서울대병원의 벌금과 사이버 보안 이슈

김송현

2024년 4월 30일

작년 9월 글로벌 카지노 리조트 운영사 ‘MGM리조트 인터내셔널’은 랜섬웨어 공격으로 1.1억 달러에 달하는 피해를 입었습니다. 그러나 피해 비용을 전액 충당할 수 있었는데요. 그 이유는 바로 최대 2억 달러를 보장하는 사이버보험을 들었기 때문입니다. 적게는 월 수백만원, 많게는 월 수억원에 달하는 보험료를 지불한 보상이었습니다.

해킹 등 사이버 공격의 횟수와 강도가 강해지면서 글로벌 기업들의 사이버보안(사이버시큐리티)에 대한 수요도 크게 늘고 있습니다. 사이버보안은 조직 운영에서 반드시 고려해야 하는 필수 체크리스트에 들어가게 됐습니다. 이에 사이버보안 시장 규모도 급속도로 커지고 있는데요. 사이버보안 시장의 하위 시장인 사이버보험 시장 규모 역시 2020년 70억 달러에서 2022년 130억 달러로 2년 동안 2배 가까이 증가했습니다.

하지만 국내 사이버보안 시장은 여전히 작습니다. 2022년 국내 사이버보험의 보험료 총합은 약 112억원으로 글로벌 사이버보험 시장 규모의 0.1%에도 미치지 못했습니다. 단지 보험만 부족한 게 아니라 국내에는 사이버보안 역량을 갖춘 기업이 무척 드뭅니다. 국내 기업의 52%가 사이버보안을 위한 충분한 인력을 보유하지 못했단 조사도 있으며, 국내 기업 중 4%만이 사이버보안을 막아낼 역량이 있단 조사도 있는데요.

더 큰 문제는 사이버보안이 단순한 '잠재적 위협'이 아니라, 기업에게 '실질적 피해'를 이미 입히고 있단 것입니다. 클라우드플레어의 작년 9월 조사에 따르면, 조사 시점으로부터 지난 1년 동안 응답 기업의 61%는 사이버 공격을 당한 바 있으며 72%는 100만 달러(약 13억 원) 이상의 피해를 입었다고 답했습니다.

그렇다면 의문이 생깁니다. 국내 기업은 사이버공격에 대해 ▲이미 실질적 피해를 수차례 입어왔고 ▲그것에 제대로 대응할 역량도 부족한데도 왜 국내 사이버보안 시장은 충분히 크지 못하고 있을까요? 기업의 자체적인 사이버보안 역량이 부족할뿐만 아니라, SaaS나 아웃소싱의 형태로 기업들에게 사이버보안을 제공하는 국내 스타트업도 딱히 떠오르지 않습니다.

이 글에선 국내 사이버보안 시장이 충분히 크지 않은 상황의 원인을 살펴봤습니다. 1) 우리나라는 사이버보안 역량 자체가 부족하기 때문 2) 해외 사이버보안 기업들이 이미 국내 시장을 점령했기 때문 3) 국내 기업들은 사이버보안에 별 관심이 없기 때문이란 세 가지 원인이 있다고 추측해봤습니다.

역량: 상위권 ('사이버안보'에 가깝긴 하지만...)

먼저 살펴볼 것은 국내 사이버보안 기술력이 과연 뒤떨어졌는지에 관한 문제인데요. 우리나라의 사이버보안 역량이 다른 국가에 비해 뒤떨어진다고 보긴 어렵습니다. 북한과의 긴장 관계로 인해 국가 차원에서 사이버보안에 관심을 가지고 투자를 아끼지 않았기 때문입니다. VPN 기업 'ExpressVPN' 조사에 따르면 우리나라는 사이버보안 강국으로 분류되기도 합니다. 우리나라는 시장 가치를 바탕으로 매긴 국가별 사이버보안 시장 순위에선 8위를, 국가 예산 등 사이버보안에 대한 투자액 규모 순위에선 10위를 기록했습니다.

