SK텔레콤을 시작으로 한 해킹 사건으로부터 1년이 지난 후에도 금융 및 유통 분야를 포함한 다양한 분야에서 크고 작은 해킹 사건이 계속되고 있다. 사회적으로 정보보호에 대한 경각심이 높아졌음에도 불구하고, 정부와 기업은 보안 시스템에 '제로트러스트(아무도 믿지 않는다)' 개념을 적용하여 보안을 강화하고자 한다.
작년 4월 18일부터 SK텔레콤을 시작으로 KT, LG유플러스 등 통신 3사와 롯데카드, 쿠팡 등에서 대규모 고객정보 유출 사고가 발생했으며, 이에 따른 대책이 아직도 진행 중이다. 이러한 사건으로 인해 통신 3사의 고객정보 유출 사고가 발생한 것은 충격적이었고, 롯데카드와 쿠팡의 사례는 특히 큰 파장을 일으켰다.
해당 사고 이후, 통신 3사는 최고 정보보호책임자(CISO)를 최고경영자(CEO)에 직속시켰으며, 총 2조4000억원의 정보보안 투자 강화 계획을 발표했다. 또한, 쿠팡은 최고기술책임자(CTO) 아래의 정보보안단을 CEO 직속 정보 보안실로 격상시켰다.
전문가들은 제로트러스트 개념을 토대로 한 차세대 보안 패러다임을 받아들여야 한다고 강조하며, 시스템 설계부터 제로트러스트 원칙을 고려한 보안성 검증이 중요하다고 설명한다. 이를 위해 현재의 상황은 AX 투자에 최적의 타이밍이라고 전문가들은 조언하고 있다.
고려대학교 정보보호 대학원의 이경호 교수는 "통신사들이 AI를 활용하여 통신 효율을 높이고, 제로트러스트 원칙을 적용한 보안을 강화하고 있다"며, "기업 시스템과 조직이 AI로 개편되면서 보안을 강화하면 경쟁력을 향상시킬 수 있다"고 말했다.
반복되는 사이버 공격으로부터 방어하고 책임을 물을 뿐만 아니라, 지속적인 개선책을 마련하고 사고가 발생할 때 함께 고민하는 생태계 조성이 필요하다는 의견도 있다. 정보보안 투자를 유도하는 인센티브와 빠른 취약점 공유 및 대응을 위한 체계 구축이 필요하다는 것이다.
경희대학교 컴퓨팅공학부의 박철준 교수는 "현재의 정부 제도는 보안 사고 이후 책임을 묻는 데 집중하고 있지만, 취약점을 찾고 개선하는 노력을 장려해야 한다"며, "보안 개선 노력과 적극적인 버그 바운티 운영, 사고 이후 2차 대응을 잘 수행한 기업에 대한 인센티블을 고려해야 한다"고 요구했다.