"쿠팡은 한국 이커머스 시장에서 사실상 경쟁 업체가 없다. 한국 소비자들도 데이터 유출 이슈에 비교적 덜 민감한 것으로 보인다. 이번 사태로 인한 쿠팡 소비자 이탈은 제한적일 것이다."
쿠팡이 지난달 29일 3370만명 고객 계정에 대해 이름과 이메일, 전화번호, 주소 등 주문정보가 노출됐다고 공지하면서 주가가 급락하자 JP모건이 내놓은 평가이다. 로이터통신은 "전자상거래 거인이 최근 10년 가운데 최악의 국가 데이터 유출 사고를 겪었다"고 전했지만 미국 시장에서 쿠팡 주가는 실제로 JP모건의 예측대로 급락세를 멈추고 횡보 중이다.
SK쉴더스 사이버 보안 관제 센터인 시큐디엄에서 하루에 관찰하는 위협 데이터는 80억건에 달한다. 이 가운데 실제 해킹 시도로 이어지는 5만여건에 대해선 추적·차단하고 있다고 한다고 경고했던 SK쉴더스조차 허니팟(honeypot·가짜 시스템) 환경에서 해커가 침투해, 직원 이메일 등 민감 정보가 유출되는 경험을 했다. 그동안 보도된 해킹 건수를 단순계산을 하면 이미 전 국민 계정이 모두 털렸다고 해도 과언이 아니다.
그럼에도 불구하고 JP모건이 위와 같은 보고서를 작성한 것은 우리나라의 개인정보 노출에 대한 무감각이 얼마나 심각한 수준인가를 단적으로 보여주는 사례이다.
한국 기업들이 해킹에 취약한 문제는 이제 비트코인 시세에도 영향을 주고 있다. 도널드 트럼프 미국 대통령의 지지율이 떨어지자 동반하락을 하고 있는 비트코인 등 가상화폐시장은 북한 해킹 조직 라자루스가 국내 최대 가상자산 거래소 업비트에서 445억원 규모 가상자산 해킹 사건의 배후로 지목되면서 신뢰를 잃은 것도 큰 역할을 했다는 분석이 이어지고 있다.
이는 해킹에 취약한 한국 기업들이나 거래소 등등의 현실이 조만간 한국 시스템 전반에 대한 불신으로 이어질 수 있는 불길한 사태라는 점에 주목해야 한다. 업비트는 지난달에도 54분만에 코인 1000억개가 넘게 외부 전송된 것으로 확인됐다.
때문에 JP모건의 분석처럼 한국 정부 기업 소비자 모두 개인정보 유출에 둔감한 것은 아닌지 한국 사회 전반에 대한 재점검이 필요한 시점이다. 얼마 전 우리나라를 떠들석하게 만든 캄보디아에서의 대학생 사망 사건 역시 따지고 보면 개인정보 유출에 유독 둔감한 한국사회의 고질적인 약점이 적나라하게 노출된 사례이기도 하다.
캄보디아·라오스·미얀마 등지의 보이스피싱 조직이 한국인을 집중 대상으로 삼는 핵심 배경에는 이미 유출된 한국인의 방대한 개인정보가 국제 범죄조직에 넘어가 활용되고 있는 게 저간의 부정할 수 없는 현실이다. 따라서 캄보디아 사건 역시 단순 해외 범죄가 아니라 한국의 취약한 개인정보 환경이 만든 결과로 볼 수 있다.
우리 기업들의 보안에 대한 인식은 사실 세계 최하위 수준을 넘어선 위험 수위이다. 포디넷코리아가 지난 9월 발표한 IDC(International Data Corporation) 조사 결과에 따르면 한국 기업의 70%가 지난 1년간 AI(인공지능) 기반 사이버 위협을 경험했다고 답했다. 상황이 이러한데도 국내 주요 기업들의 IT 투자 대비 정보보호 투자 비율은 평균 5~6% 수준에 머무르는 '쥐꼬리 투자'를 지속하고 있다. 특히 한국인터넷진흥원(KISA) 조사에 따르면 2024년 들어 보안 예산을 아예 편성하지 않거나 축소한 기업이 절반에 가까워 기업들이 보안을 '생존'이 아닌 '비용'으로 인식하고 있음을 명확히 보여준다.
