심나영(왼쪽부터)·전영주·박유진 아시아경제 기자는 지난해 5월부터 7월까지 이어진 아시아경제의 기획 기사 <은폐: 해킹당해도 숨는 기업>을 바탕으로 최근 <한국은 해킹되었습니다>를 출간했다. 이들은 지난해 말 연달아 일어난 쿠팡, 신한카드, 업비트의 사례는 전체 기업 해킹 사고의 빙산의 일각에 불과하다며 “대한민국은 이미 해킹이 ‘완료된’ 상태였다”고 입을 모아 말했다. /심나영·전영주·박유진 제공

질문 하나. 당신 회사가 해킹을 당했다. 운영자인 당신은 정부에 신고를 하겠는가? 대부분의 기업은 이럴 경우 ‘아니오’라는 답을 선택한다. 신고하는 순간 ‘보안 실패 기업’이라는 낙인이 찍히고 주가는 폭락, 투자 역시 끊기기 때문이다. 즉 지난해 말 연달아 일어난 쿠팡, 신한카드, 업비트의 사례는 전체 기업 해킹 사고의 빙산의 일각에 불과하다.

최근 출간된 <한국은 해킹되었습니다> 엔 이 같은 한국 사회의 실태가 적나라하게 담겼다. 지난 1년여간 관련 취재와 책 집필에 매달린 아시아경제 심나영·전영주·박유진 기자는 “수면 아래에선 이보다 훨씬 큰 빙산의 본체가, 구석구석까지 금이 간 채로 방치되고 있었다”며 “대한민국은 이미 해킹이 ‘완료된’ 상태였다”고 입을 모아 말했다.

이 책은 지난해 5월부터 7월까지 이어진 아시아경제의 기획 기사 <은폐: 해킹당해도 숨는 기업>을 바탕으로 했다. 취재는 우연한 제보에서 시작됐다. 심나영 기자가 오랫동안 알고 지낸 전 과학기술정보통신부 고위공직자가 해킹당한 기업 10곳 중 9곳이 신고를 안 한다는 이야길 들려줬다. “내용이 너무 충격적이었고 심각한 문제라고 생각해 일단 정보보고로 올려놨어요. 그런데 기사로 쓰려면 사례를 찾아야 하잖아요. 모래사장에서 바늘 찾는 심정으로 이곳저곳 물어보고 다녔어요.”(심나영)

사례는 뜻밖의 곳에서 발견됐다. 우연찮게 전영주 기자의 지인이 다니는 회사가 지난해 초 해킹을 당했던 사실을 알게 된 것이다. 해커가 협박한 정황이 담긴 내부 공유 메시지, 매일 아침마다 개인 컴퓨터를 전부 포맷하라는 공지를 증거자료로 받고서야 기자들은 힘이 났다. “드디어 모래사장에서 바늘을 찾았구나, 해킹이 정말 먼 일이 아니라 주변에 흔한 일이구나 하는 생각이 들었어요. 이제 힘을 내서 더 찾아보자, 마음먹게 된 계기가 됐습니다.”(전영주)

하지만 취재 과정은 지난했다. 어렵게 해킹 피해를 입은 기업을 알아내도 취재 협조를 받는 것이 쉽지 않았다. 기자들은 문자메시지와 전화 한 통에도 진심을 담아 해당 기업들을 설득했다. <인생을 바꾸는 이메일 쓰기>란 책을 빨간 줄까지 쳐가며 함께 읽고, 의논했다. 그런데도 처음 한 달 동안은 누구에게도 만나주겠다는 말을 듣지 못했다. “이 기획을 포기해야 하나, 생각이 들었는데요. 그래도 끝까지 포기하지 않고 계속 진심을 전달했습니다. 아프고 힘든 기억이겠지만 말씀만 해주신다면 또 다른 해킹 피해를 막기 위한 기사를 쓰겠다고요. 설득하는 데 짧게는 한 달, 길게는 석 달이 걸린 곳도 있었는데 그렇게 물어물어 넉 달 동안 취재했습니다.”(전영주)

그렇게 해서 세 기자는 왜 기업들이 해킹 피해를 입고도 침묵하는지, 피해 기업들은 해커와 어떻게 협상하고 있는지, 왜 이런 피해가 반복되는지 등을 꼼꼼하게 추적·검증해 보도했다. 해킹 피해 기업과 해커 사이를 중개하는 ‘음지의 협상가’를 만난 것은 물론 국가 해킹 통계가 엉터리라는 사실 또한 밝혀냈다.

“지금 정부는 해킹당한 기업을 처벌하려는, 가장 쉬운 길로만 가고 있어요. 물론 보안을 소홀히 한 기업을 처벌하는 건 당연합니다. 하지만 정부가 할 일이 심판뿐일까요? 우선적으로 응징해야 하는 건 해커들인데도 지난해 터진 해킹 사건을 보면 정부가 범인을 특정한 적이 한 번도 없어요. 해커 찾는 건 뒷전이고 피해 기업만 잡으면 기업들이 해킹 사건을 더 교묘하게 숨길 가능성이 있어요. 이런 악순환을 끊으려면 처벌이 아니라 예방 쪽으로 정책 방향을 틀어야 합니다.”(박유진)

실제 보도 이후 변화가 이어졌다. 이해민 조국혁신당 의원이 취재팀과 긴밀히 소통해 보안설비에 투자한 기업에 세제 혜택을 주는 내용의 법안을 발의했고, 정부도 올해 중소기업 정보보호와 관련한 각종 인센티브 방안을 발표하기로 했다. 세 기자들은 ‘이달의 기자상’을 받고 출판사 제의로 책 집필 작업도 시작했다. “사실 기사를 뼈대로 쓰긴 했지만 책은 거의 전부 새로 쓴 거나 마찬가지에요. 미처 담지 못했던 재미있고 중요한 뒷이야기가 많았거든요. 그래서 탐사보도를 하면서 보고 듣고 느꼈던 걸 좀 더 상세하게 써봐야겠다, 해킹에 대한 진실을 제대로 알려야겠다는 마음으로 책을 썼습니다.”(심나영)

특히 심 기자는 개인 사정으로 휴직 후 거의 매일 13시간씩 책상 앞에 앉아 책 집필에 몰두했다. 전 기자와 박 기자도 퇴근 이후와 주말을 활용해 쉬지 않고 작업에 매달렸다. 이를 통해 기자들은 ‘대문 열고 살던 DNA’, ‘먹고사니즘’, ‘편의주의’ 같은 한국적 특성이 해킹 취약성을 높이는 데 기여했다고 진단했다. “새해만 되면 ‘전례 없는 위기를 맞아’라는 표현이 회장들 신년사 첫 구절로 등장하잖아요. 매출, 영업이익, 투자 같은 눈에 띄는 업무에 집중하는 동안 설치해봤자 티도 안 나는 보안 솔루션, 시스템은 뒷전으로 밀려나고 있고요. 하지만 해킹은 한 번 당하면 회사가 존폐위기에 놓이는 일이에요. 지금이라도 기업들 인식을 바꾸는 게 중요합니다.”(심나영)