나도 쉽게 예측할 수 있게 해준다. 그래서 인공지능(AI) 안전도 또 문제가 될 것이라는 예상을 하게 된다.
SKT 해킹 사태와 유사한 사고는 반드시 또 일어난다. 이러한 예측은 누구라도 쉽게 할 수 있다. 이러한 예상이 빗나갈 수 있도록 대대적인 인식 개선과 새로운 문화 정착에 대해 논의해볼 시점이다.
[글_ 박춘식 아주대학교 사이버안보학과 교수·前 국가보안기술연구소장]
SKT 해킹 사태로 온 나라가 떠들썩하다. 이런 사고가 있을 때마다 우리 사회는 유사한 모습을 반복해서 보인다.
처음 일어난 일인 것처럼 언론이 분주하게 방송과 기사를 쏟아내고, 유튜브도 거든다. 국회의원이나 전문가라는 분들도 한마디씩 한다. 또, 국회 청문회를 통해 기업 책임자와 정부를 상대로 국민의 불편을 줄여주려는 노력도 하는 것 같다.
[자료: 연합]
그러나 20여년 동안 여야가 바뀌어도 사이버안보기본법 조차 제정하지 못한 국회가 무슨 할 말이 많은지, 계속 반복되는 사고에 대해 책임을 추궁할 입장이나 되는지 개인적으로는 전혀 이해가 가지 않는다. 해당 기업의 보안 실태와 사후 대응 등의 문제점은 너무나도 할 말이 많을 것이다. 보안을 비용으로 생각하고 투자하지 않았다거나, 이사회가 CISO나 CEO로부터 보안 관련 보고를 받아본 적이 없다는 이야기를 듣는다.
하지만 정보통신기반보호법의 주요 기반보호시설 지정을 회피하는 모습이나 시나리오별 재난 대응 훈련 미흡한 부분은 경영자와 보안 담당자의 인식 수준을 짐작게 한다. 2500만 가입자로 국민의 절반 이상의 일상에 영향을 미치는 대기업의 대응을 보면 참담하다. 그렇다고 SKT를 제외한 다른 기업이나 정부 관련 조직, 산하 기관들이 보안을 잘한다고 생각하지 않는다. 운이 좋아 피해 갔지, 재난 대응이나 보안 시스템이 잘 갖춰진 곳은 매우 드물다고 생각한다. 다른 보안 전문가들의 의견도 크게 다르지 않을 것이다.
과학기술정보통신부나 개인정보보호위원회 등 정부 기관은 사고가 날 때마다 현장방문과 긴급 점검, 원인 파악, 대응책 마련 등을 통해 재발 방지를 약속했다. 그러나 이 순간만 지나가면 무슨 일이 있었나 할 정도로 되돌아가는 모습을 반복적으로 보여왔다.
이러한 사태가 반복되는 것에 대해 누가 누구에게 책임을 말하고 재발 방지를 말할 수 있을까? 안전이나 보안 관련 사고가 터지면, 늘 보여주던 모습이다. 개인도 기업도 정부도 마치 문화인 것처럼 정착했다. 언론이 비추고 국회가 말하는 일련의 상황은 우리 사회가 안전이나 안보에 대한 총체적인 인식이 아닌가.
▲박춘식 아주대 사이버안보학과 교수 [자료: 보안뉴스]
자신의 소중한 개인정보보호보다 편리함을 추구하는 개인, 효율이나 생산성 그리고 경쟁력 강화를 위해서라면 안전을 비용으로만 바라보는 기업, 성장이나 포퓰리즘만을 생각하고 사후약방문 같은 일시적 대응에만 급급한 정부와 정치권. 사회 전반의 안전·보안 인식이 크게 바뀌지 않는 한 SKT 해킹 사태와 비슷한 사건은 계속될 수밖에 없다.
우리는 다 알고 있다. 언제 그랬냐는 듯, 조금만 시간이 지나면 쉽게 잊힐 것이라고. 현장에 있는 관계자들이 다소 힘들겠지만, 조금만 더 지나면 언론과 정치권의 관심에서 멀어져 갈 것이라고. 잠시 소란이 있었지만, 뜨거운 국민적 관심도 차갑게 식는다는 것은 누구나 쉽게 예측할 수 있다.
안전이나 보안 사고는 단편적인 조치나 기술로 막을 수 없다. 소 잃고 외양간 고치는 행동만 반복될 뿐이다. 사고에 대한 단발적인 관심이나 보안을 비용이나 규제로 보는 개인과 기업. 사회의 전반적인 인식과 국가의 안전 불감증 문화가 가까운 미래를 너무나도 쉽게 예측할 수 있게 해준다. 그래서 인공지능(AI) 안전도 또 문제가 될 것이라는 예상을 하게 된다.
SKT 해킹 사태와 유사한 사고는 반드시 또 일어난다. 이러한 예측은 누구라도 쉽게 할 수 있다. 이러한 예상이 빗나갈 수 있도록 대대적인 인식 개선과 새로운 문화 정착에 대해 논의해볼 시점이다.
[글_ 박춘식 아주대학교 사이버안보학과 교수·前 국가보안기술연구소장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
