신종 코로나바이러스 감염증(코로나19)이 확산하면서 재택근무, 온라인 강의를 하는 ‘집콕족’을 노린 사이버 공격이 급증하고 있다. 한국인터넷진흥원(KISA)에 따르면 올 1~8월 스미싱 탐지 건수는 70만 건을 넘어섰다. 지난해 두 배에 달한다. 모바일 악성 앱도 작년보다 두 배 이상 늘었다.
국내 대표 사이버 보안 전문가로 꼽히는 이동범 한국정보보호산업협회(KISIA) 회장(51·사진)은 지난 23일 한국경제신문과의 인터뷰에서 “스미싱, 랜섬웨어, 디도스(DDos·분산서비스 거부) 등 각종 수법의 사이버 공격이 기승을 부리고 있다”며 “‘사이버 방역’을 위해 정부가 국내 보안산업에 적극적으로 투자해야 할 때”라고 말했다.
한국의 사이버 보안 수준은 국제적으로 낮은 편이다. 유엔의 ‘2018년 전자정부 발전지수’ 평가에 따르면 한국은 3위의 성적을 올렸지만, 국제전기통신연합(ITU)이 2018년 발간한 ‘사이버 보안지수’에서는 15위에 그쳤다.
이 회장은 사이버 보안 역량을 강화하기 위해 우선 보안 인력에 대한 형사처벌 규제부터 걷어내야 한다고 주장했다. 개인정보보호법에는 개인정보 유출 사고가 발생했을 때 개인정보처리자를 형사처벌하는 규정이 있다. 그는 “국제 리포트에 따르면 한국은 20만 명 규모의 보안 전문가가 필요한데 9만 명이 부족하다”며 “보안 인력에 대한 형사처벌이 인력 공급을 막는 주요한 요인 중 하나”라고 지적했다. 이어 “담당자를 형사처벌해 개인의 책임을 묻기보다 기업에 무거운 과징금을 부과하는 방향으로 가는 게 옳다”고 강조했다.
이 회장은 민간에만 정보보호최고책임자(CISO) 선임을 의무화하는 것도 잘못됐다고 본다. 코로나19 여파로 정부의 개인정보 수집이 크게 늘고 있는 상황에서 공공부문 역시 CISO 지정을 의무화해야 한다는 것이다. 그는 “의료기록같이 국민 개인정보, 민감정보를 많이 보유하고 있는 정부 기관임에도 불구하고 정보보호를 전담할 담당자 자체가 없는 부처도 있다”며 “보안이 중요해진 시기에 기업뿐만 아니라 정부도 CISO를 의무화해 ‘솔선수범’하는 모습을 보여야 한다”고 말했다.
이 회장이 이끄는 KISIA는 정보보호산업 진흥을 위해 1997년 설립돼 국내 정보보호산업의 건전한 발전과 국가산업 전반의 정보보호 수준 향상을 위한 사업을 하고 있다. 이 회장은 보안산업의 새로운 동력을 찾기 위해 보안 스타트업 육성에 나서고 있다. 그는 “훌륭한 기술을 보유한 새로운 기업이 계속 나와야 인수합병 등을 통해 업계 전반이 성장할 수 있다”고 했다.
성균관대 정보공학과를 졸업한 이 회장은 1995년 두산정보통신 연구소를 시작으로 어울림정보기술 연구소장, 대검찰청 컴퓨터수사부 자문위원, 호원대 사이버경찰학부 겸임교수 등을 지냈다. 2005년부터 현재까지 정보보안 솔루션 전문기업인 지니언스 대표로 재직 중이다.
김남영 기자 nykim@hankyung.com