대형 온라인 쇼핑몰과 통신사, 금융사 등 업권을 가리지 않고 해킹 등 사이버 보안 위협이 잇따르고 있습니다. 그 여파로 국민들의 개인정보 유출이 발생하며 사생활 침해와 보이스피싱 등 2차 피해도 확산하고 있습니다. 특히 지난해에는 개인정보 유출 관련 이슈가 유독 많아, 사이버 공격의 해였다고 해도 과언이 아닙니다.

 

북한의 해커 조직이 가상자산 거래소에서 가상화폐를 탈취하거나 랜섬웨어를 통해 '몸값'을 요구하는 사례도 잇따랐습니다. 인터넷 강국으로 자부해온 우리나라가 사이버 공격에 속수무책으로 노출돼 있다는 사실이 전 국민에게 각인된 한 해였습니다. 사이버 위협은 갈수록 더욱 조직화되고 정교해지고 있습니다.

 

공격자는 더 이상 단순한 개인 해커가 아닙니다. 조직화된 집단이거나 때로는 국가의 지원을 받는 경우도 있습니다. AI 기술을 활용해 스텔스 전투기처럼 흔적을 최소화하며 침투합니다. 이들이 노리는 대상은 국민의 개인정보와 금융 정보, 국가 산업의 핵심 정보 등입니다.

 

해커가 고도화될수록 방어 수단 역시 그에 상응해야 합니다. 사이버 보안은 이제 특정 산업이나 대기업만의 문제가 아니라 모든 조직이 갖춰야 할 필수 역량이 됐습니다. 다만 기업마다 대응 역량과 속도에는 분명한 한계가 있습니다. 개별 기업의 노력만으로는 고도화된 사이버 공격을 막기 어렵고 공격자는 언제나 가장 취약한 고리를 노립니다.

 

이 때문에 사이버 방어 역시 국가 차원에서 체계화될 필요가 있습니다. 국가의 지원을 받는 공격에 맞서기 위해서는 대응 역량을 결집해야 합니다. 정부는 기업을 제재의 대상이 아닌 협력의 파트너로 인식할 필요가 있습니다. 사고를 은폐하지 않고 신속하게 공유할 수 있는 환경을 조성하고, 2차 피해를 막기 위한 공동 대응 체계를 구축하는 것이 핵심입니다.

 

2026년도 개인정보보호위원회 예산은 729억원으로, 전년 대비 70억원 늘었습니다. 개인정보위는 개인정보 침해와 유출 예방, 보안 분야에 대한 투자를 확대해 개인정보 보호 정책의 패러다임을 사후 제재에서 사전 예방 중심으로 전환하겠다는 방침입니다. 사이버 위협이 국가 안보와 산업 경쟁력에 직결되는 시대 흐름을 감안하면 긍정적인 변화로 평가됩니다. 다만 양적 투자가 곧바로 질적 성장으로 이어지는 것은 아닌 만큼, 기업과 공공기관 등과의 긴밀한 협력이 필수적입니다.

 

협력을 이끌어내기 위해서는 기업의 자발적인 신고와 협조를 유도할 수 있는 인센티브 제도가 필요합니다. 과도한 처벌 위주의 접근은 오히려 사고나 증거를 은폐하려는 기업을 늘릴 가능성이 큽니다. 기업은 손익을 따질 수밖에 없는 만큼, 이런 구조에서는 집단적 사이버 방어가 제대로 작동하기 어렵습니다. 기업의 신속한 신고와 투명한 공개, 적극적인 협조가 이뤄질 때 국가 차원의 사이버 보호 수준도 함께 높아질 수 있습니다. 잘못을 인정하고 정부와 협력하는 기업이 불필요한 불이익을 받지 않도록 하는 제도적 장치 마련이 필요합니다.

 

지난해 롯데카드는 해킹 사고 이후 관련 법령에 따라 즉시 신고하고, 당국과 협력해 마찰 없이 피해 규모를 확정 지었습니다. 국회에서는 정보보호 투자 확대 계획을 밝히면서 조좌진 대표이사는 사고 수습을 마무리한 뒤 자리에서 물러났습니다. 이러한 사후 조치들이 제재 감경 사유로 인정되지 않는다면 다른 기업들 역시 같은 수준의 대응을 기대하기는 어려울 것입니다. 이제는 민과 관이 협력해 국가 차원의 사이버 보안 대응력을 높여야 할 시점입니다.

 

유영진 기자 ryuyoungjin1532@etomato.com