다만 국방과 안보 분야에 대한 투자가 많기 때문에 기업향 사이버보안 역량은 생각보다 크지 않을 수 있습니다. 즉, '사이버보안' 역량이 뛰어나다기 보단 '사이버안보' 역량이 뛰어나다고 볼 여지가 있습니다. 하지만 이를 감안하더라도 우리나라의 사이버보안 기술력은 국내 사이버보안 시장의 수축으로 이어질만큼 뒤떨어지진 않았음을 알 수 있습니다.

글로벌 경쟁력: 점차 벌어질 수 있어

두번째로 살펴볼 원인은 국제적인 경쟁력에 관한 것입니다. 해외 사이버보안 기업들이 국내 시장을 이미 선점했기에, 국내에선 사이버보안과 관련한 스타트업 등이 등장하기 어려울 수 있단 예측인데요.

확실히 글로벌 경쟁력에선 해외 기업에 비해 국내 기업들이 부족해 보이는 게 현실입니다. 특히 국내는 사이버보안 관련 스타트업을 찾아보기가 정말 힘든데요. 문화나 언어, 지리에 따른 접근성 문제로 국내 기업이 해외에 진출하기 어렵단 걸 감안해 국내 시장만 본다고 해도, 이렇다 할 사이버보안 기업을 찾긴 어렵습니다. 반면 이스라엘의 경우 두각을 나타내는 스타트업의 다수가 사이버보안 스타트업입니다.

이스라엘은 우리나라와 비슷하게 주변국가들과 긴장 상태에 놓여 있습니다. 이란 등 인접국의 사이버공격 위협을 받고 있으며, IT 산업이 꽤나 발전했단 점 등 우리나라와 공통점이 많습니다. 하지만 우리나라와 달리 이스라엘은 2019년 이후 500만 달러 이상 투자를 유치한 사이버보안 스타트업만 십여 개가 넘습니다. 특히 코드, 클라우드 보안 스타트업인 Jit의 경우엔 시드 단계에서만 3,900만 달러 규모의 투자금을 유치하기도 했습니다.

중국의 기세도 무섭습니다. 작년 9월 기준 세계 사이버보안 특허 보유 건수 상위 10개 기업 중 6개가 중국 기업이었습니다(참고로 국내 기업 중 10위 안에 든 기업은 삼성전자(5위) 1곳이었습니다). 대기업 위주이며 중국 외의 시장에선 별 경쟁력이 없어 보이지만, 중국 기업들의 행보가 '표준 필수 특허 선점'에 집중됐단 점은 국내 기업들에게 문제가 될 수 있습니다. 국내 기업이 사이버보안 역량을 기르려 해도 특허 출원에 어려움을 겪거나, 거액의 라이센스비를 지불해야 할 수 있기 때문입니다.

다만, 위의 문제들은 국내에 이렇다 할 사이버보안 기업이 부족한 원인이라고 보긴 어렵습니다. 오히려 국내 사이버보안 시장이 작다는 문제로 인해 발생한 어떤 결과에 가깝습니다. 위 문제들이 해결되지 않을 경우 장기적으로 국내 기업들의 사이버보안 역량이 점차 약해질 순 있습니다.

문제의식의 부재: '털려도 괜찮다'?

마지막으로 살펴볼 원인은 국내에 만연한 '사이버보안에 대한 경각심 부족'입니다. 아마도 국내 사이버보안 시장의 가장 크고도 근본적인 문제가 아닐까 합니다. 애초에 '털려도 괜찮다'는 마음 가짐을 가지고 있고, 실제로 괜찮기 때문인데요. 사이버 공격을 당해서 피해가 발생해도 기업이 입는 피해보다 고객이 입는 피해가 더 크며 이를 바로잡기 위한 규제나 처벌이 부족합니다.

