국내 주요 기업들을 겨냥한 해킹 사건이 잇따르면서, 보안이 더 이상 '사후 대응'으로는 감당할 수 없는 리스크로 부상하고 있다.

18일 <메트로경제신문> 취재를 종합해보면 일부 기업에서는 이번 사태로 허술한 보안 체계가 드러났으며, 수습 과정에서 막대한 비용이 발생해 충격을 주고 있다.

실제로 최근 몇 달 사이 발생한 주요 해킹 사례만 봐도, 기업 보안의 허술한 현실이 고스란히 드러난다. 지난 4월에는 SK텔레콤의 HSS 서버가 해킹당해 고객 정보가 유출됐고, 이달 초에는 예스24가 사이버 공격으로 닷새간 웹사이트가 마비되는 피해를 입었다.

예스24는 특히 기술지원이 종료된 윈도 운영체제(OS)를 일부 서버에 계속 사용해 온 것으로 확인됐다. 서버용 OS는 일반적으로 리눅스를 사용하며 주기적으로 교체하는 것이 관행이지만, 예스24는 이를 방치하면서 치명적인 보안 취약점을 노출시킨 셈이다.

SK텔레콤은 유심(USIM) 관련 고객 정보 유출 사고 이후 전체 가입자 2500만명을 대상으로 무상 유심 교체를 시행했으나, 사고 발생 한 달 만에 45만명의 가입자가 이탈했다. 유출 정보를 활용한 피싱과 스미싱도 이어지며 2차 피해 우려도 크다.

보안업계 관계자는 "많은 기업들이 여전히 보안을 비용으로만 인식하고 있다"며 "기술지원이 끝난 시스템을 방치하거나 외부 침입 점검을 소홀히 하는 경우가 많아 더 큰 피해는 시간문제"라고 말했다.

SK그룹은 이번 사태를 계기로 외부 전문가가 참여하는 '정보보호혁신특별위원회'를 그룹 최고 의사협의기구인 수펙스추구협의회 산하에 설치하기로 했다. 보안 업계는 최고 의사기구 산하에 보안 전담 위원회가 마련된 점에 주목하며, 기업 보안 인식에 전환점이 될 수 있다고 평가했다.

그러나 한편에선 여전히 '소 잃고 외양간 고치기' 수준에 머물러 있다는 지적도 나온다. 과기정통부와 KISA가 발표한 '2024년 정보보호 공시현황'에 따르면, 정보보호 공시를 진행한 746개 기업의 평균 투자액은 29억원, 평균 전담인력은 10.5명으로 전년 대비 증가했지만, 기업 28%는 오히려 예산을 줄였다고 응답했다.

한 보안담당자는 "예산이 늘어난 건 맞지만 외산 제품 비용 등이 반영된 결과일 뿐 실질적 증액은 아니다"라고 말했다. 또 다른 보안 책임자는 "채용 후 일정 수준이 되면 더 나은 조건을 찾아 이직하는 경우가 많아 남은 인력에 과부하가 걸리고 있다"고 밝혔다.

현행 정보보호 최고책임자(CISO) 제도의 실효성 부족도 반복적으로 지적된다. 대부분 계약직으로 선임되고 실질적 권한은 없으며, 책임만 지는 구조가 지속되며 선임 자체를 꺼리는 분위기가 형성되고 있다.

정부의 보안 가이드라인 역시 현장에서 실효성 논란에 직면하고 있다. 제로 트러스트, 망분리 완화 정책 등이 발표되었지만, 이를 실제로 적용하기엔 인력과 역량이 부족하다는 것이다.

그러나 해킹 사태가 연달아 일어나면서 보안에 대한 관심이 커지기도 했다. 과기정통부와 KISA가 실시한 '2025년 상반기 사이버 위기 대응 모의훈련'에는 역대 최대 규모인 688개 기업, 총 25만5765명이 참여했다. 평균 3.3건의 보안 취약점이 발견됐고, 205개 기업 중 10곳에서는 고위험 취약점이 확인됐다. 이는 기업들의 보안 인식이 실제로 변화하고 있다는 징후로도 해석된다.

최우혁 과기정통부 정보보호네트워크정책관은 "침해사고는 기업의 규모나 업종과 관계없이 발생할 수 있다"며 "모의훈련을 통해 정보보호 체계를 지속적으로 점검하고, 보안 인식을 제고하는 것이 무엇보다 중요하다"고 강조했다.