대형 보안사고는 국민의 불편과 불안으로 이어졌고 정부는 사고가 터진 이후에야 부랴부랴 대응책을 마련하고 그제서야 정보보호 예산을 배정했다.

지난해 말에는 한국수력원자력이 정보유출 사고를 겪으며 정부와 보안업계의 긴장감을 불러왔다. 더 큰 사고가 발생할 전초전이라는 예측때문이다. 아직까지 한수원의 내부정보를 탈취해간 악성코드가 무엇인지도 밝혀지지 않았고, 공격자가 어떤 경로로 침투했는지조차 모르는 상황에 추가 공격이 없을 것이라는 단정을 내리기엔 아직 이른 것이 사실이다.

이렇듯 ‘홀수해 징크스’의 핵심은 대형 보안사고가 이어지고 있다는 점이다. ‘소 잃고 외양간 고친다’는 말이 무색하게 소를 잃고도 소도둑만 탓하며 외양간을 고치지 않고 있다. 보안업계 관계자들은 한해를 걸러 발생하는 대형 보안사고로 인해 보안에 대한 관심은 높아졌으나 일시적인 관심에 그쳐 투자로 이어지지 않고 있다고 지적하고 있다.

심종헌 지식정보보안산업협회(KISIA) 회장(유넷시스템 대표)는 “정부의 정보보호예산이 정보화예산 안에 들어가 있는 상황이기 때문에 예산이 쉽게 증대되지 않고 있다”며 “특히 정보보호산업을 육성할 수 있는 유지보수요율이나 보안전문인력 양성 등에 정부가 신경써줘야 할 것”이라고 지적했다.

실제 최근 몇년간의 정부의 정보보호 예산안을 살펴보면 2009년부터 전체의 5~8% 수준에 그쳤다. 이조차도 대형 보안사고가 터진해의 이듬해에만 크게 증가했다가 다시 하락하는 고무줄 예산배정이 반복됐다.

2009년, 2011년 대형 보안사고 이후 정부는 정보보호 예산을 각각 18.9%, 29.4% 증가시켰다. 반면, 2011년과 2013년은 전년 대비 1.8%, 8.8% 감소했다. 2014년 역시 2013년에 비해 소폭 하락된 예산이 책정됐다.

다행스럽게도 올해는 미래창조과학부를 비롯한 행정자치부, 교육부, 국방부 등 대부분의 부처들이 정보보호 예산을 소폭 늘리며 대응에 나설 것으로 기대되고 있다.

아울러 한국인터넷진흥원(KISA)을 중심으로 국내 보안업체들이 힘을 합쳐 사이버위협에 대응하겠다는 협력방안도 나오는 등 적극적인 움직임을 보이고 있어 홀수해 징크스가 깨질지 여부에 관심이 모아진다.

백기승 KISA 원장은 “동시 다발적으로 발생하는 대규모 사이버공격을 사전에 탐지해 예방하기 위해서는 보안업계 등 전문기관간 유기적인 협력체계의 강화가 필요하다”고 강조했다.

이와 관련 보안업계 관계자는 “홀수해의 징크스는 보안업계에서는 일종의 농담처럼 치부되지만 무시하는 현업인들은 없다. 그 징조가 사전부터 있어왔기 때문”이라며 “과거 보안사고들은 데이터 파괴, 개인정보탈취와 같은 공격이 국지적으로 발생한 뒤 터졌다. 징크스를 깨기 위해서는 정부와 현업인들의 대응이 필요한 시점”이라고 강조했다.
변화하고 있는 IT패러다임과 환경에 적극 대응하는 것이 징크스를 깰 수 있는 대책이라는 주장도 제기됐다.

김승주 고려대 정보보호대학원 교수는 “창조경제라는 슬로건아래 핀테크 등 새로운 기술이 나오고 있다. 과도기적으로 변화하는 것이 있으나 거기에 대한 보안 조치는 미흡한 경우가 많다”며 “기존의 패러다임이 바뀌는 것이 주목하고 투자를 강화해야 한다. 경제 활성화도 있지만 보안에 문제가 있으면 싹이 자라기도 전에 망가질 수 있기 때문”이라고 제언했다.

<이민형 기자>kiku@ddaily.co.kr