[기고] 내부자 위협 시대, '다중인증' 보안 투자가 답이다

최근 국내외 선도 기업에서 연이어 발생한 대규모 정보 유출 사건들은 데이터 보호 방식의 근본적인 변화가 시급함을 극명히 보여준다. 2023년 테슬라에서는 내부자에 의해 7만5천여명의 개인정보가 유출됐고, 올해 인텔은 해고된 엔지니어를 상대로 기밀 정보 반환 소송을 제기했다. 국내에서도 쿠팡 고객 정보 유출 사건이 사회적 충격을 안겼다. 모두 업계를 대표하는 기업이지만 보안 위협에서는 예외가 없었다. 정보 유출은 단순한 금전적 손실을 넘어, 기업의 신뢰도와 브랜드 가치에 치명타를 입히고 궁극적으로 기업의 경쟁력을 크게 약화시킨다. 이런 불상사 앞에서 기업이 스스로에게 던져야 할 질문은 명확하다. '지금 시스템에 접근하는 이가 누구인지, 그 권한이 적절한지 확신 가능한가?' 수많은 기업이 이 질문에 자신감을 보이지만, 실제 사고를 보면 그 판단의 근거가 되는 보안 기술이 낙후된 경우가 많다. 직원의 고의적 정보 탈취 뿐 아니라 부주의 역시 내부자 위협임을 감안할 때, 안일한 신뢰는 사고 가능성을 구조적으로 키운다. 고전적인 '비밀번호 중심 인증'만으로 보안이 충분하다는 생각은 분명 안일하다. 이 때문에 글로벌 보안 업계는 내부자 리스크의 핵심 대응법으로 '다중인증(MFA, Multi-Factor Authentication)'을 지목하고 있다. 하나의 인증 수단이 무력화 되어도 추가 인증 단계가 방어선 역할을 하도록 설계하는 방식이다. 특히 내부자 사고가 증가하는 환경에서는 MFA 적용 여부가 보안 수준을 가르는 기준이 되고 있다. 특히 지문·정맥·안면 등 다양한 생체인증을 연동하면 MFA는 더욱 강력해진다. 쿠팡이 최근 사태 이후 정부 질의에서 도입 의사를 밝힌 '패스키(PassKey)' 역시 생체인증 기반 기술이다. 물론 사용자의 생체정보도 탈취 위험이 있지만 국제 표준 기술인 'FIDO(Fast IDentity Online)'를 활용, 문제를 해결할 수 있다. FIDO는 생체정보를 서버로 보내지 않고 개인 기기 안에서만 확인하는 혁신성을 지녔다. 실제로 글로벌 시장에서 금융·공공 부문을 중심으로 FIDO 기반 MFA 도입이 확산되는 것에는 이런 이유가 있다. 우리나라 기업으로는 국내에서는 라온시큐어가 FIDO 얼라이언스 이사회 멤버로 활동하며 기술 발전에 기여하고 있다. 그럼에도 불구하고 국내 기업들의 보안 투자 현실은 여전히 아쉽다. 한국인터넷진흥원(KISA)에 따르면, 국내 773개 공시기업의 IT 투자 대비 정보보호 투자 비율은 6.29%에 불과했다. 이는 현실의 위협과 동떨어진 수준이다. 보안은 비용이 아니라 사고를 막기 위한 사전 투자다. 내부자 사고 이후의 대응 비용, 과징금, 소송, 평판 훼손, 고객 이탈은 회계 기준으로 정확히 산출하기조차 어렵다. 반면 다중인증 체계 구축은 비교적 명확한 비용으로, 사고 발생 가능성을 구조적으로 낮출 수 있다. AI 시대, 데이터는 기업 경쟁력의 핵심 자산이 되었다. 내부자 위협을 방치하는 보안 체계는 더 이상 지속 가능하지 않다. 다중인증 투자는 선택이 아닌 필수다. 사전 투자는 사후 복구보다 훨씬 더 경제적이다. *본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.