최근 잇단 해킹 사고의 원인은 AI 같은 첨단 기술의 고도화가 아니라 기본적인 보안 수칙 미준수에 있었다. 패스워드 관리, 권한 통제, 망 분리, 로그 기록, 사고 대응 플레이북 등 기초적인 체계조차 갖추지 못한 기업이 여전히 많기 때문이다. 그동안 보안 조직은 책임은 크지만 권한은 부족한 구조 속에서 반복적으로 희생양이 돼 왔다. 이런 상황에서 해킹은 ‘일어날지 말지’의 문제가 아니라 ‘언제 일어날지’의 문제다. 보안 사고가 일어나는 시점을 최대한 늦추고 그 피해를 최소화하려면 리더의 인식과 거버넌스의 변화가 필요하다. 특히 보안을 비용이 아닌 생존 리스크이자 필수 투자로 인식해야 한다. AI 시대에는 공격과 방어 모두 고도화되는 만큼 기업은 핵심 자산을 식별하고 기본 수칙을 철저히 지키는 동시에 지속가능한 자동화 보안 체계를 구축해야 한다.
“보안은 기술의 문제가 아니라 조직의 문제다.”
‘국가대표 화이트해커’로 불리는 국내 보안 전문 스타트업 ‘티오리(Theori)’의 박세준 대표는 사이버 보안의 성패를 가르는 것은 기술이 아니라고 말한다. 보안을 강화하려면 특정 기술이나 솔루션을 도입하는 것보다 최고경영진(CEO)의 의지와 리더십, 이사회 차원의 거버넌스, 보안 중심의 조직문화 구축 등 근본적인 조직의 체질 개선과 인식의 전환이 선행돼야 한다는 의미다. 특히 수동적인 방어가 아닌 공격 관점의 내재화가 필요하다.
AI 시대를 맞아 해킹 수법이 나날이 정교해지고 있지만 최근 연달아 터진 국내 기업들의 정보 유출 사고는 AI 첨단 기술에 무방비로 당한 결과가 아니다. 오히려 사소한 기본 철칙을 지키지 않은 대가였다는 게 전문가 진단이다. 박 대표는 “기업의 보안 조직과 전담 리더들은 책임은 큰 데 비해 권한은 없다”면서 “무소식이 희소식인 조직이기 때문에 잘하고 있을 때는 일한 티가 안 나고 문제가 생기면 옷을 벗고 나가야 하는 비운의 부서”라고 말했다. 이렇게 열악한 상황에서 보안 조직은 만년 기피 부서로 남고 투자는 줄어들며 사고는 반복될 수밖에 없다는 설명이다.
최근 티오리는 국내 기업의 연쇄적인 정보 유출 사고의 중심에서 전례 없는 주목을 받고 있다. KT의 외부 보안 용역 기업으로서 사이버 침해 정황을 발견한 전력이 있는 데다 박 대표가 SK그룹 SUPEX추구협의회 자문위원으로서 사고의 진상 파악과 재발 방지 전략 수립에 핵심적인 역할을 수행하고 있기 때문이다.
아티클 AI 요약 보기
