연이은 대규모 사이버 공격으로 국내 보안 체계의 구조적 취약점이 적나라하게 드러나면서, 범정부적 보안 컨트롤타워 구축과 기업에 대한 강력한 제재 필요성이 부각되고 있다. 통신업체와 카드회사, 포털사이트에 이르기까지 전방위적으로 확산된 침해 사건들은 그간 IT 강국임을 자부하던 한국의 허술한 사이버 방어 역량을 여실히 보여주고 있다.

현재 국내 보안 관리 체계는 금융권은 금융위원회 산하 금융보안원이, 비금융 분야는 과학기술정보통신부 소속 한국인터넷진흥원(KISA)이 각각 담당하는 이원화 구조로 운영되고 있다. 이러한 분산된 체계는 사이버 위협이 업종을 가리지 않고 동시다발적으로 발생하는 현실과 괴리를 보이며, 정보 공유와 신속한 초동 대응에 공백을 야기하고 있다.

실제로 최근 KT 무단 소액결제 사건 초기에는 금전 피해의 특수성으로 인해 관할 기관을 두고 부처 간 조율 과정에서 혼선이 빚어진 것으로 전해졌다. 롯데카드 침해 사고와 KT 서버 해킹에 대한 정부 합동 브리핑에서도 과기정통부와 금융위가 나란히 참석했지만 사건 설명과 질의응답은 따로 진행되는 등 여전히 단절된 모습을 드러냈다.

이는 미국이나 영국 등 선진국들이 사이버 보안을 국가 안보 차원에서 접근해 통합된 전담 조직을 운영하는 것과 대조적이다. 미국은 국토안보부 산하 사이버·인프라보안국(CISA)을 중심으로 FBI, NSA 등과 공조하며, 영국도 정부통신본부(GCHQ) 산하에 사이버보안센터(NCSC)를 두고 있다. 특히 영국은 최근 사이버 위협 증가에 대응해 '사이버·전자전 사령부'를 신설하며 국가적 대응 역량을 강화하고 있다.

기업들의 보안 의식과 투자 수준도 심각한 문제로 지적된다. 과기정통부와 한국정보보호산업협회의 '2024 정보보호 실태조사'에 따르면, 침해사고를 경험한 기업 중 67%가 '별다른 대응 활동을 하지 않았다'고 응답했으며, 사고를 당하고도 신고하지 않은 비율이 80.4%에 달했다. 응답 기업의 절반 가까이는 보안 예산이 전무했고, 있더라도 75.8%가 500만원 미만에 그쳤다.

더욱 우려스러운 것은 기업들의 늑장 신고 관행이다. 이해민 조국혁신당 의원이 KISA에서 제출받은 자료에 의하면, 지난 1년간 침해사고 발생 후 24시간이 지나서야 당국에 신고했거나 아예 신고하지 않은 사례가 66건에 이른다. KT는 서버 침해 인지 후 3일 만에, 롯데카드는 6일이나 지나서 신고했으며, 실제 유출 규모는 초기 발표보다 100배 이상 컸던 것으로 드러났다.

이러한 늑장 신고에 대한 처벌은 3천만원 이하의 과태료가 전부로, 기업들이 자진 신고보다는 '솜방망이' 처벌을 감수하는 기이한 구조가 고착화되고 있다. 반면 미국은 페이스북(현 메타)에 개인정보 무단 유출 건으로 50억 달러(약 6조원)의 과징금을 부과했으며, 통신사 T-모바일은 정보 유출 사고로 총 3억5천만 달러를 소비자 보상금으로 지급하기로 합의하는 등 징벌적 제재를 통해 경각심을 높이고 있다.

사이버 공격의 양상도 갈수록 정교하고 다양해지고 있다. 최근 KT 무단 소액결제 사건에서는 중국 조직범죄단이 불법 초소형 기지국을 이용한 기상천외한 수법을 동원했으며, SKT 해킹에서는 2천696만건의 유심 정보가 유출되는 최악의 사태가 벌어졌다. 예스24는 두 차례 연속 랜섬웨어 공격을 받아 총 12일간 서비스가 마비되는 피해를 입었다.

공공기관도 해커들의 표적에서 자유롭지 못하다. 2023년 기준 공공기관 개인정보 유출 신고 건수는 325만건에 달했으며, 전북대 32만5천명 정보 탈취, 북한 해커조직 라자루스의 법원 전산망 장기 해킹 등이 잇따라 발생했다. 인공지능 발전으로 고도의 해킹 기술을 저렴하게 확보할 수 있게 되면서 위협은 더욱 증가할 전망이다.

정부는 국가안보실을 중심으로 관계부처 합동 종합대책 마련에 착수했으나, 전문가들은 단발성 대책이 아닌 근본적인 제도 개선이 시급하다고 강조하고 있다. 특히 민간 전 분야를 아우르는 통합 컨트롤타워 구축, 실시간 정보 공유 체계 마련, 기업 영업정지 수준의 강력한 제재 도입 등이 핵심 과제로 제시되고 있다. 개인 차원에서도 다중 인증 적용, 정기적 비밀번호 변경 등 기본 보안 수칙의 생활화가 절실한 상황이다.