"그냥 5억 뜯길게"…해킹 사실 정부에 알리면 회사가 순식간에 망한다[이 책 어때]

아시아경제 기자들이
파헤친 기업의 사연들
수천만원 과태료에도
숨길 수밖에 없는 中企
막대한 타격에 고민

서비스업 불이익 더 커
"해커와 타협 말라"는 정부
자료 요구·'주홍글씨' 낙인
전직 관련 공무원도 인정
사이버보험 세액공제 등
기업 목소리도 귀 기울일 때

지난 3월 지방의 한 반도체 부품 중소기업이 랜섬웨어 공격을 받았다. 84㎡ 크기의 작은 사무실을 지키고 앉아 있던 대표는 당시를 "내 인생 최악의 순간이었다"고 회상했다. 해커가 요구한 금액은 4비트코인, 시세로 약 5억원으로 직원 10명의 연봉에 해당하는 규모였다. 그는 망설일 수밖에 없었지만, 3년간 공들여 준비해온 창립 이래 최대 투자 프로젝트를 앞둔 상황에서 해킹 피해 소문은 반드시 막아야 했다. 결국 정부에 신고하는 대신 해커에게 비트코인을 지급하고 복구키를 받았다. 그는 "돈 5억 때문에 평생 바쳐 일궈 온 회사의 운명을 걸 수는 없지 않느냐. 지금도 해킹 사실이 외부에 알려지는 악몽을 꾼다"고 말했다.

게티이미지뱅크

해킹 피해 사실을 관계 당국에 신고하지 않으면 최대 3000만원의 과태료를 물어야 한다. 그럼에도 기업들이 위험을 감수하고 피해를 숨기는 이유는 무엇일까. 이 책은 피해자가 '피해자임을 감추는' 현실을 아시아경제 세 기자가 집요하게 파헤친 기록이다.

기업들이 해킹 피해 사실을 극구 숨기는 이유는 '주홍글씨' 같은 낙인 때문이다. 해킹 사실이 알려지는 순간 기업은 막대한 타격을 입는다. 보안 전문가들은 "신고해서 얻는 이득보다 불이익이 훨씬 크다"고 진단한다. 특히 소비자와 직접 마주하는 서비스 업종은 피해 규모가 더 크다. 신고하는 순간 언론 노출은 물론 상장사의 경우 주가 하락까지 감수해야 한다.

더 큰 문제는 이런 부담을 감수하더라도 본질적인 해결이 어렵다는 점이다. 신고하더라도 한국인터넷진흥원(KISA)은 "해커에게 절대 돈을 지불하지 말라"는 지침만 되풀이할 뿐, 데이터 복구나 협상 과정에서는 실질적 도움을 주지 못한다는 게 현장의 공통된 목소리다. 해킹으로 대응이 벅찬 와중에도 방대한 자료 제출 요구에 응해야 하고, 대기업의 경우 과기정통부·국정원 국가사이버안보센터·대통령실 등으로 직보돼 국가정보백서에 불명예스럽게 이름이 오르기도 한다.

전직 관련 부처 공무원 역시 기업의 신고 기피 현상을 "당연한 결과"라고 말한다. "우리나라 기업들은 밥 먹듯이 해킹당해요. 그런데 열에 아홉은 신고를 안 해요. 왜냐고요? 신고하는 순간 '우리 회사 해킹당했다'는 소문이 나고 기업 신뢰도는 바닥으로 떨어지니까요. 정부에 신고해도 도움이 되는 게 하나도 없어요. 자료 내라, 보고하라, 서류 작업만 늘어나죠. 저라도 신고 안 해요. 절대 안 해요."

피해 기업이 정부 대신 찾는 곳은 해커와의 협상을 담당하는 협상가들이다. 저자들과 마주한 협상가 A씨는 2년 전 바이오 기업과 해킹범 사이의 협상 사례를 들려준다. 당시 해커는 15비트코인(당시 약 5억6000만원)을 요구했지만, A씨는 약 9비트코인(3억4000만원)까지 낮춰 협상을 성사시켰다. 그는 "해커들도 협상을 고려해 가격을 1.5~2배 높게 부른다. 협상은 웬만하면 가능하지만 해커가 기업 정보를 훤히 파악하고 있어 큰 폭의 흥정은 어렵다"고 말했다. A씨는 깎아낸 금액의 30%를 수수료로 가져갔다.

그러나 협상가 역시 무조건 신뢰하기 어렵다. 협상 과정에서 금액 일부를 빼돌리거나 해커와 결탁해 기업의 돈을 가로채는 사례도 있다. 실제로 2020년 서울의 한 물류 IT 업체에서 협상팀이 원래 요구액 6비트코인에서 5.5비트코인으로 낮춘 사실을 피해 기업에 알리지 않고 차액을 착복한 사례가 적발되기도 했다. 피해 기업으로선 누구도 믿기 어려운 암울한 상황인 셈이다.

저자들은 이런 현실을 촘촘히 기록하며 해킹 피해 기업들이 피해 사실을 숨길 수밖에 없는 배경을 깊게 들여다본다. 정부의 관련 통계에서도 기업들의 불신이 드러난다. 정부가 발표한 '2024 정보보호 실태조사'에 따르면 중소기업의 신고율은 4.1%, 중견기업 이상은 6.5%에 그친다. 반면 소기업의 신고율은 표본 기업 2곳 모두가 '신고했다'고 답해 100%로 나타났는데, 이는 표본 규모가 극히 적어 발생한 통계상의 착시다.

그렇다면 해킹 피해를 줄이기 위해 어떤 조치가 필요할까. 저자들은 미신고 처벌을 강화하는 방식보다 보안 투자를 하면 실질적 혜택이 돌아가는 정책이 필요하다고 말한다. 세액공제가 대표적이다. "화재보험처럼 사이버보험을 의무화하고 그 보험료를 세액공제 대상으로 삼으면 어떨까요?"

해킹은 피해자가 오히려 지탄받기 쉬운 범죄다. "왜 대비하지 않았느냐"는 비판 때문이다. 이 책은 기자들이 현장을 발로 뛰며 모은 증언을 바탕으로 통념을 흔드는 새로운 시각을 제시한다는 점에서 의미가 크다. 또한 다양한 국내외 사례를 토대로 현실적인 해법을 제안하며 의미 있는 사회적 의제를 던진다. 이제 그들의 외침에 사회가 답할 차례다.

한국은 해킹되었습니다 | 심나영·전영주·박유진 | 사이드웨이 | 284쪽 | 1만8000원

서믿음 기자 faith@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>