[기자수첩] 해킹당해도 신고 못하는 이유가 있다

김민석 국무총리는 최근 정부서울청사에서 긴급현안점검회의를 열고 "기업이 해킹 사실을 신고하지 않아도 정부가 직권조사를 할 수 있도록 하겠다. 보안 의무를 위반하면 강력히 대응하겠다"고 강조했다. 최근 통신·금융권을 강타한 해킹 사태로 국민 불안이 커지자 정부 차원에서 철저히 대처한다는 의지를 내놓은 것이다. 일부 기업들이 해킹 피해 사실을 뒤늦게 깨닫거나 늑장 신고한 정황이 포착된 게 이 같은 입장을 밝힌 직접적인 계기가 됐다.

하지만 정작 현장에선 김 총리의 발언에 볼멘소리가 나온다. 해킹 사실을 신고하지 않는 근본적인 배경을 정부가 간과하고 있다는 것이다. 보안 책임자들은 "신고를 해도 돌아오는 건 지원이 아니라 질책뿐"이라고 말한다. 피해 사실을 숨겼다는 비난과 함께 과징금, 평판 추락이 뒤따를 게 뻔한데 누가 선뜻 신고에 나설 수 있겠냐는 하소연이다.

기업들이 공개적으로 피해 사실을 알리는 데 소극적인 이유는 또 있다. 한국은 해킹 사고가 발생하면 침해 서버 위치, 유출 규모, 공격 방식 등 구체적인 사실이 언론을 통해 곧바로 공개된다. 공격자에게 그대로 '교본'을 제공하는 셈이다. 한 보안 책임자는 "미국은 보안당국이 합동으로 장기간 조사해도 주요 정보는 외부에 거의 공개하지 않는다. 그런데 한국은 해킹이 발생하면 며칠 만에 구체적인 세부 내역까지 다 드러난다"면서 "기업 입장에서는 더 움츠러들 수밖에 없다"고 성토했다.

기업들은 '신고할 수 있는 분위기'를 조성하는 게 선행돼야 한다는 입장이다. 징벌 중심의 정책만으로는 기업의 자발적 신고를 기대하기 어렵다고 입을 모은다. 신고했을 때 따라올 지원책, 보호 장치, 긍정적 인센티브가 없다면 기업은 결국 '침묵'을 선택할 수밖에 없다.

김 총리가 기업을 처벌하기 위한 목적으로 강력한 대응 발언을 내놨다고 생각하지 않는다. 기업이 보안 의무를 보다 무겁게 받아들이고 사전에 점검하라는 경고 메시지 성격이 더 강하다고 본다. 기업의 자진 신고를 유도하기 위해선 정부의 역할이 중요하다. 사태 해결을 위한 민관 공조 체계가 원활히 가동할 수 있도록 협조하는 자세가 보다 요구된다. 그래야 추가 피해를 막을 수 있는 선순환이 생길 것이다. 사이버 위기의 가장 큰 적은 해커가 아니라 신고조차 할 수 없는 불신의 분위기일지 모른다.

김 총리의 긴급회의 직후 정부는 기업 정보보호최고책임자(CISO)를 소집했다. CISO들은 "보안팀 인력도 턱없이 부족한데 정부 대응 문서, 국회 청문회 자료 준비까지 하다 보면 정작 본업은 뒷전이 된다"고 토로했다. 질타 보다 업계 의견을 청취하는 자리가 해킹을 예방하는 출발점이 될 것이다.