정보보호의 날인 지난 7월 9일 박근혜 대통령은 영상 메시지를 통해 “정부는 국민의 삶을 보다 안전하게 지키기 위해 산학연 협력을 통해 전문인력을 양성하고, 불합리한 제도 개선과 기반 기술 개발을 지원해 정보보안 산업을 신성장 동력으로 육성할 것”이라고 밝혔다. 박 대통령은 또 “우리 사회는 지금 사람과 사물 데이터 등이 서로 인터넷으로 연결되는 초연결사회로 진입하고 있다”면서 하지만 “개인정보 유출과 사이버 테러와 같이 새롭게 등장한 위험 요소들은 개인과 기업, 나아가 국가의 안전마저 크게 위협하고 있다”고 지적해 보안투자를 강화할 의지를 비쳤다. 이 때문에 국내 보안업체들의 주가는 일시적으로 급상승했다.

그러나 지난 상반기 보안업체들이 보여준 실적은 ‘실망’ 그대로다. 안랩을 제외하고는 대부분 이익이 줄었거나 적자로 전환됐기 때문이다. 소프트포럼의 경우 영업이익은 급감했으나 지분법 평가이익 때문에 겨우 순이익이 늘어난 것으로 비춰졌을 뿐이다.

이익이 늘어났다지만 국내 최대 보안업체로 꼽히며 대주주를 대선 후보로까지 냈던 안랩의 매출은 초라하기 짝이 없다. 상반기 635억원으로 전년보다 고작 3% 늘었을 뿐이다. 국내 최대 인터넷 업체인 네이버가 상반기에만 6948억원 매출에 1715억원의 순이익을 낸 것에 비하면 빈약하기 짝이 없는 수준이다. 정보보안 업체의 매출을 다 더해도 최대 물리보안 업체인 에스원의 상반기 매출 8204억원의 4분의 1을 겨우 넘는 수준이다.

정보보안 업체를 이처럼 홀대하니 온 나라의 개인정보가 팔려나가고 청와대 국정원까지 해킹되는 것은 어찌 보면 당연한 결과라고 할 수 있다. 보안을 팔아 먹고살기보다 해커로 먹고살라고 재촉하는 것이나 다름없다고 할 수 있다.

국내 정보보안업체들의 실적이 이처럼 형편없는 것은 이들의 목줄을 쥐고 있는 정부는 시장을 키울 생각을 하지 않고 민간 기업들은 당장 눈앞의 실적에 급급해 보안 투자를 꺼리기 때문이다.

한 보안업계 관계자는 “매출 비중이 큰 공공부문 예산이 줄어들고 있다. 장기적으로 강화될 전망이란 데 기대를 할 뿐이다”고 했다.

실제 안전행정부의 올해 정보보호 관련 예산은 2211억5800만원으로 2013년의 2333억4400만원보다 121억8600만원이 줄었다. 정보보호체계강화(정보화) 단위 사업의 2014년 예산 또한 106억2400만원으로 2013년의 125억5100만원에 비해 19억 2700만원이 감소했다.

정부가 이러니 공공기관도 마찬가지다. 2316개 공공기관 중 개인정보보호 관련 예산이 확보되지 않은 기관은 52.1%로 과반수를 차지했다. 예산을 확보한 공공기관도 평균 규모는 1억3900만원에 불과했다. 이걸로 집요하게 파고드는 해커를 막아보라는 것이다.

정부가 이 정도니 눈앞의 이익에 치중하는 기업들의 사정은 말할 것도 없다. 또 다른 보안업계 관계자는 “개인정보 유출이나 디도스 공격 등 보안 이슈가 계속 터지고 있지만 워낙 동시다발적으로 터지다보니 기업들은 어찌할 바를 모르고 있다. 동시에 모든 걸 다 하기엔 비용부담이 커 무엇을 먼저 해야 할지 고민하는 상황”이라고 설명했다.

결국 내수에만 올인하는 업체들은 정부에 휘둘릴 수밖에 없는 형국이다. 윈스나 이글루스큐리티 등은 수출시장 개척에 나섰지만 아직 성과는 크지 않다. 윈스는 그나마 한일관계 악화로 최근 개발한 신제품 판매가 지연되면서 올 상반기 실적이 급감했다.

기업들의 정보보호 투자가 미미한 것은 개인정보가 유출되더라도 책임질 필요가 없도록 만든 당국의 무관심 때문이다.

