국내 한 유명 대학병원은 지난달 랜섬웨어 공격을 받아 환자 파일을 관리하는 시스템이 먹통이 됐다. 보안 시스템을 갖춰놨음에도 불구하고 피해를 보자 보안담당자가 원인을 분석해봤다. 기초적인 실수 탓이었다. 전임 보안담당자가 시스템 자산 목록을 인수인계하면서 실수로 누락한 서버가 공격받았다. 이 담당자는 “자산 목록에 있던 다른 시스템에서는 공격을 미리 탐지해 차단했다”며 “보안 체계를 갖춰놓고도 어처구니없는 실수로 피해를 보니 더욱 허탈했다”고 말했다.

한 대형 은행 정보보안 부서에 근무하는 김 팀장은 요즘 고민이 많다. 최근 내부 시스템에 오래된 보안 취약점이 발견됐지만 아무런 조치도 못 하고 있어서다. 당장 보안 패치를 해야 한다는 보고를 올렸지만 “작업을 하다 보면 서비스에 지장을 줄 수 있다”는 상부 논리에 막혔다. 김 팀장은 “그나마 다른 분야에 비해 보안에 적극적으로 투자하고 있는 금융업계도 이 정도 수준”이라고 하소연했다.
◆보안 인식 여전히 느슨

12일은 정보 보호의 날이다. 해커에 의해 감염된 좀비 PC 11만 대가 정부기관을 비롯한 22개 주요 사이트를 공격해 인터넷망이 마비됐던 2009년 디도스(DDoS·분산서비스거부) 공격을 잊지 말자는 뜻에서 2012년부터 7월 둘째 주 수요일을 보안 의식을 되새기는 기념일로 지정해 운영하고 있다. 벌써 정보 보호의 날이 여섯 돌째를 맞지만 보안 사고는 줄어들지 않고 있다. 올해도 숙박정보 앱(응용프로그램) ‘여기어때’ 개인정보 유출 사태를 시작으로 웹호스팅 업체 ‘인터넷나야나’, 가상화폐 거래소 ‘빗썸’ 등이 잇달아 피해를 봤다.

기초적인 보안에 소홀했다는 게 피해 기업의 공통점이다. 웹호스팅업체 인터넷나야나는 관리자 PC가 외부와 차단되지 않았던 데다 ID와 패스워드만 알면 바로 서버에 접근할 수 있는 상태였던 것으로 드러났다. 빗썸도 직원이 이용자 정보를 담은 파일을 개인 PC에 옮겨 관리할 정도로 보안 인식이 느슨했다.

국내 기업들의 보안 수준은 통계에서도 드러난다. 한국인터넷진흥원(KISA)이 발표한 ‘2016년 정보보호 실태조사’에 따르면 지난해 네트워크에 연결된 컴퓨터를 보유한 9586개 사업체 가운데 정보 보호 조직을 운영하는 곳은 전체 조사 대상의 11%에 그쳤다.

◆보안담당자 권한 강화해야

보안 전문가들은 비슷한 보안 사고가 매년 반복적으로 발생하는 이유로 “경영진의 관심과 투자 부족 때문”을 꼽았다. 한 컨설팅업체 임원은 “랜섬웨어처럼 사회적 관심이 쏠리면 경영진의 관심도 집중되지만 6개월 정도면 관심이 사그라든다”며 “예산을 잡아놓았다 하더라도 별다른 사건이 생기지 않으면 예산을 쓰지 않고 넘어가는 경우가 많다”고 말했다.

보안담당자의 독립성을 보장해야 한다는 목소리도 커지고 있다. 2012년 5월부터 시행된 전자금융거래법에 따라 일정 규모 이상의 금융회사는 최고정보보호책임자(CISO)를 의무적으로 둬야 한다. 하지만 허울만 CISO인 경우가 대부분이다. 다른 일을 맡고 있는 임원이 CISO 자리를 겸직하는 경우가 대부분이다. 그나마 CISO를 두는 기업 비율도 매년 줄고 있다. 2014년 4.5%에서 지난해 3.1%까지 내려왔다. 당장 눈에 보이는 위협이 아니라고 판단, 비용 절감을 위해 보안담당자를 두지 않은 경우가 대부분이다.

이재우 SK인포섹 본부장은 “기본적인 보안 조치만 취해도 해킹 사고의 70~80%를 예방할 수 있다”며 “보안담당자는 물론 회사의 모든 구성원이 보안에 더 신경 써야 한다”고 말했다.

유하늘 기자 skyu@hankyung.com