최근 SK텔레콤을 시작으로 롯데카드, KT, 넷마블, 쿠팡 등 해킹 사고가 잇따라 터지고 있다. 해킹이 특정 기업의 불운이 아니라, 이제는 한국 기업 생태계 전반의 구조적 리스크로 자리 잡았다는 사실이 여실히 드러난 셈이다. 사고가 터질 때마다 기업들은 보안 강화와 보상 대책을 급히 내놓고, 최고경영자(CEO)나 최고정보보안책임자(CISO)가 책임을 지겠다며 자리에서 물러나는 모양새로 사태를 마무리한다. 하지만 우리는 10년 넘게 같은 장면을 반복해서 보고 있다. 이런 방식은 더 이상 해법이 될 수 없다.
2011년 7월 싸이월드 대규모 개인정보 유출 사태를 기억할 것이다. 당시 SK커뮤니케이션즈는 주형철 대표 체제에서 싸이월드와 네이트 서비스를 통합해 규모의 서비스 확장을 노렸지만, 되려 3500만명의 개인정보가 유출되는 초유의 사이버 범죄로 남았다. 회사는 뒤늦게 보안 설정을 강화하고 정보보안 투자를 늘렸다. 그리고 연말 임원 인사에서 주형철 대표가 물러나는 선에서 사태를 봉합했다. 고객 정보 유출의 재발이 없도록 하겠다는 말이 나왔지만 14년이 지난 지금 우리는 그때와 크게 다르지 않은 대응을 반복하고 있다. 이는 우리 사회가 사후 책임만을 묻는 방식으로는 근본적 변화를 끌어낼 수 없음을 보여준다.
지금 필요한 것은 기업 책임의 근본적 재설계다. 국회를 중심으로 정보보안 투자를 일정 수준 이상으로 의무화하고, 피해 보상 기준을 대폭 강화하는 법안이 논의되고 있다. 해킹 사실을 은폐할 경우 매출액의 일정 부분을 과징금으로 강제해야 한다는 목소리도 나온다. 기업이 보안 투자에 소홀히 하거나 해킹 사태에 대해 무책임한 처사를 보이는 것에 대해 비용을 치르게 하는 구조를 만들자는 주장이다. 징벌적 수준의 책임을 제도화하자는 흐름이다. 그래야만 기업들이 해킹을 단순 비용 문제가 아니라 경영의 존립 문제로 인식할 수 있다는 것이다.
CEO 책임 또한 더 무겁게 논의돼야 한다. 지금까지 한국의 기업 문화에서 보안 사고는 종종 IT 부서나 특정 실무자의 실패로 축소돼왔다. 하지만 기업의 보안 리스크는 설비 투자, 고객 관리, 인프라 운영 등 전사적 판단의 문제이며, 그 최종 결정권자는 CEO다. 보안 투자를 줄여 단기 실적을 끌어올리는 선택을 한 것도, 리스크 대비보다 비용 절감을 우선순위에 둔 것도 결국은 최고경영자의 리더십 아래에서 이뤄진 일이다.
따라서 기업은 CEO를 선임할 때 보안·안전 리스크에 대한 감수성을 핵심 덕목으로 포함해야 한다. 단기 실적 개선 능력이나 외형 성장 경험만으로 CEO를 뽑는 시대는 끝났다. 데이터와 기술이 기업의 생존을 좌우하는 지금, 정보보호는 더 이상 비용 항목이 아니라 경영의 근본이다. 그 무게를 견딜 수 있는 사람이 CEO 자리에 앉아야 한다.
해킹 사고는 한 번 터지면 피해가 수백만 명으로 확산되고, 신뢰의 붕괴는 기업의 브랜드가 아니라 산업 전체로 번진다. 우리는 이미 이를 여러 차례 겪었다. 반복되는 위기 앞에서 같은 방식의 수습을 되풀이해서는 안 된다.
이지은 테크지식산업부 팀장
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지