"올해는 무슨 해킹의 해인가." 쿠팡 해킹 기사에 달린 한 댓글이다. 그도 그럴 만하다. 통신사에서 게임사, 명품 브랜드, 온라인 쇼핑몰까지 올해 뚫린 곳만 셀 수 없을 정도다. 그중에서도 수년간 일상처럼 이용해온 쿠팡에서 집 현관 비밀번호까지 유출됐다는 사실은 허탈감마저 준다. 국민 65%가 넘게 이용하다 보니 유출된 개인정보는 무려 3400만건이 넘는다.
인공지능(AI) 확산은 해킹 기술의 진화를 한층 가속화하고 있다. 과거에는 숙련된 조직만 가능했던 고난도 침투가 이제는 AI 자동화 도구를 통해 훨씬 빠르고 광범위하게 시도된다. 대규모 피싱 자동화, 클라우드 환경의 취약점을 실시간으로 탐색하는 공격형 AI까지 '창'은 분기마다 새로운 형태로 등장한다. 그야말로 창과 방패의 전쟁이 초 단위로 벌어지는 시대다.
문제는 기업의 보안체계가 이 속도를 따라잡지 못한다는 데 있다. 올해 드러난 사건들을 보면, 해커가 수개월간 침투했음에도 알아차리지 못했거나, '이미 뚫린 뒤에 뒤늦게 알아차렸다'는 공통적인 패턴이 있다. 쿠팡 역시 내부직원 계정에 5개월간 무단 접근이 지속됐는데도 경보 시스템은 끝내 작동하지 않았다. 공격은 자동화되고 지능화됐는데, 방어는 여전히 사람이 로그를 뒤져보는 수준에 머물러 있었던 셈이다.
이 장면은 기업들의 보안의식이 얼마나 허술한지 단적으로 보여준다. 해커들은 조직화되고 정교해지는 반면, 기업은 보안을 여전히 개발·운영의 부속기능 정도로 취급하고 있다. 기업의 보안투자는 매출의 1%에도 미치지 않는 경우가 많다. 자동화된 공격에 수동적 방어체계를 유지하는 구조에서는 격차가 커질 수밖에 없다.
정부의 강한 제재 의지도 중요하다. 이재명 대통령은 최근 개인정보보호위원회 업무보고에서 "국민에게 피해를 주면 엄청난 경제제재를 당한다, 잘못하면 회사가 망할 수 있다"는 인식을 만들어야 한다며 징벌적 과징금 강화를 강조했다. 반복적·중대 위반기업에 대해 과징금을 전체 매출의 3%에서 최대 10%까지 올리는 방안도 검토되고 있다. 집단소송제 도입 논의까지 더해지며 기업 책임의 무게는 더 커질 전망이다.
강력한 제재는 분명 필요하다. 지금까지 보안을 '선택적 의무' 정도로 여겨온 현실을 감안하면, 기업이 구조적으로 경각심을 가질 수 있는 장치가 마련돼야 한다. 사고를 막기 위한 투자와 사고 이후 감수할 리스크의 비용이 뒤바뀌는 구조를 만들어야 한다는 점에서 의미 있는 방향이다.
그러나 제재 강화만으로는 충분하지 않다. 과징금이 원인 진단과 체질개선을 대신할 수는 없다. 기업이 먼저 바꿔야 할 것은 보안에 대한 인식과 경영구조다. 보안을 '돈 먹는 부서'가 아니라 기업 신뢰와 존립의 기반으로 바라보고, 설계 단계부터 보안을 포함하는 구조로 전환해야 한다.
정부 역시 규제 외에도 기업이 보안투자를 지속적으로 할 수 있는 구조적 기반을 만들어야 한다. 인력·기술 생태계 확충, 클라우드·AI 보안 인증 기준 정비, 침해정보 공유체계 강화 등 사전 대응 인프라가 함께 구축될 때 규제도 제대로 효과를 발휘한다. 지금은 사실상 각 기업이 단독으로 공격을 맞고 단독으로 책임을 지는 구조에 가깝다. 이 체계에서는 어떤 기업도 완전한 방패를 마련하기 어렵다.
AI 시대의 개인정보는 단순 데이터가 아니다. 기업 혁신, 소비자 신뢰, 나아가 국가의 사이버 주권과 직결된다. 공격은 이미 조직화되고 자동화됐고, 침투 속도는 더 빨라질 것이다. 그럼에도 보안이 여전히 '사후 대응' 중심에 머문다면 내년에도 우리는 같은 질문을 되풀이할 것이다. "올해도 해킹의 해인가."
yjjoe@fnnews.com
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지