잇따른 대기업 해킹 사태로 드러난 보안 부실, 국가 차원의 대응 체계와 생활 속 보안 문화 강화가 절실해지고 있다. [사진=안랩 시큐리티대응센터(ASEC)]


[이코노미 트리뷴 = Daniel Kim] 최근 SK텔레콤, KT, 롯데 계열사 등 대형 통신·유통기업에서 해킹과 개인정보 유출 사고가 잇따르면서 한국 사회 전반에 사이버보안 컨트롤타워 설립 필요성이 다시 부각되고 있다.

◇ SKT·KT·롯데 뚫린 원인, 보안 패치·탐지 부실이 공통점

업계에 따르면 SK텔레콤은 핵심 서버에 리눅스 기반 악성코드가 장기간 잠복하며 내부 전산망 취약점을 드러낸 것이 주요 원인으로 지목된다. 이 과정에서 유심(USIM) 관련 데이터와 고객 식별 정보가 유출됐으며, 암호화나 접근 제어가 충분치 않아 피해가 확산됐다는 평가다.

KT는 주요 서버의 보안 업데이트가 제때 이뤄지지 않은 점이 치명적이었다. 소형 기지국 신호를 악용한 침투 정황까지 포착되면서 일부 이용자들이 무단 소액결제 피해를 입었고, 초기 대응 과정에서 피해 규모 파악이 늦어 혼선이 발생했다.

최근에는 가입자 인증키와 IMSI·IMEI·휴대폰 번호 등 핵심 정보까지 유출됐을 가능성이 제기됐다. 단순한 결제를 넘어 통신망 자체 보안이 뚫린 것 아니냐는 우려가 커졌으며, 피해 범위 공개 지연으로 ‘축소·은폐’ 의혹도 불거지고 있다.

롯데 계열사에서는 웹 애플리케이션 방화벽이 제대로 작동하지 않은 상태에서 악성코드가 침투해 대규모 정보 유출로 이어졌다. 당초 회사 측은 유출 데이터를 1.7GB로 발표했으나, 실제로는 200GB에 달하는 고객 카드번호, 유효기간, 주민등록번호 등이 포함된 것으로 확인됐다. 이는 국내 주요 카드사 보안 시스템 전반에 대한 신뢰성 논란으로까지 번지고 있다.

표면적 원인은 다르지만, 공통적으로 기업 내부 보안 투자가 충분치 않았다는 사실이 드러났다. 서버 보안 패치 지연, 침입 탐지 시스템 부재, 협력사 관리 소홀 등 기본적인 보안 관리조차 지켜지지 않아 대기업조차 손쉽게 표적이 된 것이다.

더구나 사고 이후의 위기 대응 체계마저 미흡해 피해 확산을 막지 못했다는 점에서 구조적 취약성이 드러났다는 평가가 나온다.

전문가들은 “보안 여력이 더 부족한 중소기업은 상황이 더욱 심각하다”며, 한국인터넷진흥원(KISA) 조사에서도 웹 서버 해킹이나 웹셸(Web shell) 같은 기초 취약성 공격이 꾸준히 증가하고 있다고 지적한다.

특히 지난해 대비 침해사고 신고 건수가 48% 늘어난 점은 국내 전반의 사이버 보안 대응 체계가 여전히 방어보다 뒤쫓아가는 수준에 머물러 있음을 보여준다고 경고한다.

◇ 사고 대응 혼선, 컨트롤타워·법제화 시급

전문가들은 “기업 차원에서 보안 투자를 확대하는 것은 당연히 필요하지만, 이것만으로는 한계가 있다”고 말한다.

최근 공격은 ‘지능형 지속 위협(APT)’이나 ‘제로데이(Zero-day)’와 같이 고도화된 방식으로 이뤄져 세계 최고 수준의 기업도 완벽히 차단하기 어렵다는 것이다.

문제는 사고가 터진 뒤의 대응 체계다.

현재는 과기정통부, 행정안전부, 국정원, 국방부 등으로 역할이 흩어져 있어 주관 기관이 불분명하고, 초기 대응 과정에서 혼선이 불가피하다.

버클리대 CLTC(장기사이버보안센터)도 보고서를 통해 “한국은 초고속 인터넷과 디지털 인프라 확산으로 글로벌 강국 이미지를 얻었지만, 보안 인식과 실행 수준은 그에 미치지 못한다”고 지적한 바 있다.

제도적 기반도 미흡하다.

‘국가사이버안보기본법’이 국회에 계류 중이어서 보고 의무, 책임 소재, 정보 공유 절차 등이 여전히 지침이나 내부 규정에 머물러 있다.

전문가들은 “법안이 통과되면 기업이 보안 사고에 대해 더 무거운 보고와 책임을 지게 되고, 보안 관리와 대비책을 강화하려는 압력이 커질 것”이라고 전망한다.

KISA에 따르면 침해사고 신고 건수는 2023년 1277건에서 2024년 1887건으로 약 48% 증가했으며, 피해 기업의 94%가 중소·중견기업이었다.

이는 대기업뿐 아니라 보안 인프라와 예산이 부족한 중소기업·비영리기관에 대한 지원 확대가 필요함을 보여준다.

자율적 대응만으로는 한계가 있다는 현실을 드러낸 셈이다.

◇ 생활 속 보안 문화 자리잡아야 피해 줄어

전문가들은 보안 인프라 못지않게 국민 보안 인식 부족을 심각한 문제로 꼽는다.

VPN 서비스 업체 노드VPN 조사에 따르면 한국인의 보안 지식 점수는 100점 만점에 50점 수준에 불과했다. 비밀번호 관리 등 기본 수칙 인지는 높았지만, 가정용 와이파이 보안 설정이나 인공지능 활용 시 개인정보 위험 인식은 현저히 낮았다. 이는 보안이 생활 습관으로 자리잡지 못했음을 방증한다.

결국 사이버보안은 △기업의 보안 투자 확대 △국가 차원의 컨트롤타워 구축 △국민 보안 인식 강화라는 세 가지 축이 동시에 추진돼야 한다는 게 전문가들의 공통된 지적이다.

“보안은 정부나 전문가만의 과제가 아니라 국민 전체의 문제라는 점을 잊어서는 안 된다”는 경고처럼, 생활 속 보안 문화가 정착되지 않는다면 앞으로 피해는 더 치명적이고 광범위해질 수 있다.

daniel.economytribune@gmail.com