경기 가평의 한 골프장에서 고객 개인정보 약 10만 건이 유출돼 경찰이 수사에 착수했다. 이름, 생년월일, 성별, 아이디, 비밀번호, 전화번호, 이메일, 주소 등 민감한 정보가 포함된 것으로 전해졌다. 수사당국은 북한 해킹 조직의 소행 가능성을 염두에 두고 있다. 단순한 민간기업 정보 유출 사건으로 넘길 일이 아니다. 국가 안보와 국민 안전, 산업 경쟁력이 한꺼번에 걸린 사이버 안보 경보음으로 받아들여야 한다.
골프장은 사회 영향력 있는 이들, 기업 경영진, 공직자, 전문직 종사자 등이 자주 이용하는 공간이다. 회원 정보와 출입 기록, 결제 정보, 인적 네트워크가 결합되면 단순 개인정보를 넘어 정밀한 표적 정보가 된다. 누가 누구와 언제 만났는지, 어떤 생활 패턴을 갖고 있는지까지 추적 가능한 자료가 될 수 있다. 만약 국가 배후 해킹 조직이 이를 확보했다면 금전 탈취보다 더 큰 목적, 즉 정보수집과 협박, 인맥 분석, 추가 침투의 발판으로 활용할 가능성을 배제할 수 없다.
북한은 이미 사이버 공간에서 가장 집요한 위협 세력 가운데 하나로 지목돼 왔다. 가상자산 탈취, 방산·외교·안보 분야 침투 시도, 악성 이메일 공격, 공급망 해킹 등 수법도 고도화되고 있다. 전통적 군사력의 열세를 비대칭 전력으로 보완하려는 북한에게 사이버 공격은 저비용 고효율 무기다. 총 한 발 쏘지 않고도 국가 기능을 흔들 수 있기 때문이다.
문제는 우리 대응 체계가 여전히 사건 발생 뒤 수습 중심이라는 점이다. 대형 유출 사고가 터질 때마다 기업은 “조사 중”이라고 밝히고, 당국은 뒤늦게 합동조사단을 꾸린다. 피해자는 비밀번호를 바꾸고 불안에 떨며 스스로를 지켜야 한다. 예방보다 사후 대응, 선제 차단보다 책임 공방이 반복된다면 해커들에게 한국은 쉬운 표적이 될 수밖에 없다.
이제는 국가 차원의 총체적 점검이 필요하다. 첫째, 다중이용 민간시설과 회원제 사업장의 개인정보 보안 기준을 대폭 강화해야 한다. 골프장·리조트·병원·학원·플랫폼 기업 등 대량 개인정보를 보유한 곳은 규모와 업종에 맞는 의무 보안체계를 갖추도록 해야 한다. 둘째, 침해 사고 신고 시간을 대폭 단축하고 은폐 시 강력한 제재를 가해야 한다. 늑장 공개는 2차 피해를 키운다. 셋째, 국가정보원·경찰·과기정통부·KISA 등으로 분산된 대응 체계의 실시간 공조를 높여야 한다. 넷째, 북한발 위협에 대비한 민관 합동 모의훈련을 정례화해야 한다.
기업 인식도 바뀌어야 한다. 보안은 비용이 아니라 생존 투자다. 서버 한 대 더 늘리는 것보다 보안 인력 한 명 더 채용하는 일이 중요할 수 있다. 외형 성장만 좇고 정보보호를 후순위로 미루는 경영은 언젠가 더 큰 대가를 치른다. 개인정보는 기업 자산이 아니라 국민의 권리라는 인식이 출발점이어야 한다.
사이버 전쟁은 이미 시작됐다. 전장은 국경선이 아니라 서버실과 스마트폰, 기업 전산망과 일상 데이터 위에 있다. 10만 건 유출은 숫자에 그치지 않는다. 우리 사회의 경계망에 뚫린 구멍의 크기다. 정부와 기업은 이번 사건을 또 하나의 해킹 사고로 넘기지 말고 국가 사이버 안보를 원점에서 다시 설계해야 한다. 지금 점검하지 않으면 다음 피해 규모는 10만 건으로 끝나지 않을 것이다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
