미국, 일본, 유럽연합(EU) 등 주요국과 비교해 한국의 기업 사이버보안 정책이 크게 뒤처진다는 평가가 나온다. 주요국들은 국가 차원에서 기업의 사이버보안을 지원하고 민관 협력을 강화하는 반면 한국은 과태료, 과징금, 영업정지, 시정명령 등 제재 중심의 정책으로 기업이 사고를 은폐하려는 태도를 보이게 만든다는 비판이다.
10일 보안업계에 따르면 미국은 2023년 ‘국가 사이버보안 전략’을 통해 사이버보안 책임을 소프트웨어 개발사 등 전문 기관으로 분산하고 장기적 투자를 유도하는 인센티브 구조를 설계했다.
민관 협력 확대, 연방 사이버보안센터 통합, 사고 대응 체계 고도화를 통해 기업의 사이버보안 역량도 강화하고 있다. 미국 사이버보안 및 인프라 보안국(CISA)은 기업 경영자를 대상으로 보안 교육을 실시하며, 사이버보안을 비용이 아닌 투자로 인식하도록 유도하고 있다.
다만 벌칙 조항 대신 정부의 정기 점검을 통해 실질적인 이행을 유도한다. 지난 2월에는 국가 중요 인프라를 겨냥한 사이버공격에 대응하기 위해 능동적 방어, 민관 협력, 사이버보안 전담 조직 신설 등을 골자로 한 ‘사이버 대응능력 강화법안’이 국회에 발의됐다.
EU 역시 지난해 ‘사이버연대법’에 합의하며, EU 차원의 사이버보안 경보 시스템, 사이버 허브, 대규모 사고 대응을 위한 비상 메커니즘, 사고 대응 서비스 제공 등 공동 위기 관리 체계를 구축했다.
반면 한국은 사이버보안 책임을 전적으로 기업에 지우고 있다. 개인정보보호위원회는 과징금 부과에 초점을 맞춘다. 과학기술정보통신부와 한국인터넷진흥원(KISA)의 공개 조사 과정에선 기업 내부의 민감한 정보들이 여과없이 유출되고 있다.
대표적으로 SK텔레콤 해킹 사태 당시 조사 과정을 매일 브리핑으로 공개하며 기업 신뢰도가 크게 하락했다.
박춘식 아주대 사이버보안학과 교수는 “사이버보안을 비용이 아닌 기업을 지키는 투자로 인식하도록 유도해야 한다”며 “사고가 발생할 때마다 기업을 비판하며 위화감을 조성하면 기업은 사고를 숨기는 데 급급할 수밖에 없게 되고 이런 이유로 조사조차 진행되지 않는 사고가 많다”고 지적했다.
박 교수는 “제재 일변도 정책보다는 국가가 기업을 지원하고 인식 개선을 유도하며 경영진이 자발적으로 보안을 강화하도록 해야 한다”며 “미국과 일본처럼 자율적 보안 체계에 초점을 맞춘 정책을 추진할 필요가 있다”고 덧붙였다.
김성현 기자minus1@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
