디지털 신문보기

에너지경제 포토

기자 기사모음




[이슈&인사이트] 정보 보안에 대한 발상 전환

에너지경제신문   | 입력 2025.12.23 11:00

양희철 법무법인 명륜 파트너변호사

양희철

▲양희철 법무법인 명륜 파트너변호사

올해가 저물어 가던 11월 말 온라인 시장 지배력을 키우던 쿠팡에서 3,370만 명에 이르는 이용자들의 개인정보가 유출되었다는 보도들이 나오기 시작했다. 미성년자와 온라인 쇼핑몰 이용에 곤란을 겪는 일부 고령층을 제외하면 사실상 대한민국에서 온라인 쇼핑몰을 이용하는 전 국민의 개인정보가 유출된 것이다. 이미 거대 이동통신 3사와 금융기관들의 연이은 개인정보 유출로 불안감이 커지던 국민을 더 큰 불안에 시달리게 만드는 기사들이었다.


세간에는 대한민국 국민의 개인정보는 '개인정보가 아닌 공공정보'라는 우스갯소리가 있을 정도로 곳곳에서 국민의 개인정보가 끊임없이 유출됐다. 이런 상황은 국민이 자신의 개인정보를 소홀하게 보관해서 발생한 것이 아니다. 개인정보보호법에 따라 개인정보를 적법하게 수집하고 보관해야 할 개인정보처리자인 기업, 공공기관, 심지어 정부 부처들에 책임이 있다. 이런 총체적 난국이 어디서부터 기인한 것인지 고민해 보면 결국 정보 보안을 거추장스러운 장애물이나 불필요한 비용으로 생각하는 잘못된 관념이 출발점이 아닌가 한다.


사실 변호사들의 업무인 법무도 기업이나 정부 기관에서 비슷한 취급을 받기도 한다. 기업에서는 반대를 일삼아 성장의 발목을 잡는 방해꾼으로 매도당한다. 정부 기관에서도 규제가 필요할 때는 관련 법무 전문가를 찾다가, 규제 완화 여론이 높아지면 같은 전문가에게 다른 해결책을 요구한다. 법무 검토도 단시간에, 저비용으로 끝내려 하지만 관계 법규를 제대로 준수하지 않아 상응하는 법적·경제적 불이익이란 후과를 직면하고서야 후회하는 사례를 많이 본다.




최근 지속적으로 문제가 되고 있는 개인정보 유출 역시 대한민국의 보안 관련 산업의 현황을 보면 그럴만하다고 수긍하게 된다. 한국정보보호산업협회(KISIA)에서 2025년 4월 발표한 '2024 정보보호산업 실태조사' 결과에 따르면 조사 대상 국내 1,200개 기업 중 연간 정보보호 예산이 '500만 원 미만'이라는 답변이 무려 75.8%에 달한다. 심지어 개인정보나 기업 영업비밀에 대한 보안 위협은 더욱 커지는데도 위 실태조사 결과에 따르면 정보 보안 예산을 편성한 기업이 2022년 67.9%에서 오히려 2024년에는 49.9%로 감소하기까지 했다.


정부 기관의 상황도 별반 다르지 않다. 행정안전부 예산안을 보면 2025년 정부 정보보호 인프라는 2024년보다 44.8%, 정보시스템 소프트웨어 보안 체계 강화 사업은 30.2%, 사이버 침해사고 예방 예산은 3.8% 각 감소했다. 그나마 2026년에는 인공지능(AI) 기반 정보 보안 관련 예산을 포함해 7.7% 증가된 예산안이 편성되었다니 다행이라 해야 할지도 모르나 정부의 온나라시스템이 무려 3년간 해킹을 당한 상황에서 안일한 인식이 아닌가 하는 우려도 된다.


민간과 공공부문의 정보 보안 예산 경시는 국내 정보 보안 전문 기업들의 영세한 규모만이 아니라 업무에 종사하는 보안 인력의 양성과 숙련도에도 영향을 미치게 된다. 이에 따라 점차 증가하고 있는 인공지능 기반 사이버 공격에 대한 대비도 미흡해질 수 있다. 인공지능의 발달과 더불어 특히 사이버 보안 관련하여 인공지능 기반 공격과 방어 수단이 급속도로 확산되고 있기 때문이다.




기업과 정부 기관들이 인공지능 기반 업무 시스템을 구축하는 상황에서 프롬프트 입력, 회피 공격, 인공지능 데이터 또는 모델 추출 공격 등 다양한 방법이 시도될 수 있다. 심지어 인공지능을 활용해 인공지능 업무 시스템 이용자들에 대한 초맞춤형 피싱 공격을 발생할 수 있는데, 실제로 최근 오픈소스 형태의 모델뿐 아니라 상용모델인 앤트로픽사의 '클로드'가 해킹에 이용되기도 했다. 이에 대항해 인공지능을 바탕으로 이상 데이터를 탐지하고, 인간이 대응할 수 없을 정도로 대량의 반복적인 공격을 방어하는 인공지능 보안 시스템도 구축되고 있다.


이런 인공지능 탑재 창과 방패의 확산이란 시대적 변화에 발맞추기 위해서는 그에 상응하는 시스템 구축과 인력 양성에 대한 투자가 필수적이다. 지금처럼 정보 보안을 비용 개념으로만 보아서는 향후 벌어질 보안 전쟁에서 승산이 없다. 이를 위해서는 제도적으로 정보 보안이 기업의 경쟁력이 되도록 공공부문 입찰 가산점, 투자 인센티브 등 세제 지원과 함께 정보 유출로 손해를 입은 정보 주체들이 직접 법적 책임을 물을 수 있도록 법제도 정비가 필요하다. 이를 통해 정보 보안을 소비자 선택의 척도로 끌어 올려 비용이 아닌 기업 경쟁력 강화를 위한 투자로 보는 시각이 정착되길 기대해 본다.


양희철


< 저작권자 ⓒ 에너지경제 무단전재 및 재배포 금지 / 대한민국 경제의 힘, 에너지경제>

배너

실시간 Live