[기자수첩] '민낯' 드러난 K-보안…"보안은 보험"

전 세계 보안인들 앞에 우리나라의 정보보호 민낯이 드러났다. 북한 또는 중국의 지원을 받는 것으로 알려진 해킹 조직 '김수키'(Kimsuky)가 화이트 해커들에 의해 역으로 침투당하면서, 김수키가 우리나라 정부와 주요 기관을 상대로 지속적으로 공격을 하고 있다는 사실이 알려졌다. 세계적 해킹 잡지 '프랙'(Phrack)은 최근 발행한 40주년 기념호에 'APT Down: The North Korea Files'라는 제목의 해킹 보고서를 실었다. 이 보고서는 'Saber'와 'cyb0rg'라는 화이트해커가 공저한 것으로, 김수키의 시스템에 침투한 뒤 자료를 수집해 인프라 및 악성코드 등에 대한 상세히 분석한 내용을 담았다. 이 보고서는 실력있는 전 세계 해커들이 모이는 세계 최대 해킹 대회 '데프콘(DEFCON CTF 33)' 현장에 배포됐다. 보고서에 따르면 김수키가 우리나라 정부에 대한 지속적인 공격을 이어왔던 사실이 밝혀졌다. 방첩 임무를 수행하는 국방부 방첩사령부를 포함해 외교부, 대검찰청 등의 정보가 어떻게 김수키의 손에 들어가게 됐는지도 분석돼 있었다. 한국 정부의 정보가 지속적으로 김수키의 손으로 들어갔던 사실이 전 세계 화이트해커들에게 뿌려진 셈이다. 한마디로 한국 정부 사이트가 해커에 무방비였던 것이다. 민간의 상황도 별반 다르지 않다. 국민을 불안에 떨게 했던 SKT 해킹 사태와 더불어 예스24, SGI서울보증 등 굵직한 침해사고가 올해 한꺼번에 쏟아져 나왔다. 심지어 11일 예스24는 또 다시 랜섬웨어에 당했다. 이런 배경에 침해사고 건수 역시 매년 증가세다. 한국인터넷진흥원(KISA)에 따르면 상반기 기준 최근 3년간 침해사고 신고 건수는 2023년 664건에서 지난해 상반기 899건, 올해 상반기에는 1천건을 넘어선 1034건으로 불어났다. 반면 국내 기업들의 정보보호 투자 비율은 지난해 기준 IT 투자 대비 평균 6.44%에 불과한 것으로 나타났다. 전년 대비 0.39%포인트 늘었다. 하지만 이는 미국·유럽의 평균 투자 비율인 25%에 크게 못 미치는 수치다. "전 세계 정보보호 투자액을 보면 한국은 정말 미미한 수준이에요. IT 강국이라면서 보안을 잘한다는 나라를 꼽으라면 이스라엘, 싱가포르 등 뿐이고 한국의 이름은 거론되지 않죠. 국제 보안 자격증 CISSP를 운영하고 있는 비영리단체에서도 지난해부터 한국 시장에서 등을 돌렸어요. 한국에서 보안이라…." 한 보안 컨설팅 업체 대표는 기자와 만난 자리에서 이 같이 말하며 깊은 한숨을 쉬었다. 그는 한국 정보보호업계의 현실을 지적하며 올해를 끝으로 한국에서 사업을 축소할 계획이다. 보안 투자는 기업들 입장에선 '돈'이 되지 않는다. 투자를 한다고 해서 생산성이 향상되는 것도 아니고, 몸값을 올려 다시 회수할 수 있지도 않다. 이미 국내에선 보안 투자가 '매몰비용'으로 인식되고 있는 지 오래다. 올해 상반기 침해사고 정보 공유 세미나 현장에서 인상깊었던 박상훈 한국과학기술연구원(KIST) 전문원의 말을 빌리고 싶다. "보안은 소모성 비용이 아니라 생존을 위한 보험이다"