[시시비비]원팀 없는 한국 사이버안보 민낯

KT·SKT·LG유플러스 등 이동통신 3사와 SGI서울보증, 웰컴금융그룹, 롯데카드 등이 잇따라 해킹 공격에 뚫렸다. 이번 사건은 단순한 기술적 사고가 아니라, 한국 사회 전반의 사이버 보안 취약성을 고스란히 드러낸 것이다. 통신·금융망은 국가 기반 시설과 직결돼 있다. 보안이 뚫리는 순간 사회적 비용은 눈덩이처럼 불어나고 국민 신뢰는 무너진다. 그럼에도 정부와 기업은 사건이 터질 때마다 임시 대응에 그칠 뿐, 근본 체계를 마련하지 못하고 있다.

미국의 대응 방식은 우리와 극명하게 대조된다. 해킹이 발생하면 백악관 국가안보위원회(NSC)를 중심으로 FBI, 사이버·인프라보안국(CISA), 연방통신위원회(FCC) 등이 합동 비상대응팀을 꾸려 즉각 가동된다. 피해 확산 차단과 원인 규명, 재발 방지를 위한 규제 강화까지 일사불란하게 진행된다. 심지어 주요 통신사와 인프라 기업에는 네트워크 접근 제어, 침입 탐지, 데이터 암호화 강화 같은 보안 조치가 의무화된다. 해킹 대응을 '국가 안보'의 문제로 인식하기 때문에 가능한 일이다.

반면 한국의 대응은 여전히 부처별 칸막이에 갇혀 있다. 금융사 해킹은 금융위원회, 통신사 해킹은 과학기술정보통신부가 나눠 맡는다. 책임의 공백이 발생하는 사이 사고는 반복되고, 국민 피해는 커진다. 각 부처의 권한과 소관을 넘어서는 '사이버 안보 컨트롤타워'가 부재한 현실이 드러나는 대목이다.

구호만 요란한 '제로 트러스트' 보안도 마찬가지다. 모든 접근을 실시간 검증해 원천적으로 신뢰하지 않는다는 이 보안 모델은 미국에서 이미 연방 차원에서 제도화되고 있다. 그러나 한국은 데이터의 중요도를 상·중·하로 분류하는 기초 작업조차 진행되지 못했다. 선결 조건을 갖추지 않은 채 제로 트러스트를 외치는 것은 선언에 불과하다. 글로벌 조사에서도 한국 기업 다수는 준비 단계에 머물러 있으며, 성숙 단계에 오른 곳은 극소수다. 시스코 보고서에 따르면 27개국 중 한국 기업의 7%만이 성숙 단계였다. 제도 도입만 요란할 뿐, 현장 운영 역량은 턱없이 부족하다.

재발 방지를 위해서는 조직, 정책, 기술, 감시의 네 축을 동시에 강화해야 한다. 무엇보다 국가 차원의 컨트롤타워 설치가 시급하다. 사고 발생 시 즉각 작동하는 비상 조직을 만들어야 한다. 법과 제도도 뒷받침해야 한다. 통신사·금융사에 대한 보안 규제를 강화하고, 최고정보보호책임자(CISO)의 법적 책임을 명확히 해야 한다. 기술적 측면에서는 제로 트러스트 도입과 데이터 분류, 클라우드 네이티브 보안으로의 전환이 필요하다. 여기에 독립적 기관이 주기적으로 모의 해킹을 실시하고 보안 역량을 평가하는 제도적 장치도 마련해야 한다.

문제의 본질은 책임의 윤리에 있다. 기업은 "해킹은 당할 수 있다"고 변명하고, 정부는 "대응하겠다"는 말만 되풀이 한다. 그러나 국민은 더 이상 안이한 태도를 용납하지 않는다. 왜 대형 통신사와 금융사에서 기본 보안 원칙이 무너졌는가. 재발 위험을 알면서도 왜 투자를 미뤘는가. 피해가 현실화했을 때 누가 책임을 지는가.

사이버 보안은 기술 문제가 아니라 경제와 사회 시스템 전체의 지속 가능성을 좌우한다. 지금처럼 "전쟁을 선포하겠다"는 구호만으로는 아무것도 달라지지 않는다. 한국이 보안 국가로 나아가려면 칸막이를 걷어내고 원팀으로 움직일 수 있는 국가적 컨트롤타워가 필요하다. 묻는 자만 있고 답할 자가 없는 보안 체제에 국민을 방치해서는 안

된다.