해외 기업들이 사이버보안에 신경쓰는 가장 큰 이유는 규제와 신뢰 때문입니다. 미국 등 해외 기업들은 사이버공격에 대해 안일한 대응을 보일 경우 국가로부터 큰 제재를 받습니다. 고객의 개인정보를 지켜야 할 의무를 다하지 않았기 때문입니다. 따라서 사이버보안에 구멍이 생겨 과태료를 지불하거나 고객에게 보상금을 지불하게 될 일이 생길 경우, 기업 입장에선 재정적으로나 이미지적으로나 큰 타격을 입게 됩니다.

반면 국내에선 사이버보안 관련 제재가 그리 강하지 않습니다. 2021년 서울대병원의 경우 해킹으로 인해 다량의 의료정보를 유출 당한 바 있습니다. 의료기록 등 굉장히 민감한 개인정보가 유출된 만큼 재발을 막기 위한 후속조치가 반드시 필요해 보였습니다. 이에 교육부와 국정원이 합동으로 사이버보안 취약점을 개선하라고 요구했으나 아직까지도 서울대병원은 취약점 개선에 별 다른 노력을 하지 않고 있습니다. 벌금 수천만원을 지불한 게 전부라고 봐도 무방할 정도입니다.

서울대병원이 별다른 후속조치를 취하지 않을 수 있던 건, 그러지 않아도 됐기 때문입니다. 벌금 외에 별 규제가 없고 국내에서도 개인정보에 대한 민감도가 별로 높지 않다보니 조용히 무마하면 그만이기 때문입니다.

이 때문에 국내 기업들은 사이버보안에 큰 지출을 하길 꺼립니다. 공격을 당해도 실제로 자사가 보는 피해가 그리 크지 않은 반면, 사이버보안을 강화하기 위해선 적지 않은 비용을 지불해야 합니다. 따라서 국내 사이버보안 시장이 커지기 위해선 "사이버공격에 의해 우리 회사가 크게 흔들릴 것"이란 경각심이 생겨야 합니다. 그러한 인식이 없다 보니, 스타트업이나 기존 기업이 사이버보안 솔루션을 개발해도 수익성이 나오지 않고 그러다 보니 사이버보안에 대한 추가 투자가 일어나지 않는 악순환이 발생합니다.

아마 이 문제는 단기적으론 해결되기 어려워 보입니다. 정부 차원에서 기업이 사이버보안 역량을 일정 수준 이상으로 갖출 것을 강제해도, 초기에는 기업들이 그에 대한 비용을 보수적으로 지출할 가능성이 높습니다. 사이버보안 솔루션을 공급하는 국내 기업도 그에 맞춰 가격을 결정해야 할 텐데, 그럴 경우 충분한 수익을 얻기 어렵습니다. 따라서 이미 충분한 규모가 갖춰져 낮은 가격 혹은 압도적으로 뛰어난 성능의 사이버보안 솔루션을 제공할 수 있는 해외 사이버보안 기업에게 국내 시장을 선점당할 수 있습니다.

이처럼 국내 사이버보안 시장은 문제의식의 부재로 인해 충분히 크지 못하고 있으며 정부 주도로 사이버보안 역량 강화가 의무화된다고 해도 그에 따른 부작용이 생길 가능성이 큽니다. 그럼에도 사이버보안에 관한 규제와 국내 역량 개발은 최대한 빠르게 시작되는 게 좋아 보입니다. 다소 뒤쳐진 감은 있지만 여전히 국내 사이버보안 기술력은 세계 무대에서도 충분히 경쟁할 수 있는 수준입니다. 그렇기에 초기에 해외 기업이 국내 시장에 들어온다고 해도 대기업을 중심으로 그들과 경쟁하며 시장을 충분히 크게 형성할 수 있다면 장기적으론 다양한 규모의 기업들도 시장에 진입할 수 있지 않을까 합니다.