쿠팡 사태는 ‘디지털 안보’ 공습경보[포럼]

국내 전자상거래 1위인 쿠팡의 3370여만 회원의 정보가 털렸다. 최근 잇달아 발생한 개인정보 유출 사건, 통신사들을 향한 해킹, 그리고 공공기관을 마비시키는 랜섬웨어 감염 등은 대한민국의 디지털 안보 체계가 구조적 한계에 부닥쳤음을 알리는 강력한 경고음이다. 산업·경제·금융·행정 등 국가의 모든 중추신경이 디지털 인프라에 전적으로 의존하는 오늘, 이 문제는 단순한 관리 부실 및 기술적 미흡이 아니라 명백한 국가안보 수준의 사안이다.

사이버 공격자들은 인공지능(AI)과 클라우드 기반의 ‘공격 자동화’를 무기 삼아 전례 없는 속도와 규모로 진화하고 있다. 반면, 우리의 방어 체계는 여전히 과거에 머물러 있다. 규정을 준수했는지 따지는 서류 중심, 사람이 일일이 로그를 들여다보는 인력 중심, 사고가 터진 뒤에야 수습하는 사후 대응 중심의 구조에 갇혀 있다. 산업화·자동화한 창(槍)과 수공업 수준인 방패의 불균형이 계속되는 한 피해는 국민 개개인과 개별 기업 및 기관에 그치지 않고 국가 경제 시스템 전체의 붕괴로 이어질 가능성이 크다. 즉시 원인을 제거해야 한다.

정부가 당장 직시해야 할 국가적 위기를 돌파하기 위해 지금 리더의 결단이 필요한 핵심 과제를 제시해 본다.

첫째, 국가 사이버안보 컨트롤타워를 재편해 ‘통합 지휘·단일 권한 구조’로 전환해야 한다. 현재 부처별로 쪼개진 역할을 사이버안보전략센터로 통합, 국가·공공·민간을 아우르는 단일 모니터링 체계를 갖추고 위기 발생 시 1시간 이내에 즉각적인 대응 조치가 가능한 시스템을 구축해야 한다.

둘째, ‘AI 기반 국가 방어체계’ 구축을 핵심 국정 과제로 선언해야 한다. 탐지-대응-차단에 이르는 전 과정에 AI 적용을 의무화하고, 공공·금융·통신 등 국가기반시설과 그에 준하는 민간영역은 보안관제센터에 사이버 공격 자동 대응 시스템 도입을 법제화해 방어의 산업화를 이뤄야 한다.

셋째, ‘제로 트러스트(Zero Trust)’를 국가 표준으로 삼아야 한다. 모든 공공기관과 국가기반시설에 과도한 권한을 제거하고 지속적인 검증을 강제하는 표준을 제정하고, 민간 기업에도 세제 혜택 등을 통해 확산시켜야 한다.

넷째, 공공기관의 보안 인력과 예산을 ‘국가 기준’으로 재설계해야 한다. 기관 간의 예산 편차를 없애고 ‘국가 최소기준 보안예산’을 도입해야 한다. 이를 디지털 인프라형 기업과 공공기관에 권고해 필수 보안 패치조차 예산·인력 부족으로 지연되는 구조를 끊어야 한다.

다섯째, 사이버 사고가 발생한 디지털 인프라형 기업에 대한 ‘신속 대응 체계’를 구축해야 한다. 사고 조사와 처벌 위주에서 벗어나 실시간 대응과 기술 지원을 포함한 국가 차원의 사고 대응 프로세스를 표준화해 피해와 혼란이 경제 전반으로 번지는 것을 막아야 한다.

우리나라의 디지털 경쟁력은 세계 최고 수준이지만, 보안 인프라는 그 속도를 따라가지 못한다. 민간과 공공의 주요 국가 자산이 디지털 공간으로 이동한 지금, 사이버 보안은 단순한 정보기술(IT)의 문제가 아니라, 경제안보이자 국민의 생명과 직결된 생활안전의 문제다. 지금 이 순간의 결단이 대한민국의 향후 10년과 국민의 평온한 일상을 지키는 가장 강력한 방패가 될 것이다.