‘메르스 병원 및 환자 리스트입니다.’ ‘메르스 빨리 확인해주세요.’
메르스(MERS·중동호흡기증후군) ‘4차 감염’ 가능성이 제기되면서 메르스 공포가 사그라지지 않고 있다. 화제 거리를 악용하는 ‘스미싱’ 역시 메르스를 놓치지 않고 써먹었다. 공포, 호기심을 부르는 메시지를 담아 사용자가 악성 코드를 내려받도록 유도하는 전형적인 수법. 공교롭게도 ‘메르스 스미싱’ 등 사이버 공격에 대한 대응책이 메르스 대응법과 닮아 더욱 눈길이 간다.
지난 13일 한국-WHO(세계보건기구) 합동평가단은 한국 정부의 메르스 초기 대응 실패와 관련 “투명하고 신속한 정보 공개가 제일 중요했는데 이 부분이 실패한 원인 중 하나”라고 평가했다.
정보 공개가 위기 대응의 첫 단추라는 의미다. 사이버 공격도 마찬가지다. 공동 대응이 중요하기 때문이다. 문제는 국내에 그 공유 네트워크가 여전히 탄탄하지 않다는 점.
세계 금융 보안전문가는 국내 금융권 보안 취약점에 대해 “해커의 공격에 대해 공동 대응하는 금융사 간 협력의식이 부족하다”고 답했다. 일반 기업도 다르지 않다. 국내 한 보안전문가도 “보안 능력이 안 돼서 알지 못하는 경우가 허다하고, 알아도 쉬쉬하고 넘어가려는데 급급한 경우 많다”고 설명했다.
메르스 초기 대응 실패를 보면서 사이버 보안 분야 전문가들이 ‘남 일 같지 않다’고 느끼는 이유다. 여러 차례 사이버 공격 경험에도 여전히 기업 보안 투자는 늘지 않고 있고, 보안 투자를 유도하는 법적 책임 부과, 제재도 약하다.
신뢰가 무너져 공포를 낳은 결과가 지금이다. 12년 전 질병관리본부가 만들어졌어도 지금은 제 역할을 못 하고 있다. 단숨에 도달할 수 없다. 시민의식, 합리적인 거버넌스 체계 등이 꾸준히 개선돼야 한다.
사이버 보안도 그렇다. 한 번 터지면 반짝하는 사이버 보안에 대한 관심으로는 안전한 사이버 세상에 도달할 수 없다. 지난해 말 한국수력원자력 사태 이후 관심에서 다시 멀어진 것은 아닌지. 이 또한 시민, 기업, 정부 등이 꾸준히 물을 주고 키워야 할 분야다.