대한민국을 뒤흔든 연쇄 보안 사고

2025년은 한국 사회가 사이버보안의 중요성을 뼈저리게 깨달은 해가 될 것입니다. 4월 SK텔레콤의 2,700만 명 USIM 정보 유출, 9월 KT의 소액결제 해킹, 8월 롯데카드의 297만 명 개인정보 유출이 연이어 터지면서 국가 핵심 인프라의 보안 취약성이 적나라하게 드러났습니다.

이 세 사건의 공통점은 무엇일까요? 바로 기본적인 보안 원칙의 부재입니다. SKT는 3년간 해커의 침입을 감지하지 못했고, KT는 구형 펨토셀의 취약점을 방치했으며, 롯데카드는 17일간 해킹을 인지하지 못한 채 200GB 이상의 데이터가 유출되도록 했습니다.

더 충격적인 것은 SKT가 정보보호 투자액 600억원, 3년 연속 ‘정보보호 투자우수기업’이라는 타이틀을 가지고 있었음에도 불구하고 이런 참사가 일어났다는 점입니다. 이는 현재 우리나라 보안 체계의 근본적 문제를 보여주는 상징적 사례가 되었습니다.

대응의 민낯: 형식적 보안의 한계

정부 대응의 문제점

정부의 대응 방식에서 가장 큰 문제는 사후약방문식 처방에 그쳤다는 점입니다. SKT에 대한 과징금이 고작 3천만 원에 불과했고, 이는 600억원 투자 대비 0.05% 수준입니다. 이런 솜방망이 처벌로는 기업들이 보안을 진지하게 받아들일 리 없습니다.

더 심각한 것은 분산된 거버넌스 구조입니다. 과학기술정보통신부, 금융위원회, 개인정보보호위원회 등 여러 기관이 각자 다른 기준으로 대응하다 보니 통합적인 사고 대응이 어려웠습니다. 전문가들은 “마치 여러 명의 지휘관이 있는 군대와 같다”고 지적합니다.

기업 대응의 허점

기업들의 대응에서 드러난 가장 큰 문제는 투입 중심의 형식적 보안이었습니다. SKT는 투자액과 인력 수로는 완벽해 보였지만, 실제 해킹 상황에서는 속수무책이었습니다. 이는 현재 정보보호공시제도가 ‘얼마나 투자했나’라는 투입(Input) 지표에만 의존하고 있기 때문입니다.

더욱 문제가 되는 것은 CISO(정보보호최고책임자)의 낮은 위상입니다. SKT의 경우 CISO가 CEO 직속이 아닌 IT부서 산하에 있어 실질적인 권한을 갖지 못했습니다. 운영부서는 편리성을 추구하지만 CISO는 보안을 위해 불편함을 감수해야 하는 대립적 관계에서, 권한이 약한 CISO가 제 역할을 할 수 없었던 것입니다.

진짜 문제: 보안에 대한 근본적 인식 전환 필요

정부가 바뀌어야 할 것들

1. 통합 사이버보안 컨트롤타워 구축 현재처럼 여러 기관에 분산된 권한을 하나로 모으는 국가사이버안전센터 설립이 시급합니다. 이재명 정부가 제시한 ‘망중심에서 데이터중심으로의 보안체계 전환’은 제로트러스트 시대의 필수 요소로, 올바른 방향입니다.

2. 엄격한 침해 통지 및 과징금 제도 24시간 내 신고, 72시간 내 고객 통지를 법적 의무로 강화하고, 과징금을 매출의 일정 비율로 대폭 상향해야 합니다. 현재 SKT가 받은 3천만원 과징금으로는 아무런 경각심을 줄 수 없습니다.

3. 민간 주도 거버넌스로의 전환 정보기관 중심에서 벗어나 민간 전문성을 적극 활용하는 구조로 전환해야 합니다. 사이버보안청을 신설하되 민간 전문가가 과반수를 차지하고, 개방형 직위제를 확대해 보안기업과 학계 출신이 주요 부서를 이끌도록 해야 합니다.

기업이 바뀌어야 할 것들

1. 보안 거버넌스 강화 CISO를 CEO 직속으로 두고, 보안 전략과 예산을 경영계획에 필수적으로 포함시켜야 합니다. 특히 사모펀드나 투자자의 단기 수익 추구가 보안 투자를 희생하지 않도록 내부 규정을 정비해야 합니다.

