보안 인력이 문제가 아니다

https://www.ddaily.co.kr/page/view/2025072012201864932

반복되는 랜섬웨어 재앙, 원인은 보안 인력·역량 부족에 있다

우리나라 보안 수준, 형편없이 떨어진다. 아니, 사실 따지고보면 전세계가 지금 위기다. 해킹 도구는 나날히 발전해가고 있지만 보안 기술이 이를 따라잡는 건 쉬운 일이 아닌데, 전산 시스템은 점점 커지고 시스템간의 상호 의존성도 커져가고 있으니 해커들로서는 먹을 게 천지다. 한 건 터트리면 막대한 돈을 벌 수 있다. 그래서 몇년 전 CES에서도 이 부분을 주요한 리스크 사항이라고 기업의 대표들과 전문가들도 계속 논의하고 있다.

우리나라는? 거기에서도 떨어진다. 하지만 걱정 마라. 그거만 떨어지는 게 아니니까...ㅜ.ㅜ 그냥 소프트웨어 전반이 수준이 떨어진다.

근본적인 문제는 따로 있다. 그건, 사고가 터져도 기업이, 그 기업의 책임자가 치명적인 책임을 지지 않는다는 것, 그렇다고 보안의 개선이 실적이 되지도 않고 정기적으로 보안의 책임을 작게라도 져야하는 것도 없다. 그런데 어떤 경영자가 실적을, 이익율을 깎아먹는 보안에 투자할수가 있을까?

그걸 시키는 대주주, 회장님만 가능한데, 회장은 보안에 깡통이다. 그 회사의 주력 기술에라도 전문이면 다행일 정도. 그 사람 눈치를 보며 매출과 이익률, 주가를 보고해야 하는 경영진과 임원들은 말할 것도 없다. 알아도 못 풀고 알지도 못하는 경우가 태반이다. 구조적인 문제다.

구조가 그런데 보안 인력이 갖춰지기도 힘들고 전문 조직의 역량이 오르기도 힘들다. 보안 기술자 커뮤니티가 발전하기도 힘들다. 보안 인프라도, 보안 프로그램도 발전이 지지부진 할 수밖에 없다.

자본주의 사회는 자본이 투입되지 않는 산업은 발전하지 않는 게 당연하다. 보안 리스크에 책임지는 사람도 없고 보상도 없는데 무슨 수로 보안을 발전시키나.

정말 방법이 없나? 아니다.

화이트 해커를 키워서 보안을 공격하고 그걸로 주기적인 평가를 받게 하면 된다. 해커는 보안을 뚫은 사례들로, 보안 담당자들은 취약점을 개선항 사례들로 보상을 받게 하면 된다. 기업 내부가 아니라 국가 단위로 하며, 그 보안 테스트를 정기적으로 통과 못하면 대규모 서비스에 제한을 걸면 되고, 심각하게 취약하면 경영진도 책임지게 하면 된다. 반대로 보안이 뛰어나면 그 시스템에는 추가 보상도 할 수 있을 것이다.

물론 치팅의 위험도 있다. 짜고치는 고스톱이다. 그런 것들도 해결할 수 있도록 정밀하게 시스템을 짤 필요는 있다. 아무튼, 극히 드문 리스크요인을 상시적인 손익으로 바꾸는 게 핵심이다. 그게 된다면 보안을 위한 환경은 자동적으로 발전한다.

앞으로 보안 위협은 더 커질거고, 범죄자들이 뜯어먹기 좋은 구조가 되면 더더욱 커질 것이다. 랜섬웨어에 털려 범죄조직에 돈을 헌납하는 건 범죄조직을 돕는 일이고 중범죄다. 당사자 입장에선 어쩔 수 없을 지 몰라도 나라 입장에선 결사적으로 막아야한다. 지금 100억으로 막을 걸 안 막으면 나중에는 1조, 10조로도 못 막는다.

소버린 AI? 국가 인공지능 인프라? 물론 중요하다. 하지만 보안이 없으면 어차피 이루지 못할 꿈이다.