【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]"보안 불감증에 韓 해킹 사고 반복..보안은 비용 아닌 투자"

온카뱅크관리자

2025-12-03 05:07:29

<div id="layerTranslateNotice" style="display:none;"></div> [만났습니다] ① 조영철 한국정보보호산업협회장 “기본 미준수·예산 부족이 근본 원인” “최저가 입찰·공공 안전 불감증에 무너진 한국 보안 현실 정부 대책 실효성, 결국 ‘지속성’이 관건 보안 인재·산업 생태계 강화가 장기 해법 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="U8CYA2ztmc">
 [이데일리 권하영 기자] 한국의 해킹 사고는 더 이상 ‘일회성 사고’가 아니라 ‘명백한 경고’로 받아들여야 한다. 올해 들어 SK텔레콤과 KT, 롯데카드 등 통신·금융사를 거쳐 최근 3370만 건의 대규모 개인정보 유출을 일으킨 쿠팡에 이르기까지, 국민 생활 전반을 뒤흔드는 사고가 연달아 터지고 있다. 단순한 기술적 허점이 아니라, 사회 전반에 뿌리내린 안전 불감증과 구조적 방치가 겹쳐 만든 총체적 위기라는 문제의식이 커지고 있다.
 <figure class="figure_frm origin_fig" contents-hash="3e6cd71cae804faa360962598b5b32592150f877aff1ef888baedb44345332dd" dmcf-pid="7PlHkfB3mj" dmcf-ptype="figure">
 <img alt="조영철 한국정보보호산업협회(KISIA) 회장 (사진=권하영 기자)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/03/Edaily/20251203050347994ijnf.jpg" data-org-width="670" dmcf-mid="p30bWgd8mk" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/03/Edaily/20251203050347994ijnf.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 조영철 한국정보보호산업협회(KISIA) 회장 (사진=권하영 기자)
 </figcaption>
 </figure>
 <div contents-hash="4e4f161ec56352b3e0948a5bddeb298511bf545e5a15659fc052e54f630d11d5" dmcf-pid="zQSXE4b0mN" dmcf-ptype="general">
 조영철 한국정보보호산업협회(KISIA) 회장(55)은 최근 서울 송파구 협회 사무실에서 이데일리와 만나 “이제는 기본조차 지키지 않는 현실을 인정하고, 정부와 기업 모두 예산과 투자로 변화 의지를 증명해야 할 때”라고 강조했다.
 </div>
 올해 공공·민간을 가리지 않고 대규모 해킹과 정보 유출이 잇따르는 현상에 대해 조 회장은 “해킹을 완전히 막을 수는 없다”며 “최근 사고들은 이제야 드러난 것일 뿐, 기본 보안조치마저 등한시하는 문화가 이미 깊게 자리 잡았다”고 지적했다. 특히 쿠팡 사태는 외부 공격이 아니라 인증키를 장기간 방치한 내부 통제 실패가 핵심 원인이라는 점을 짚었다.
 정부는 지난 10월 고강도 제재를 담은 ‘범부처 정보보호 종합대책’을 발표하고 공공·금융·통신 등 1600개 IT시스템에 대한 긴급 전수조사를 진행 중이다. 종합대책에는 △보안인증제도(ISMS) 개선 △정부 직권조사 허용 △정보보호 공시 의무의 전체 상장사 확대 △과태료·과징금 강화 및 징벌적 과징금 도입 △CEO 보안 책임 명문화·CISO/CPO 권한 강화 △공공 정보보호 예산·인력 확대 등이 포함됐다.
 조 회장은 “기본부터 지키자는 방향성을 제시한 점에서 이번 대책의 의미가 크다”며 “실효성 있는 제도 구축 의지가 보인다”고 평가했다. 하지만 대책이 선언에 그치지 않으려면 지속성이 관건이라고 강조했다. 그는 “사고 때마다 대책이 나왔지만 시간이 지나면 흐지부지되는 관행이 반복됐다”며 “정부가 매년 점검과 실행 의지를 분명히 해야 한다”고 말했다.
 공공 부문의 체질 개선 필요성도 거론했다. 조 회장은 “공공 조달 시장에서 정보보호 제품이 여전히 최저가 입찰 중심으로 공급되고 있어 품질 개선이 어렵다”며 “공공기관이 안정적으로 정보보호 예산을 확보할 수 있도록 의무적 예산 배정이 필요하다”고 밝혔다.
