Editor`s letter

달콤한 초대장

343호 (2022년 04월 Issue 2)

볼로디미르 젤린스키 우크라이나 대통령이 항복을 선언하는 영상이 3월 말부터 우크라이나 관련 웹사이트에 등장해 많은 사람을 놀라게 했습니다. 진짜였을까요? 아시다시피 인공지능으로 만든 인간 이미지 합성 기술 ‘딥페이크’를 적용한 가짜였습니다. 러시아 침공 직후부터 친러시아 해커들은 이처럼 우크라이나 고위 군 지도자들과 정치인들의 SNS 계정에 침입해 항복을 알리는 가짜 메시지를 게시하는 등 교란 작전을 펼쳐왔습니다.

우크라이나뿐 아니라 우크라이나를 지지하는 국가들에 대한 사이버 공격도 급증하고 있습니다. 해킹이 전쟁 무기가 된 시기에 사이버 전쟁에서조차 지정학적으로 위험한 위치에 놓인 한국의 기업들도 큰 위험에 노출됐습니다. 우리나라는 해킹 능력 2위인 중국, 3위인 러시아, 4위인 북한과 인접해 있고 이미 중국과 북한으로부터 점점 고도화되는 사이버 공격을 받고 있는 상황입니다. 국가나 기업 모두 최고 수위의 긴장감을 가져야 할 때가 아닐 수 없습니다.

이미 많은 사고를 통해 경험한 대로 해킹은 기업에도 씻기 힘든 타격을 남길 수 있습니다. 예컨대 딥페이크 기술을 사용해 기업 오너의 얼굴을 가짜로 조작하고, 해킹한 기업 채널을 통해 공개하면서 잘못된 기업 정보 또는 부적절한 발언을 노출한다면? ESG 경영이 본격화되면서 오너 리스크가 커진 요즘, 주가나 기업 이미지에 미칠 타격이 적지 않을 것입니다.

기업을 대상으로 한 사이버 공격이 최근 급증한 배경에는 신종 코로나바이러스 감염증(코로나19)발 팬데믹이 있습니다. 팬데믹을 계기로 재택근무가 확산된 가운데 속도와 효율을 강조하며 원격 근무 관련 디지털 기술을 성급히 도입하는 과정에서 상대적으로 우선순위가 밀린 보안에 취약점이 생긴 겁니다. 실제로 2021년 말, 글로벌 회계•컨설팅 법인인 EY가 전 세계 사이버 정보보호최고책임자 1000여 명을 대상으로 진행한 정보 보안 설문 조사에 따르면 응답자가 속한 조직의 81%가 사이버 보안 프로세스를 건너뛰었고 58%는 적절한 사이버 보안 감독 조치 없이 새로운 기술을 도입하고 있는 것으로 나타났습니다.

이처럼 정치, 경제적으로 전대미문의 위험에 노출된 시대, ‘해킹 신동’의 조언을 떠올려볼 만합니다. 기업 35곳을 해킹해 막대한 피해를 입히는 등 역대급 해커로 회자된 케빈 미트닉은 무려 13살 때부터 해킹을 시작했습니다. 청소년기에 학교 성적 관리 시스템에 침입해 성적을 모두 A+로 바꾸는 등 떡잎부터 남달랐던 인물입니다.

5년간의 형기를 마치고 출소한 뒤 화이트 해커로 변신해 보안 컨설팅 회사를 운영하는 그는 저서 『보이지 않게, 아무도 몰래, 흔적도 없이(The art of invisibility)』에서 “온라인에선 누구도 믿지 말라(Trust no one)”고 강조했습니다. 사람은 물론이거니와 스마트폰, 무료 메일 계정 등 일상적으로 사용하는 물건과 서비스가 모두 ‘빅브라더’가 돼 개인정보를 앗아갈 수 있다는 겁니다.

그의 경고는 러시아 해커들의 공격을 받게 된 국가들의 보안 정책과도 일맥상통합니다. 올초 미국의 바이든 행정부는 사이버 보안 전략으로 ‘제로 트러스트(Zero Trust)’ 전략을 선언했고 우리 정부 역시 지난달 제로 트러스트에 대한 정책 연구를 시작했습니다. 사이버 보안에서는 안전한 영역도, 안전한 사람도 없다는 뜻입니다.

특히 보안 관리 체계 3대 요소인 인간, 프로세스, 기술 가운데 가장 취약한 요소는 인간이며, 실제 사이버 보안 사고의 50% 이상이 내부 및 협력사 임직원의 부주의, 악의적 행위 등으로 발생한다는 사실에도 주목할 필요가 있습니다. 그럼에도 의심 기반의 ‘아무도 신뢰하지 않는(Trust no one)’ 패러다임에서 신뢰 기반의 ‘신뢰하되 확인하는(Trust but verify)’ 인간 중심 패러다임으로의 변화가 궁극적으로는 보안 문화를 조직에 뿌리내리는 건강한 자양분이 될 것이라는 의견도 있습니다.

어떤 방식으로 보안을 강화하든 간에 사이버 보안은 잃고 나서야 소중함을 알게 되는 존재, 그래서 예방이 중요하다는 점을 끊임없이 상기해야 합니다. 보안 전문가들은 “내 컴퓨터의 취약점은 공격자에게 ‘달콤한 초대장’이 된다”고 경고합니다. 이번 호 스페셜 리포트가 달콤한 맛을 노리는 침입자에게서 쓴맛을 보지 않도록 점검하는 계기가 되길 바랍니다.


010

김현진 편집장•경영학박사
bright@donga.com

동아비즈니스리뷰 351호 Diversity in Talent Management 2022년 08월 Issue 2 목차보기