지난 10월 KT 해킹 사고는 단순한 보안 사고를 넘어 대한민국 디지털 인프라의 구조적 취약성을 적나라하게 드러냈다.
1300만 명의 개인정보가 유출되고, 정부 시스템 수백 개가 몇 시간 만에 멈춰 선 모습은 국민의 불안감을 넘어 국가 기능의 마비로 이어질 수 있는 위기였다.
국가정보자원관리원 화재 사건 역시 마찬가지다.
물리적 재해 하나로 공공 서비스가 전면 중단된 현실은 기술적 사고가 아니라 관리 체계의 부재와 투자 기근이 빚어낸 필연적 결과였다.
통신과 보안 분야에서 30년 가까이 현장을 지켜온 사람으로서, 이 두 사건은 공공의 위기가 민간 기업의 고객 신뢰와 경영 지속성으로 직결된다는 냉혹한 사실을 다시 한번 일깨운다.
이제 우리는 ‘사고 후 뒷북 대응’의 악순환을 끊어내야 한다.
사고가 난 뒤 급하게 패치를 하고, 책임 소재를 따지는 방식은 더 이상 통하지 않는다.
사고를 예방하고, 일어나더라도 신속히 회복되는 시스템을 만들어야 한다.
항공 안전 시스템을 떠올려 보라. 비행기 한 대가 추락하면 전 세계 항공사가 동일한 매뉴얼로 대응하고, 사고 원인을 철저히 분석해 재발 방지책을 공유한다.
“무슨 일이 생기면 누구나 아는 절차가 작동한다”는 것이 핵심이다.
바로 이 개념을 국가 복원력 시스템(National Resilience System·NRS)으로 확장해야 한다.
기업도 다르지 않다.
위기 시 자동 복구 프로세스가 가동되고, 직원 한 명 한 명이 보안을 일상 속 습관으로 삼는 문화가 살아 있어야 한다.
연 1회 형식적인 보안 교육이 아니라, ‘보안은 일상’이라는 DNA가 조직 전체에 새겨져야 한다. 예를 들어, 직원이 피싱 메일을 받았을 때 자동으로 보고하고, 시스템이 즉시 격리 조치를 취하는 흐름이 자연스러워야 한다. 내부 위협까지 최소화하려면 보안 의식이 조직 문화의 중심 가치로 자리 잡아야 한다.
정부의 역할은 분명하다.
첫째, 사이버 안보청 같은 단일 컨트롤타워를 세워 지휘 체계를 일원화해야 한다. 현재는 부처별로 흩어진 대응 체계가 위기 시 혼선을 초래한다.
둘째, 국가사이버안보기본법을 제정해 사고 즉시 보고 의무와 기업의 보안 책임을 법제화해야 한다.
셋째, 데이터센터는 최소 티어3(N+1 이중화) 수준을 의무화하고, 재해복구 매뉴얼 정기 훈련을 법으로 강제해야 한다.
넷째, 정보보호최고책임자(CISO)에게 실질적 권한과 독립성을 부여해 보안 투자가 경영진의 의지에 좌우되지 않도록 해야 한다.
그러나 진정한 변화는 기업에서 시작된다.
정부가 제도를 만들더라도, 기업이 보안을 ‘비용’이 아닌 ‘경쟁력’으로 인식하지 않는 한 실효성은 없다. CISO에게 예산과 인사권을 주고, 보안 투자를 경영 성과 지표에 포함시켜야 한다.
민관이 협력할 때 정부 정책도 힘을 받고, 기업의 자율적 혁신도 가속화된다.
예를 들어, 기업이 NRS 프레임워크를 선도적으로 도입하면 정부는 이를 벤치마킹해 공공 영역에 확대 적용할 수 있다.결국 디지털 대한민국의 안전은 국가의 제도적 기반과 기업의 실행력이 만나는 지점에서 완성된다.
그 첫걸음은 “다시는 무너지지 않겠다”는 각오를 가진 리더가 기업의 중심에 서는 것이다.
보안은 더 이상 선택이 아니라 생존의 필수 조건이며, 그 실행력은 경영자의 결단과 투자에서 시작된다
All Copyright Reserved © The Beyondpost