◇외국계 보안업체 규제로 일관하는 디지털 쇄국정책이 한국 개인정보 시장에 남긴 것
현재 우리나라에는 외국계 보안업체의 국내 활동을 직접적으로 금지하는 단일 법률은 없지만, 정보통신망법·개인정보보호법·국가정보보호 관련 규제가 결합되어 외국계 보안업체가 국내에서 보안관제센터를 운영하거나 국가·공공기관의 정보망을 직접 관리하는데 간접적인 규제를 가하고 있다.
이는 국가 안보와 개인정보 보호를 명분으로 하지만, 실제로는 글로벌 보안 인텔리전스(정보)를 활용하지 못해 국내 기업이 더 취약해지는 역설을 낳고 있다. 팔로알토 네트웍스, 크라우드스트라이크 등 글로벌 보안기업들은 한국에 지사를 두고 있지만, 보안관제센터 운영이나 국가기관 직접 계약은 제한되고 대신 장비 판매·컨설팅 위주로 활동하고 있다.
이 때문에 공공기관·통신사·금융사 보안관제는 대부분 안랩, SK쉴더스, 윈스 등 국내 기업이 담당하고 있고 외국계 업체는 기술 제공자로만 참여하며 운영권은 국내 기업이 독점하는 구조이다.
이같은 시스템의 한계 때문에 쿠팡·SK텔레콤 등 대규모 개인정보 유출 사건에서 글로벌 보안 능력을 활용하지 못해 대응이 늦었다는 지적도 이어지고 있다.
해외에서는 크라우드스트라이크가 미국 정부기관 랜섬웨어 공격을 막거나, 팔로알토 네트웍스가 글로벌 인프라 공격을 탐지한 사례가 있지만 한국은 이런 역량을 직접 활용하기 어렵다.
해커들이 어떤 방식으로 공격하는지, 어떤 취약점을 노리는지에 대한 데이터를 전문 용어로 '인텔리전스'(Intelligence·정보)라고 하는데 해외 보안업체와의 협력을 통해 국제적으로 활동하는 해커들의 공격 패턴과 위험 신호를 서로 알려주고, 같이 대비하는 '공유'를 가능하게 해야 한다는 지적이다.
권태경 교수(연세대학교 정보대학원)는 "미국은 규제 완화를 통해 글로벌 협력을 강화하는데, 한국은 지나치게 폐쇄적 규제에 묶여 있다"며 국내 보안 생태계의 개방 필요성을 강조했다. 김휘강 교수(고려대학교 정보보호대학원) 역시 "ASM(공격표면관리) 같은 글로벌 기술을 국내에서 적극 도입해야 한다"며 외국계 업체와의 협력이 제한된 현 구조가 기술 격차를 확대한다고 지적하고 있다.
미국의 경우 국립표준기술연구소(NIST)가 사이버 보안 위험 관리 표준(NIST CSF)을 만들어 사이버 위협을 체계적으로 대응할 수 있도록 돕고 있는데 이는 민간과 공공 모두 적용 가능한 표준화된 보안 지침이다. 미국은 특히 외국계 기업도 자유롭게 활동할 수 있도록 보장하면서 '글로벌 위협 인텔리전스 공유'가 활발한 개방형 생태계를 구축했다.
유럽연합(EU) 역시 국가·민간 모두 사이버 위협 정보 공유를 의무화하고 데이터 주권을 지키면서도 글로벌 협력을 제도적으로 보장하고 있다. 일본은 '사이버보안 기본법'을 통해 국가·민간 협력 체계를 구축하고 NEC, 후지쯔 같은 자국 기업과 함께 외국계 보안업체의 참여도 보장하고 있다. 도쿄올림픽 당시 글로벌 보안업체와 공동 대응으로 대규모 사이버 공격을 차단한 경험도 있다.
◇디지털 시대의 한국, 전세계 해커들의 '사냥터'가 된 일상을 더 이상 방치할 수 없다
한국은 이제 단지 과학 기술의 혜택을 누리는 나라가 아니다. 동시에 수많은 디지털 공격의 주 표적이 되는 사회이다. 단순히 인터넷 보급률이 높아서가 아니라, 생활의 디지털화 수준에 비해 보안 대비는 미흡하고 여기에다 외부의 해킹 시도가 만연한 구조 때문이다.
