최근 해킹 사건들, 보안 허점 방치하고 안일한 대응한 결과
보안은 비용 아닌 기업의 신뢰와 존속을 좌우하는 생존 전략
[보안뉴스= 이동휘 한국융합보안학회 회장] 최근 SK 유심 해킹, 예스24 개인정보 유출, KT 무단 소액결제 피해까지 연이어 발생하면서 국민 불안이 커지고 있다. 사건들의 공통점은 분명하다. 보안의 허점을 방치한 결과이자, 기업들의 안일한 대응이다.
[자료: gettyimagesbank]
국민의 개인정보와 금융 피해는 막대하지만, 기업들은 해킹 방어에 거의 투자하지 않는 것이 현실이다. 보안 부서는 ‘돈만 쓰는 조직’으로 인식돼 환영받지 못하고, 결국 형식만 갖춘 수준에 머무는 경우가 많다. 단기 수익과 직결되지 않는다는 이유로 보안 투자가 뒷전으로 밀려나면서, 해킹의 표적이 되는 악순환이 반복되고 있는 것이다.
공공기관은 국가정보원이나 상급 부서의 정기 점검을 통해 보안 수준이 평가되고, 이에 따라 예산과 인력이 투입된다. 그러나 민간기업에는 이런 강제 장치가 없다. 민감한 개인정보를 다루는 플랫폼 기업조차 자율에 맡겨져 있어 취약할 수밖에 없는 구조다. 따라서 개인정보 및 통신, 결제를 다루는 기업들도 한국인터넷진흥원(KISA) 또는 민간 전문 기관을 통한 정기 점검을 의무화할 필요가 있다.
물론 우리 사회에도 각종 정보보호 인증제도가 존재한다. 하지만 취득 자체에만 목적이 맞춰진다면 실효성은 떨어진다. 중요한 것은 인증 이후에도 꾸준히 관리하고 유지하는 것이다. 제대로 작동하는 점검과 사후 검증이 뒷받침되어야만 사이버 보안 체계는 제 역할을 할 수 있다.
해외 사례와 교훈
세계 각국은 이미 보안을 기업 자율에만 맡기지 않고 강제적 점검과 제재를 제도화하고 있다. 미국은 신용카드 결제 기업에 PCI DSS 보안인증을 의무화해 이를 위반하면 과징금과 계약 해지까지 가능하다. 또한 CISA(Cybersecurity and Infrastructure Security Agency)는 사이버 위협 지표와 방어 조치를 공유하는 AIS(Automated Indicator Sharing) 체계를 운영해 기업과 기관이 실시간으로 위협 정보를 교환할 수 있도록 하고 있다.
유럽연합(EU)은 GDPR을 통해 개인정보 유출 시 전 세계 매출의 최대 4%에 달하는 과징금을 부과한다. 2023년부터 시행된 NIS2 지침은 금융·에너지·교통 등 주요 산업 전반에 정기 보안 점검과 위기 대응 계획 제출을 의무화했다.
▲이동휘 한국융합보안학회 회장[자료: 한국융합보안학회]
일본은 ‘사이버 보안 경영 가이드라인’을 통해 경영진이 직접 보안 리스크를 관리하도록 규정했고, 싱가포르는 ‘사이버 보안법’을 제정해 중요 인프라 기업의 정기 보안 점검과 모의해킹을 법으로 강제하며 위반 시 형사 처벌까지 가능하다.
이러한 사례들은 보안을 단순한 비용이 아닌 기업 존속의 전제 조건으로 다루고 있다는 공통점을 보여준다. 한국 역시 민간기업의 자율에만 의존하는 구조를 벗어나, 정기 점검과 경영진 책임, 강력한 제재를 포함한 제도적 장치를 도입해야 한다.
보안은 더 이상 비용이 아니다. 기업의 신뢰와 존속을 좌우하는 생존 전략이다. 최근에 연이은 해킹 사건은 “보안 투자 없이는 기업의 미래도 없다”라는 경고다. 이번 사태를 계기로 민간과 공공 모두 보안을 비용이 아닌 필수 투자로 바라보는 인식 전환이 절실하다.
