“자가 점검 막힌 한국”…해커 타깃 된 현실에 보안 대전환 촉구

한국이 글로벌 해킹 공격의 주요 목표로 떠오른 배경에는 국가와 기업의 자가 보안 점검을 어렵게 하는 제도적 구조가 자리하고 있다. 정보통신망법, 금융·공공 분야의 보안 소프트웨어 의무 설치, 형식적 보안 인증 등 관행은 실질적인 보안역량 강화를 제약하며, 시장 내 '자율적 점검'을 어렵게 만들고 있다는 지적이 나온다. 전문가들은 미국 CISA의 참여·동기부여 정책 사례처럼, 점검 권한 확대 및 합법적 취약점 공개 체계 도입, 인센티브 기반의 보안 정책 전환이 시급하다고 강조한다. 업계는 이번 논의가 국내외 사이버 보안 경쟁의 분기점이 될 수 있을지 주목하고 있다.

13일 국회의원회관에서 열린 ‘위기의 K보안, 글로벌 해커 타깃 한국’ 세미나에서는 한국 보안체계의 구조적 문제와 개선방안이 집중적으로 제기됐다. 발제자로 나선 김용대 KAIST 교수는 “공격자는 국내 시스템을 자유롭게 스캔할 수 있지만, 우리는 법적으로 자가 점검에 제약을 받는다”고 설명했다. 현행 정보통신망법은 정당한 접근권한 없이 정보통신망에 침입하는 행위를 금지해, 국가기관과 기업조차 요청받지 않으면 취약점 스캐닝이 어렵다. 이는 민간 연구자와 화이트해커의 합법적 활동마저 위축시키는 구조다.

특히, 금융·공공 부문에서 PC에 다수의 보안 소프트웨어를 설치하는 국내 관행도 국제적으로 유례가 없다. 김 교수에 따르면 국내 이용자 PC에는 평균 10개 이상의 보안 프로그램이 탑재돼 있으며, 실제로 학생 연구팀이 약 3주간 분석한 결과 일부 금융·공공 보안 솔루션들에서 20개가 넘는 취약점이 발견됐다. 이 중 일부 취약점이 북한의 해킹 경로로 악용된 사실이 확인됐다. 또 정보보호관리체계 인증(ISMS·ISMS-P) 역시 ‘인증 중심’의 형식화로 본래 목적이 훼손되고 있음이 지적됐다.

미국의 사이버보안 및 인프라안전국(CISA)은 ‘공공책임 원칙’ ‘참여-동기부여 강화’로 대표되는 정책을 펼치고 있다. 대표적으로 ‘사이버 하이진 프로그램’을 통해 공공기관과 기업 시스템을 무상 원격 스캔하고 리포트를 제공, 자발적 개선을 지원한다. 화이트해커를 제도적으로 보호하는 ‘취약점 공개 프로그램(VDP)’, 실제 공격에 악용되는 취약점을 강제 패치하도록 하는 ‘KEV 카탈로그’, 보안을 기본값으로 설계토록 시장 구조를 바꾸는 ‘시큐리티바이디자인’ 정책 등도 중요한 정책이다. 이와 함께 사고 신고 기업에 법적 보호를 제공하는 ‘CIRCIA’ 운영도 특징이다. 글로벌 시장에서는 이러한 구조적 지원 정책이 실제로 보안 경쟁력을 높여주는 동인으로 작용하고 있다.

김용대 교수는 “한국 역시 단기적으로는 정보통신망법 개정 및 버그바운티 제도 개선, 국가 차원의 합법적 스캐닝 허용 등 제도 개선이 시급하다”고 강조했다. 1년 내 금융·공공 소프트웨어 의무화 관행 폐지, ISMS 인증 개혁 등 실질적 방어 능력을 반영하는 제도 도입이 필요하다. 그는 “선제적 보안투자 기업에는 세액공제 등 확실한 인센티브를, 취약점 공개·신고 기업에는 법적 보호와 감경 혜택을 제공해야 실효성 있다”고 밝혔다.

전문가들은 한국이 형식적 인증과 법적 제약의 틀을 벗고, 자율적 점검·참여 촉진으로 정책 대전환에 나서야 한다고 입을 모으고 있다. 산업계는 이러한 논의가 실제로 시장에서 안착할 수 있을지 예의주시하고 있다.