 중장기적으로는 올해 해킹 사태를 산업 체질 강화를 위한 전환점으로 삼아야 한다고 강조했다. 그는 “정부가 사이버보안 인재 10만 명 양성을 발표했지만, 기업마다 보안 관리가 제각각이어서 정확한 인력 수급 현황조차 파악되지 않고 있다”며 “국내 정보보호 인력을 산업·분야별로 세분화해 조사하고, 필요한 곳에 적절히 배치할 수 있는 전(全)주기 관리 체계를 마련해야 한다”고 말했다.
 다음은 조영철 회장과의 일문일답.
 Q. 최근 잇따르는 해킹 사고의 본질적 원인은 무엇인가.
 A. 고도화된 공격 때문이 아니라, 신원 확인·자산 점검·취약점 패치 같은 기본 조치를 지키지 않아 발생한 문제다. 소화기나 스프링클러를 설치하는 수준의 필수 원칙조차 지켜지지 않았다. 기업은 CISO가 없거나 권한이 없고, 공공기관은 늘 예산 부족에 시달린다. 이번 사고를 계기로 ‘보안은 비용이 아니라 투자’라는 인식이 자리 잡아야 한다.
 Q. 정부의 범부처 정보보호 종합대책을 어떻게 평가하는가.
 A. 기본부터 바로잡겠다는 방향성과 제도 실효성을 강화하려는 의지가 보인다. 특히 정보보호 공시 대상을 전체 상장사로 확대하는 방안은 CEO 책임을 강화해 보안 투자를 이끌 수 있다. CEO 보안책임 명문화도 같은 취지다. 다만 구체적 실행안이 어떻게 나올지 지켜봐야 하며, 공공기관 정보보호 예산·인력 확보가 반드시 병행돼야 한다. 정보보호 투자 비율을 권고가 아닌 의무로 전환하는 방안도 검토할 필요가 있다.
 Q. 징벌적 과징금과 정부 직권조사 강화에 대한 의견은.
 A. 중대한 사고를 반복하는 기업에 징벌적 과징금을 부과하는 것은 필요하다. 다만 정부가 동의 없이 원격으로 시스템을 스캐닝하는 직권조사는 신중해야 한다. 강제 조치에 앞서 기업이 스스로 취약점 점검을 요청하도록 유도하는 프로세스가 마련돼야 한다. 또한 해킹 사실을 먼저 신고해도 비난만 받는 분위기부터 바뀌어야 한다. 중소기업 대상 세제 감면·정보보호 지원 등 실질적 지원도 필요하다.
 Q. 이번 종합대책이 선언에 그치지 않으려면 어떤 점이 필요하나.
 A. 핵심은 지속성이다. 과거 판교 데이터센터 화재나 행정전산망 장애 때도 대책이 나왔지만 실행력이 부족해 같은 문제가 반복됐다. 정부가 주기적으로 진행 상황을 점검하고 예산을 꾸준히 반영해야 한다. 공공기관도 보안 투자 내역을 외부에 공개해 민간처럼 비교·평가받는 체계를 갖춰야 한다.
 Q. 보안 컨트롤타워가 필요하다는 지적에 대해서는.
 A. 조직을 만드는 것 자체보다 ‘지속성과 실행력’을 갖춘 컨트롤타워를 만들 수 있느냐가 더 중요하다. 특정 부처 산하 기구는 범정부 정책을 총괄하기 어렵고, 독립위원회라도 권한이 약하면 실효성이 떨어진다. 이번 범부처 대책을 부총리가 주도해 발표한 것은 책임 의지를 보여주는 것으로, 그 자체가 컨트롤타워 역할을 할 수 있다고 본다.
 Q. 국내 정보보호 산업의 성장 과제는 무엇이라고 보나.
 A. 보안 기업의 자구 노력과 함께 정부의 구조적 지원이 필요하다. 특히 공공 시장의 최저가 입찰 관행이 품질 향상을 가로막고 있어 반드시 개선돼야 한다. 정보보호 서비스만큼은 일반 IT 조달과 분리해 새로운 조달 제도를 마련할 필요가 있다.
 Q. 한국정보보호산업협회가 중점적으로 추구하는 목표는.
 A. 가장 중요한 것은 인재다. 협회는 현장 중심의 보안 교육을 확대하고 있으며, 국내 정보보호 인력 규모조차 정확히 파악되지 않은 현실에서 ‘전(全)주기 인력 관리 체계’가 필요하다. 수요 기관이 요구하는 역량에 맞춰 인재를 양성·배치함으로써 산업 생태계 전체의 성숙을 목표로 하고 있다.
 조영철 회장은…
 △1970년생 △서울대학교 전기공학부 박사 △파이오링크 대표 △디지털플랫폼정부 제로트러스트·공급망보안 TF 전문위원 △한국소프트웨어수출기업협의회 회장 △사이버보안 정책포럼 운영위원 △금융보안원 금융보안포럼 부회장 △금융보안자문위원회 위원 △국가보안기술연구소 경영자문위원 △한국정보보호산업협회 회장
 권하영 (kwonhy@edaily.co.kr) 
 </section> 
 </div> 
 Copyright © 이데일리. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기