중국 춘추전국시대 초나라의 양왕이 방탕하자 충신인 장신은 부국강병책을 제안했지만 양왕은 수용하지 않았고, 실망한 장신은 타국으로 망명했다. 결국 반년 뒤 진나라 명장 백기가 침공하여 수도가 함락되자, 그제서야 양왕은 급히 장신을 다시 찾았다. 그러자 장신은 이렇게 답했다. "토끼를 보고 사냥개를 부리는 것도 늦지 않고, 양을 잃은 뒤 우리를 고치는 것도 늦지 않습니다". 이미 피해를 겪었더라도 지금이라도 울타리를 고쳐 나머지 양을 지켜야 한다는 이 고사는, "망양보뢰(亡羊補牢)", 즉 우리말의 "소 잃고 외양간 고친다"에 해당한다.
흔히 일 터진 후 뒤늦게 대책 세우는 일을 두고 비꼬듯이 쓰이지만, 본래는 늦었더라도 피해를 막기 위한 조치 계속 해나가야 한다는 교훈을 전하고 있다. 현대를 살아가는 우리에게도 "이미 일어난 실패에서 배우고 대비를 강화하라"는 이 역사 속 조언은 유효하다. 다만 주목해야 할 부분은, "왜 굳이 양을 잃고 나서야 울타리를 고치냐"는 것이다.
사이버 재해도 "안 하면 더 손해"라는 인식 필요
이 대통령은 지난 12일 국무회의에서 산재 문제를 논하며, 기업들이 비용을 아끼려 안전조치를 소홀히 하는 관행을 지적했다. 위험 예방에 드는 비용을 아까워하다가는 더 큰 비용을 치러야 한다는 의미로 해석된다. 이 원칙은 비단 산업 안전뿐 아니라 사이버안보 분야에도 그대로 적용될 수 있다. 오늘날 기업과 기관들은 사이버 공격 위험을 알면서도 눈앞의 비용 절감이나 불편 최소화를 이유로 보안 투자를 미루거나 최소한으로 하는 경우가 많다. 마치 외양간을 미리 고치지 않고 있다가 양을 잃고 나서야 허둥대는 초 양왕처럼, 보안을 소홀히 했다가 랜섬웨어 공격이나 정보 유출이라는 "양을 잃은" 사태가 벌어진 뒤에야 부랴부랴 대응책을 찾곤 한다. 하지만 이제는 이러한 관행에서 벗어날 시점이다.
내부 비용화와 외부 압력으로 '안 하면 더 비싸다'를 제도화해야
보안 미비가 비용 절감이 아니라 더 큰 손해라는 인식을 제도와 경영에 심기 위해 안팎으로 노력해야 한다. 먼저 안으로는 보안을 설계의 기본값으로 두고, 예외에는 추가 비용을 부과하며 경영진 서면 승인을 요구하고, 보안 예산을 우선 확보해 미비 선택이 구조적으로 더 비싸지도록 만든다. 밖으로는 EU의 GDPR(General Data Protection Regulation) 수준의 강한 제재, 즉 총 매출의 최대 4% 혹은 2천만 유로(약 323억)의 과징금과, 중대 보안사고 반복 기업에 대한 공공사업 입찰 제한 같은 조치로 "안 하면 더 손해다"라는 기조를 현실로 만든다. 이렇게 내부 제재와 외부 비용화가 결합될 때 보안은 귀찮은 옵션이 아니라 납품과 영업의 전제가 된다.
조달과 표준으로 "보안 취약 시 납품 불가" 만들어야
조달과 표준으로 "보안 취약 시 납품 불가"를 만드는 건 가장 강력한 수단이다. "조달"은 정부나 대기업이 구매할 때 따지는 조건이고, "표준"은 그 조건의 기준이다. 이 둘을 묶으면 공급망 전체에 "보안 기준을 안 맞추면 처음부터 입찰 자체가 어려워지는" 구조가 만들어진다. 이건 말처럼만 있는 얘기가 아니다. 미국 국방부는 2024년 12월부터 CMMC(Cybersecurity Maturity Model Certification) 규칙을 만들었고, 2025년 10월부터는 사실상 모든 신규 국방 계약에 CMMC 인증이 붙는다고 공표했다. 즉, 보안 인증 없이는 수주 자체가 어려워지는 것이다.
EU도 비슷하다. 사이버복원력법(CRA)은 2024년 말 발효됐고, 2027년 말부터는 EU 내 "보안 요건을 충족하지 않은 제품은 시장에 유통될 수 없다"고 정했다. 위반하면 최대 1500만 유로 또는 매출 2.5% 벌금까지 받을 수 있다. 우리도 ISMS-P나 CC 같은 인증을 모든 산업의 조달 조건으로 제도화해야 한다. 조달 계약에 "보안 조항 필수, 지키지 않으면 납품 불가"를 명확히 넣는 것. 그래야 보안이 귀찮은 옵션이 아니라, 거래와 수주의 전제 조건이 된다.
새로운 제도화에 대한 리스크도 관리해야
물론 현실적인 측면도 고려해야 한다. 중소ㆍ스타트업에는 단계 적용과 유예, 표준 체크리스트와 자가진단 도구, 대기업의 동반 진단 지원을 묶어 진입 장벽을 낮춰야 한다. 또한 형식적 준수를 막기 위해 컨설팅을 기본으로 삼고, 자가진단 후 보완 기간을 부여해 개선을 확인한다. 그럼에도 반복 및 중대 위반 시 그때는 과징금과 납품 제한 등 제재로 전환한다. 제품 출시 지연과 비용 상승은 위험도와 규모에 따른 차등 적용, 파일럿 및 샌드박스 운영, 정례 협의로 로드맵 사전 공표를 통해 예측 가능성을 높여 관리한다. 국제 정합성도 중요하다. 글로벌 표준을 기준으로 삼고 인증 상호 인정과 공급망 협력을 확대해 역차별을 막아야 한다.
핵심은 "안 하면 더 손해다"는 기조를 유지하되, 규모에 따른 차등 집행으로 사회적 비용을 최소화하는 것이다. 이렇게 지원과 점검 체계를 갖춰야 보안이 비용이 아니라 계약과 경영의 전제가 되고, 법제와 조직 문화, 경영 전략, 표준과 조달을 총동원해 "보안 미준수는 손해, 준수는 이익"인 생태계를 만들 수 있다. 사이버안보도 더 이상 재해가 발생하지 않도록, 이제는 애초에 외양간을 튼튼히 지어야 할 때이며, 국무회의에서 비슷한 내용이 언급이 된 만큼 지금이 바로 적기다.
덧붙이는 글 | 저자는 극동대학교 해킹보안학과 교수입니다.