정보보호 투자 의무화해야

대규모 정보유출이 빈번하게 발생한다. 최근 서울시의 따릉이 회원 정보 450만건이 유출되었다고 한다. 작년 SKT의 유심 정보 2700만건 유출, KT의 2200만건 개인정보 유출 사건에 이어 LG유플러스 역시 정확한 규모는 공개되지 않았지만 비슷한 사고가 있었다.

온라인 커머스업체 쿠팡도 3000여만건의 개인정보 유출이 의심되고 있으니, 불과 1년 사이 대한민국 성인 대부분의 개인정보가 노출되었다고 해도 과장이 아니다. 이런 대규모 유출은 비단 국내만의 문제가 아니다. 미국 통신사 티모바일은 2021년 7600만명, 페이스북은 2018년 8700만명의 개인정보 유출 사고를 겪었다. 이처럼 대규모 개인정보 유출이 반복되는 이유는 무엇일까. 많은 기업은 최고보안책임자(CSO)를 두고 정보보호에 최선을 다한다고 말한다. 정부 역시 개인정보보호법을 강화하고 개인정보보호위원회를 중심으로 과징금을 부과하는 등 제도적 노력을 이어가고 있다. 그럼에도 사고는 줄어들지 않는다. 이는 단순한 관리 소홀로만 설명하기 어려운 구조적 문제이다.

개인정보를 유출하는 사람과 이를 막으려는 사람의 관계에서 유출하려는 사람이 더 적극적이다. 또한 온라인상에서 정보유출은 그것을 막으려는 사람은 개인 당사자가 아닌, 보안 관계자이다. 정보유출을 막으려는 노력과 성과는 드러나지 않고, 정보가 유출된 사고는 드러난다. 인센티브는 부재하고 질타는 크다.

또 하나의 문제는 공격자와 수비자 사이의 비대칭성이다. 공격자는 단 하나의 취약점만 찾으면 되지만, 수비자는 모든 가능성을 동시에 막아야 한다. 수많은 계정과 응용프로그램인터페이스(API), 내부 시스템 중 하나의 구멍만 있어도 전체가 무너질 수 있다. 완벽한 방어가 불가능한 구조에서 보안은 언제나 불리한 싸움이다.

많은 구멍을 동시에 막기 위해서는 비용이 기본적으로 올라갈 수밖에 없다. 기업 입장에서 정보보호 비용은 큰 부담이다. 기업 입장에서 개인정보 보호비용은 당장의 수익을 창출하는 것이 아닌 사용되고 사라지는 비용에 가깝다. 기업은 이 비용을 낮춰야 수익성이 개선되기 때문에 의사결정자가 과감한 투자를 결정하기는 쉽지 않다. 이 비대칭성은 인공지능 발전으로 더욱 확대되고 있다. 자동화된 취약점 탐색과 대규모 피싱, 공격 시나리오의 실시간 변화는 이미 현실이다. 이제 정보보호는 단순한 기술대응을 넘어 구조적 대응의 문제가 되었다. 공격이 자동화되는 환경에서 방어 역시 자동화되고 상시적으로 작동하지 않으면 효과를 기대하기 어렵다.

결국 정보보호는 기술뿐 아니라 책임, 투자, 조직구조 등의 복잡한 문제이다. 해결을 위해서는 기술 및 조직구조, 투자 등을 모두 고려해야 한다. 첫째, 보안사고의 책임을 경영 의사결정과 명확히 연결해야 한다. 둘째, 정보보호 투자를 의무적·지속적 항목으로 전환할 필요가 있다. 셋째, 보안을 외주와 하청의 문제로 방치해서는 안 된다. 핵심 보안역량은 내부에 축적되고, 성과가 평가되는 체계가 갖춰져야 한다.

대규모 개인정보 유출은 기술 부족의 문제가 아니다.

책임이 분산되고 투자 유인이 약한 구조의 결과다. 보안은 선언으로 강화되지 않는다. 책임, 투자, 조직구조가 함께 바뀔 때만 사고의 빈도는 줄어들 수 있다.

모정훈 연세대 산업공학과 교수