[글_이동휘 한국융합보안학회 회장/동신대 컴퓨터학과 교수]
보안은 비용 아닌 기업의 신뢰와 존속을 좌우하는 생존 전략
[보안뉴스= 이동휘 한국융합보안학회 회장] 최근 SK 유심 해킹, 예스24 개인정보 유출, KT 무단 소액결제 피해까지 연이어 발생하면서 국민 불안이 커지고 있다. 사건들의 공통점은 분명하다. 보안의 허점을 방치한 결과이자, 기업들의 안일한 대응이다.
[자료: gettyimagesbank]
국민의 개인정보와 금융 피해는 막대하지만, 기업들은 해킹 방어에 거의 투자하지 않는 것이 현실이다. 보안 부서는 ‘돈만 쓰는 조직’으로 인식돼 환영받지 못하고, 결국 형식만 갖춘 수준에 머무는 경우가 많다. 단기 수익과 직결되지 않는다는 이유로 보안 투자가 뒷전으로 밀려나면서, 해킹의 표적이 되는 악순환이 반복되고 있는 것이다.
공공기관은 국가정보원이나 상급 부서의 정기 점검을 통해 보안 수준이 평가되고, 이에 따라 예산과 인력이 투입된다. 그러나 민간기업에는 이런 강제 장치가 없다. 민감한 개인정보를 다루는 플랫폼 기업조차 자율에 맡겨져 있어 취약할 수밖에 없는 구조다. 따라서 개인정보 및 통신, 결제를 다루는 기업들도 한국인터넷진흥원(KISA) 또는 민간 전문 기관을 통한 정기 점검을 의무화할 필요가 있다.
물론 우리 사회에도 각종 정보보호 인증제도가 존재한다. 하지만 취득 자체에만 목적이 맞춰진다면 실효성은 떨어진다. 중요한 것은 인증 이후에도 꾸준히 관리하고 유지하는 것이다. 제대로 작동하는 점검과 사후 검증이 뒷받침되어야만 사이버 보안 체계는 제 역할을 할 수 있다.
해외 사례와 교훈
세계 각국은 이미 보안을 기업 자율에만 맡기지 않고 강제적 점검과 제재를 제도화하고 있다. 미국은 신용카드 결제 기업에 PCI DSS 보안인증을 의무화해 이를 위반하면 과징금과 계약 해지까지 가능하다. 또한 CISA(Cybersecurity and Infrastructure Security Agency)는 사이버 위협 지표와 방어 조치를 공유하는 AIS(Automated Indicator Sharing) 체계를 운영해 기업과 기관이 실시간으로 위협 정보를 교환할 수 있도록 하고 있다.
유럽연합(EU)은 GDPR을 통해 개인정보 유출 시 전 세계 매출의 최대 4%에 달하는 과징금을 부과한다. 2023년부터 시행된 NIS2 지침은 금융·에너지·교통 등 주요 산업 전반에 정기 보안 점검과 위기 대응 계획 제출을 의무화했다.
▲이동휘 한국융합보안학회 회장[자료: 한국융합보안학회]
일본은 ‘사이버 보안 경영 가이드라인’을 통해 경영진이 직접 보안 리스크를 관리하도록 규정했고, 싱가포르는 ‘사이버 보안법’을 제정해 중요 인프라 기업의 정기 보안 점검과 모의해킹을 법으로 강제하며 위반 시 형사 처벌까지 가능하다.
이러한 사례들은 보안을 단순한 비용이 아닌 기업 존속의 전제 조건으로 다루고 있다는 공통점을 보여준다. 한국 역시 민간기업의 자율에만 의존하는 구조를 벗어나, 정기 점검과 경영진 책임, 강력한 제재를 포함한 제도적 장치를 도입해야 한다.
보안은 더 이상 비용이 아니다. 기업의 신뢰와 존속을 좌우하는 생존 전략이다. 최근에 연이은 해킹 사건은 “보안 투자 없이는 기업의 미래도 없다”라는 경고다. 이번 사태를 계기로 민간과 공공 모두 보안을 비용이 아닌 필수 투자로 바라보는 인식 전환이 절실하다.
[글_이동휘 한국융합보안학회 회장/동신대 컴퓨터학과 교수]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)