공공기관, 금융권, 통신사, 일반 기업에 이르기까지 다양한 분야에서 해킹, 피싱, 랜섬웨어, 공급망 공격 등의 사례가 잇따르고 있다. 특히 최근에는 단순 정보 탈취를 넘어, 국민 일상에 밀접한 디바이스가 직접 공격받는 사례도 보고되고 있다. 예컨대 스마트폰, PC, 통신망을 노린 공격으로 원격 제어·데이터 삭제가 이뤄졌다는 정황이 확인되고 있다.
경찰청 국가수사본부은 약 12만대의 인터넷 연결 보안카메라가 해킹되어 사생활이 유출되고, 일부는 성착취 영상으로 전환·판매된 사건을 적발하기도 했다. 김장겸 국민의힘 의원실에 따르면 중국의 한 이커머스에 올라온 쿠팡 계정은 23~183위안(약 5000~4만원)에 거래되고 있다. 각 계정에는 사용자 이름과 전화번호·이메일은 물론, 배송 주소록, 주문 정보 등이 포함돼 있다. 이처럼 "해커들의 한국 사냥"은 더 이상 일부 전문 기관만의 문제가 아니며, 일반 국민의 가정과 일상, 프라이버시 영역까지 위협하고 있다.
과거 단순 피싱이나 디도스에 그쳤던 공격은, 이제는 라자루스 등 국가 차원의 정보전, 랜섬웨어, 가상자산 탈취, 공급망 공격, 스마트 기기 해킹 등으로 복잡해지고 있다. 이처럼 "누가 공격할지 모르는, 언제 어디서 올지 모르는" 위협이 현실화하면서, 단일 보안 수단으로는 대응이 어렵다. 특히 최근에는 챗GPT등 AI를 활용한 피싱 공격들이 크게 늘어나는 추세라 이같은 공격을 방어하는 시스템 역시 AI를 적극 활용해야 하는 상황이다.
현재 우리나라는 공공기관과 민간 기업, 일반 시민 사이의 보안 체계와 책임이 명확히 통합되어 있지 않다. 심지어 중요한 국가 기관들도 사이버 위협에 제대로 대비하지 못했다는 지적이다. 여러 정부 부처와 민간 영역이 분절된 채 대응 체계를 구축하고 있어, 해킹시 '누가 책임지고 대응할지'가 모호한 경우가 많다.
이같은 혼돈을 극복하려면 현재 공공기관, 금융권, 통신사 등 영역별로 분절된 보안 대응 체계를 통합하고, 해킹 시 책임 소재와 대응 지휘체계를 명확히 할 수 있는 '국가사이버안전위원회(가칭)'와 같은 강력한 총괄 조직 신설을 검토할 만하다. 이같은 조직이 글로벌 협력의 창구 역할까지 겸하고 AI방어시스템을 개발, 확장할 수 있으면 더욱 효과적이다.
JP모건이 지적한 한국 소비자의 둔감함을 극복하기 위해 정부와 민간이 협력해 개인정보 유출의 위험성과 피해 규모를 체감할 수 있는 대국민 인식 제고 캠페인도 절실하다. 기업에 보안 강화를 요구하는 것도 중요하지만 일반 소비자들도 2단계 인증(2FA) 사용, 비밀번호 주기적 변경 등 개인 사용자로서 지켜야 할 최소한의 보안 수칙을 생활화하는 책임 있는 자세가 필요하기 때문이다.
한국은 더 이상 빠른 인터넷과 편리한 디지털 생활만으로 평가받을 수 없다. 지금 필요한 것은 국가 차원의 사이버 보안 재설계다. 데이터 주권을 지키면서도 글로벌 협력을 허용하는 개방적 보안 생태계와 그리고 공공·민간을 아우르는 통합 컨트롤 타워가 구축되지 않는다면, 한국은 세계 해커들의 '사냥터'라는 오명에서 벗어날 수 없을 것이다.
지난 5일 용산 대통령실에서 이재명 대통령을 만난 손정의 일본 소프트뱅크 그룹 회장은 "앞으로는 인류가 금붕어가 되고 AI가 인간이 되는 모습이 펼쳐질 것"이라고 예언했는데 지금 전세계 해커들의 입장에서는 대한민국은 이미 갇혀진 어장 안의 금붕어 신세가 된 것은 아닌지 국가 차원의 대책 마련이 시급하다고 거듭 강조하지 않을 수 없다.
이용웅 주필 / 경제를 읽는 맑은 창 - 비즈니스플러스
Copyright ⓒ 비즈니스플러스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
