개인정보를 유출하는 사람과 이를 막으려는 사람의 관계에서 유출하려는 사람이 더 적극적이다. 또한 온라인상에서 정보유출은 그것을 막으려는 사람은 개인 당사자가 아닌, 보안 관계자이다. 정보유출을 막으려는 노력과 성과는 드러나지 않고, 정보가 유출된 사고는 드러난다. 인센티브는 부재하고 질타는 크다.
또 하나의 문제는 공격자와 수비자 사이의 비대칭성이다. 공격자는 단 하나의 취약점만 찾으면 되지만, 수비자는 모든 가능성을 동시에 막아야 한다. 수많은 계정과 응용프로그램인터페이스(API), 내부 시스템 중 하나의 구멍만 있어도 전체가 무너질 수 있다. 완벽한 방어가 불가능한 구조에서 보안은 언제나 불리한 싸움이다.
많은 구멍을 동시에 막기 위해서는 비용이 기본적으로 올라갈 수밖에 없다. 기업 입장에서 정보보호 비용은 큰 부담이다. 기업 입장에서 개인정보 보호비용은 당장의 수익을 창출하는 것이 아닌 사용되고 사라지는 비용에 가깝다. 기업은 이 비용을 낮춰야 수익성이 개선되기 때문에 의사결정자가 과감한 투자를 결정하기는 쉽지 않다. 이 비대칭성은 인공지능 발전으로 더욱 확대되고 있다. 자동화된 취약점 탐색과 대규모 피싱, 공격 시나리오의 실시간 변화는 이미 현실이다. 이제 정보보호는 단순한 기술대응을 넘어 구조적 대응의 문제가 되었다. 공격이 자동화되는 환경에서 방어 역시 자동화되고 상시적으로 작동하지 않으면 효과를 기대하기 어렵다.
결국 정보보호는 기술뿐 아니라 책임, 투자, 조직구조 등의 복잡한 문제이다. 해결을 위해서는 기술 및 조직구조, 투자 등을 모두 고려해야 한다. 첫째, 보안사고의 책임을 경영 의사결정과 명확히 연결해야 한다. 둘째, 정보보호 투자를 의무적·지속적 항목으로 전환할 필요가 있다. 셋째, 보안을 외주와 하청의 문제로 방치해서는 안 된다. 핵심 보안역량은 내부에 축적되고, 성과가 평가되는 체계가 갖춰져야 한다.
대규모 개인정보 유출은 기술 부족의 문제가 아니다. 책임이 분산되고 투자 유인이 약한 구조의 결과다. 보안은 선언으로 강화되지 않는다. 책임, 투자, 조직구조가 함께 바뀔 때만 사고의 빈도는 줄어들 수 있다.
모정훈 연세대 산업공학과 교수
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지