최근 KT와 롯데카드 서버 해킹 사건에 이어, 그 이전에 발생했던 SKT, SBI저축은행의 사례까지, 거대 기업들의 정보 유출 사고가 끊이지 않는다. 이 사건들은 단지 일시적인 해킹의 결과가 아니라, 수년 간에 걸친 치밀한 작업의 결과일지도 모른다는 점에서 섬뜩함을 안겨준다. 도대체 무엇이 문제이기에 이러한 일들이 반복되는 걸까?
내가 여러 회사를 경험하며 발견한 공통적인 문제의식은 바로 '보안에 제대로 대응하는 회사가 없다'는 점이다. 여기서 말하는 회사는 단지 경영진이나 특정 부서를 의미하는 게 아니다. 이사회, 모든 직원, 심지어는 하청업체 직원과 청소 담당자까지 포함하는 '회사 그 자체'를 뜻한다. 포스트잇에 비밀번호를 적거나, 메신저로 비밀번호를 공유하는 행위, 공공장소 와이파이를 사용하는 것 등 우리가 회사에서 지켜야 할 가장 기본적인 보안 수칙들이 현실에서는 "바빠 죽겠는데 그런 걸 언제 하냐"는 말 한마디에 허무하게 무너지는 경우가 허다하다. 나는 지금의 한국 사회, 더 나아가 2025년의 모든 국가가 IT 보안에 대한 기본적인 개념 자체가 부족하다고 판단한다.
정부가 IT 보안 관련 투자를 유도한다고 하지만, 이는 문제의 핵심을 짚지 못한 단편적인 사고다. 현재 보안 관련 인력은 가장 낮은 연봉을 받으며, 사내에서도 목소리에 힘이 없다. 돈을 벌어오는 영업이나 개발 인력에 비해, 돈을 '지키는' 보안 인력은 그 가치를 제대로 인정받지 못하고 있다. 만약 어떤 직원이 개인 공책에 비밀번호를 기록하거나 사진으로 찍었다고 가정해 보자. 보안이 중요한 금융권이라면 충분히 퇴사를 거론할 만한 사안일 수 있으나, 실제로 이를 이유로 징계를 내린다는 것은 상상하기 어렵다. 성희롱 사건으로 징계가 내려지는 상황을 떠올려 본다면, 우리 사회가 보안 문제에 대해 얼마나 낮은 기준선을 가지고 있는지 명확히 알 수 있다.
이러한 문제를 해결할 수 있는 방법은 단기적이든 장기적이든, 강력한 징벌적 책임뿐이라고 생각한다. 만약 이 사건들이 미국에서 발생했다면 SKT는 수조 원대의 벌금을 내고 보상해야 했을 것이다. KT와 롯데카드의 경우, 부정 결제로 이어질 수 있는 사안이므로 법원에서 회사 폐업까지 검토해야 할 중대한 문제일 것이다. 대기업뿐만 아니라 중소기업이나 영세 상인들까지, 정보 유출 사고가 발생하면 그에 대한 책임을 강력하게 물어야 한다. 그래야만 비로소 우리 사회가 IT 보안의 중요성을 인식하고, 보안 관련 인력의 가치를 제대로 평가하게 될 것이다. 현재는 돈을 벌어오는 인력에만 투자를 하지만, 앞으로는 돈을 지키는 인력의 중요성을 깨달아야 한다.
일각에서는 금융권에만 문제가 발생한 것 같다고 생각할 수 있으나, 과연 그럴까? AI 시대에 그 중요한 데이터를 지키는 노력이 제대로 이루어지고 있을까? 나는 어쩌면 은행, 증권사, 코인 거래소, 심지어 정부 인프라까지도 이미 뚫린 상태가 아닐까 예상한다. 우리가 배워야 할 가장 좋은 예는 제조업 대기업의 보안 문화다. 그들은 사내 기술이 내부 직원을 통해 유출되는 것을 철저히 막는다. 도면을 들고 나가다 적발되면 상무든 전무든 예외 없이 경찰에 인계된다. 제조업은 서버가 외부와 단절되어 있어 가능하다고 말할 수도 있으나, 결국 유출되었을 때의 '충격'이 크다는 것을 알기 때문에 강력하게 대응하는 것이다. 마찬가지로, 개인 정보 유출의 충격과 파급력을 우리 사회가 진정으로 깨닫고 그에 대한 징벌적 책임을 강화한다면, IT 보안은 더 이상 뒷전으로 밀리지 않을 것이다.
제미나이한테 글을 수정시켰더니 글을 정말 닭살돋게 쓴다. 내 어투가 아니니깐 너무 어색하네