# 2030년 어느 날 새벽 서울 여의도의 한 금융센터 건물에 경고음이 울리기 시작했다. “코어 방화벽 우회! 트래픽 이상! 지능형 공격 가능성 92%!” 국내 메이저 금융그룹 한 은행의 보안관제센터 모니터에 붉은 경고창이 떴다. 이와 동시에 내부망과 외부 연동 API(Application Programming Interface, 상호 소프트웨어 및 시스템이 정보를 주고받게 하는 창구)가 마비되고 인터넷 뱅킹은 일시 오류 메시지를 표시하면서 멈췄다. 불과 몇분 후 전국 은행 지점에 출근 전부터 이체 오류, 앱 접속 불가, 카드 결제 불능 신고가 쏟아졌다. 해커는 단순히 시스템을 멈추는 데 그치지 않았다. 블록체인 기반 인증서버, 개인 신용데이터 저장소, 심지어 국가 백신패스 서버까지 동시에 무너뜨렸다. 공격자는 딥페이크 음성 시뮬레이션을 활용해 고객센터를 교란했고 AI(인공지능) 자동 응대 시스템은 거짓 신원확인에 속수무책이었다. 피해자 중 일부는 밤새 계좌에서 5000만원 이상 송금된 사실조차 모른 채 뒤늦게 은행 전화를 받고 피해를 당했음을 인지했다. 여러 곳의 금융·통신기업을 동시 타깃으로 삼은 복합형 공격이었고 금융 시스템은 물론이고 자율주행 교통신호망 역시 교란을 줄 수 있다는 사실이 뒤늦게 밝혀져 당국이 조사에 나섰다.
물론 지금까지의 이야기는 가상의 시나리오를 바탕으로 한 것이다. 하지만 충분히 일어날 법한 일들이다. 실제 올해에만 수 차례 이러한 정보보안 사고가 국내에서 벌어졌다. 지난 4월 SK텔레콤의 핵심 서버(HSS)가 악성코드에 감염돼 가입자 수천만명의 유심 정보가 탈취됐다. 해당 정보는 금융 및 본인인증 시스템을 우회할 수 있는 핵심값이어서 보안 전문가들은 즉시 2차 피해 가능성을 경고했다. 하지만 SK텔레콤의 공식 발표는 하루 늦었고 개별 고객 통보 역시 미흡했다. 전국 매장에 유심 교체를 위한 대기 행렬이 이어지면서 기업의 정보보안 대응 능력에 대한 비판이 제기됐다.
해당 사건은 단순한 해킹 사고가 아니었다. 국내 기업의 구조적 정보보안 취약성을 드러낸 대표 사례로 기록됐다. 그동안 다수의 국내 기업은 정보보안을 비용으로만 간주하며 관련 예산 편성도 후순위로 미뤄왔다. 이런 안일한 대처가 각종 피해를 낳기 시작했다는 지적을 받고 있다.
반면 미국과 유럽 등은 대규모 해킹 시 법적 보상과 기업가치 하락에 대한 위험 인식이 크다. 다수의 글로벌 기업은 정보보호를 최고경영진 단위의 의사결정 사안으로 상정하고 최고정보보호책임자를 이사회에 포함시켜 전략적 관리를 수행하고 있다. 하지만 우리나라 기업들은 여전히 사고 후 수습 중심의 대응에서 벗어나지 못하고 있다. 전문가들은 “정보보호는 더 이상 선택이 아닌 기업 생존의 전제가 돼야 한다”며 “이는 아무리 지나치게 반복 지적해도 중요한 부분”이라고 강조했다.
김재원 기자 jkim@segye.com
