최근 SK텔레콤·쿠팡 등에서 잇따라 발생한 대형 보안 사고는 더 이상 '개별 기업의 해킹 사건'으로 설명될 수 없다. 이미 공공 인프라이자 사회재에 준하는 지위를 가진 통신과 결제·금융 영역에서 반복되는 침해는 단순한 정보 유출이 아니다. 사회의 신뢰 시스템이 균열하고 있다는 경고다.
문제의 본질은 기술이 아니다. 핵심은 권한과 데이터가 소수의 플랫폼에 과하게 집중된 구조다. 통신사는 본인인증의 출발점이며 카드사는 결제뿐 아니라 개인의 소비·신용 이력을 독점한다. 이 구조에서 한 지점이 무너지면 신원도용·피싱·금융사기·행정 혼선으로 피해가 연쇄 확산한다. 해킹이 '증폭기'를 만나는 순간이다.
더 심각한 건 이런 사고가 대부분 장기간 방치되거나 축소 공시됐다는 점이다. 보안 역량보다는 경영 판단의 문제다. 보안이 비용으로 인식되고, 사고는 리스크 관리가 아니라 홍보·법무의 영역에서 다뤄진다. 그 결과 기업은 시간을 벌지만 사회는 신뢰를 잃는다. 신뢰의 손실 비용은 결국 소비자와 시장이 떠안는다.
이번 연쇄 보안 사고는 디지털 경제의 '숨은 취약성 프리미엄'을 드러낸다. 투자자와 이용자는 이제 기업의 재무제표만 보지 않는다. 기업 가치에 보안 사고 이력, 내부통제 문화, 위기 대응 태도가 반영된다. 글로벌 시장에서는 이미 보안과 거버넌스가 결합된 평가가 일반화되고 있다. 한국 기업들이 반복적으로 사고를 내고도 구조를 바꾸지 않으면 평판 하락을 넘어 국가 디지털 경쟁력의 할인 요인이 된다.
정책 대응도 날카롭게 짚어봐야 한다. 사고가 날 때마다 과징금과 처벌 수위를 높이는 방식은 정치적으로는 쉬워 보이지만 구조를 바꾸지는 못한다. 문제는 '얼마나 세게 벌할 것인가'가 아니라 '어떤 수준의 안전을 사회가 요구하는가'이다. 통신·결제·금융 인프라는 이미 공공적 성격을 띤다. 최소 보안 기준과 책임의 수준도 걸맞게 재설계돼야 한다.
기업 경영진의 인식 전환은 더 이상 선택이 아니다. 보안은 IT 부서의 업무가 아니라 이사회와 CEO(최고경영자)의 의사결정 결과물이다. 투자 우선순위, 외주 구조, 내부 보고 체계, 사고 공시 기준이 모두 보안 수준을 결정한다. 사고 이후의 사과문은 브랜드를 지키지 못한다. 사고를 은폐하지 않는 구조만이 브랜드를 지킨다.
이번 사태는 시민에게도 불편한 질문을 던진다. 우리는 그동안 편리함과 속도를 위해 얼마나 많은 권한과 정보를 무비판적으로 넘겼는가. 다만 개인의 주의만으로는 문제를 해결할 수 없다. 이미 위험의 규모와 속도는 개인의 통제를 넘어섰다. 그래서 이 문제는 제도와 기업의 책임이다.
독자들의 PICK!
선택지는 분명하다. 반복되는 해킹을 '어쩔 수 없는 사고'로 소비할 것인가, 아니면 디지털 사회의 기본 계약을 다시 쓰는 계기로 삼을 것인가.
신뢰가 한번 무너지면 회복 비용이 기하급수적으로 커진다. 지금 구조를 바꾸지 않으면 다음 사고는 더 큰 사회적 비용과 규제 충격으로 돌아올 것이다. 디지털 인프라의 안전은 더 이상 기업 내부 문제가 아니다. 시장의 신뢰, 국가의 경쟁력, 그리고 사회의 지속 가능성을 가르는 기준이다.
