“매달 정보보안에 지출하는 돈이 얼마나 되는가?”
위와 같은 질문에 대한 답변은 크게 두 가지로 나뉜다.
첫째, ‘수입의 일정 부분을 꾸준히 정보보안에 사용한다’는 모범답안. 그러나 한국산업기술진흥협회에 따르면 수입의 1% 이상을 정보보안에 사용하는 기업은 전체 기업 중 20%에도 이르지 못한다.
둘째, ‘정보보안은 비용만 많이 들 뿐 현실적인 소용이 없다’는 대답이다.
이 대답에 대해 한 예를 들어보자. 최근 만난 해커 출신의 보안회사 직원 김모 씨는 보안회사에서 ‘모의 해킹’ 부서를 담당하고 있다. 고객사의 컴퓨터에 침입하는 게 그의 역할이다.
모의해킹으로 약점이 드러난 기업은 그런 취약한 시스템을 만든 보안회사를 탓하며 비용지출을 꺼린다. 약점이 드러나지 않으면 ‘문제가 없는데 왜 비용을 늘리느냐’며 비용을 깎으려 든다.
김 씨는 대안으로 보안비용을 기업과 정부가 나누는 방법을 제시했다. 한국에서는 영세 규모의 벤처기업도 상당 수준의 기술을 보유하는 경우가 많다.
이럴 경우 정부가 방화벽 등 기본적인 보안설비 비용을 지원하는 방안을 검토해달라는 것이다.
또 교육의 중요성도 강조한다. 최근 한 벤처기업에서 수년간의 노하우가 축적된 최고 수준의 프로그램 기술을 해킹으로 송두리째 도둑맞은 적이 있었다.
사건 자체도 충격적이었지만 기자를 더욱 놀라게 했던 것은 이 업계에 종사하던 상당수 개발자들이 “어쩔 수 없는 일”이라며 “열심히 새 프로그램을 개발하는 수밖에 없다”는 식으로 체념하는 모습이었다.
20대의 개발자들이 청춘을 쏟은 지적 재산을 도둑맞고도 체념하는 법을 배우기보다는 미리 예방하는 습관과 인프라를 갖추는 게 시급하다.
김상훈 기자 sanhkim@donga.com
댓글 0