미국의 소매업체 체인 타깃은 지난해 고객정보 유출 사고를 냈는데 6개월 전에 발견됐던 것을 해당 부서가 적절한 조치를 취하지 않았다는 이유로 천문학적 벌금을 물게 됐다. 해커들은 타깃의 POS시스템을 해킹해 신용카드 번호 4000만 건, 회원 주소와 전화번호 등을 포함한 개인정보 7000만 건을 빼내간 것으로 알려졌다. 이 회사는 APT 방어 솔루션 전문기업 파이어아이가 공격을 인지하고 회사 측에 통보했는데도 대응을 하지 않아 3조8000억원에 달하는 벌금을 물게 됐고 46%의 매출 감소를 겪어야 했다.

이에 비해 한국 방송통신위원회는 올해 초 980만명의 개인정보 유출 사고를 일으킨 KT에 대해 고작 8500만원의 벌금을 매기기로 결정했다. 이 정도 벌금이면 보안 강화에 투자하는 것보다 훨씬 싸니 보안투자를 하는 회사가 바보라고 할 수 있다.

카드사에 대한 조치도 솜방망이 처벌 수준이다.

올해 초 1억400만 건의 정보를 유출한 국민, 농협, 롯데 등 카드 3사와 관련해 감사원은 금융감독원의 감독 소홀에 문제가 있다며 2명을 징계하라고 요구했다.

이에 앞서 금융감독원은 카드 3사에 대해 고작 3개월 일부 업무 정지와 600만원의 과태료를 매기는 것으로 징계를 했다. 그나마 고객 편의 명목으로 현금서비스 등 상당수 업무를 허용했고 다른 카드사들이 이들 카드사의 회원들을 빼가지 못하도록 보호막까지 쳐줬다.

이렇게 솜방망이 처벌을 하다 보니 카드 3사의 정보보호 대책은 아직도 지지부진하다는 게 업계 소식통의 분석이다. 결국 개인정보를 강탈당한 개인들은 민사소송으로 손해배상을 요구하고 있으나 이 또한 제대로 이뤄질지 미지수다.

정부가 이처럼 철저히 업계 보호에 집중하다보니 업계는 정보보호 투자에 인색할 수밖에 없다. 보안뉴스가 공공기관 및 기업의 보안담당자, 개인정보 보호책임자 911명을 대상으로 ‘지난해와 비교했을 때 귀사의 올해 개인정보 보호(보안) 관련 예산 규모를 묻는 질문에 ‘지난해보다 소폭 증가했다’는 응답이 40.3%나 됐다.

공인인증서는 보안 프로그램이 아니다 올해 초 국회에선 증권사의 HTS를 해킹하는 공개 행사가 열렸다. 이날 해커는 2개 계좌를 만들고 공격 대상자의 HTS 아이디와 패스워드, 공인인증서, 공인인증서 비밀번호, 계좌번호 등을 APT(지능형지속위험) 공격으로 탈취한 뒤 HTS에 접속했다. 또 계좌를 변조해 주식을 탈취하거나 매입 매도까지 했다. HTS를 해킹할 수 있음을 공개적으로 보여준 것이다.

많은 금융거래자들이 공인인증서를 이용하면 자신의 정보가 완전히 보호되는 것으로 착각한다. 금융기관들 역시 공인인증서를 채택했고, 보안카드가 있다는 것만으로 보안이 완벽한 것으로 착각하고 있다.

그렇지만 공인인증서는 금융 거래자를 보호하기 위한 수단이 아니다. 금융기관이 거래하는 개인이 거래를 안했다고 ‘오리발’을 내밀지 못하게 막는 전자도장 같은 것이다. 정보 용어로는 전자상거래에서 업체들을 보호하기 위해 만든 ‘부인방지’ 프로그램으로 금융기관 보호 수단이다. 현재 금융결제원과 한국정보인증 등 4사가 공인인증을 하고 있다.

많은 금융기관들이 공인인증서를 보안 프로그램의 하나로 여기고 새로운 보안투자를 게을리하고 있다. 이 때문에 보안업계의 먹거리가 별로 없다. 공인인증서 출범 초기엔 그 자체가 보안업체의 좋은 상품이었지만 이제는 오히려 추가 성장을 가로막는 애물단지로 전락했다고 할 수 있다.

[정진건 기자]

[본 기사는 매일경제 Luxmen 제48호(2014년 09월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]