2. 제로트러스트 기반 접근 통제 모든 계정과 장비에 최소 권한 원칙을 적용하고, 멀티팩터 인증과 세션별 권한 재검증을 수행해야 합니다. SKT 사례에서 보듯 핵심 시스템에 대한 접근 경로를 별도로 분리해 lateral movement를 최소화하는 것이 중요합니다.

3. 실시간 모니터링 체계 구축 BPFDoor와 같은 은밀한 악성코드를 탐지하기 위해 AI 기반 위협 헌팅과 실시간 이상 징후 탐지 시스템을 도입해야 합니다. 로그를 중앙 집중화해 이상 패턴을 실시간으로 분석하는 것이 필수입니다.

4. 정보보호공시제도의 질적 전환 현재의 양적 지표(투자액, 인력 수) 중심에서 질적 지표로 전환해야 합니다. 모의해킹 결과, 레드팀 훈련 결과, 실시간 보안 모니터링 역량 평가 등 ‘실전에서 검증된 보안 역량’을 공시하는 체계로 발전해야 합니다.

5. 중소기업 보안 생태계 강화 대기업과 중소기업 간 보안 격차가 전체 산업 생태계의 약점이 되고 있습니다. 전문가들은 “대기업-중소기업 간 보안 격차 해소를 통해 전체 산업 생태계 보안 수준을 향상시켜야 한다”고 강조합니다. 공급망 파트너에게도 동일한 보안 수준을 요구하고, 제3자 위험 평가를 정기적으로 수행해야 합니다.

개인이 지금 당장 해야 할 것들

1. 서비스 설정 점검

• 통신사 앱에서 소액결제 한도를 최소화하거나 불필요시 차단
• 결제 알림 서비스 활성화로 실시간 거래 내역 확인
• 정기적으로 개인정보 유출 여부 확인

2. 강력한 인증 수단 사용

• 비밀번호만 사용하지 말고 생체인증(FIDO), 전용 인증 앱(OTP) 등 이중 인증 설정
• 금융 앱과 통신사 앱 모두에 다중 인증 적용

3. 최신 보안 업데이트 유지

• 휴대폰과 앱을 최신 버전으로 유지
• 구형 장비 사용 시 교체 고려
• 의심스러운 연락에 대한 경계심 유지

중소기업 보안 사각지대: 가장 시급한 과제

2025년 연쇄 보안 사고에서 놓쳐서는 안 될 중요한 사실이 하나 있습니다. 전체 대한민국 기업의 99.9%를 차지하는 중소기업들이 보안의 사각지대에 방치되어 있다는 점입니다. 전문가들은 “대기업-중소기업 간 보안 격차 해소가 전체 산업 생태계 보안 수준 향상의 핵심”이라고 강조합니다.

중소기업 보안의 현실

중소기업들이 보안에 취약한 이유는 명확합니다. 첫째, 예산 부족입니다. 보안 솔루션 도입과 전문 인력 고용에 필요한 자금이 없습니다. 둘째, 전문성 부족입니다. 보안 전문가를 고용하기 어렵고, 자체적으로 보안 시스템을 운영하기 힘듭니다. 셋째, 경영진의 인식 부족입니다. “보안은 돈만 먹는 하마”라는 생각에서 벗어나지 못하고 있습니다.

현재 정부가 운영하는 중소기업 정보보호 지원사업은 연간 700여 개 기업에게만 SECaaS(클라우드 기반 보안서비스)를 제공하고 있습니다. 하지만 전국 중소기업 수를 고려하면 턱없이 부족한 수준입니다.

정부의 중소기업 보안 지원 강화 방안

1. SECaaS 지원 규모 대폭 확대 현재 연간 700여 개 중소기업에 제공되는 클라우드 기반 보안서비스를 5배 이상 확대해야 합니다. SECaaS는 중소기업이 별도의 보안 장비나 전문 인력 없이도 원격에서 보안 기능을 제공받을 수 있는 서비스로, 중소기업에게 가장 적합한 솔루션입니다.

2. 지역정보보호지원센터 확대 현재 10개 지역에서 운영 중인 지역정보보호지원센터를 17개 광역지자체 전체로 확대해야 합니다. 각 지역별 특화 산업(스마트공장, 스마트 조선, 디지털 헬스케어 등)에 맞는 맞춤형 보안 솔루션을 제공하는 것이 핵심입니다.

3. 보안 투자 세제 혜택 확대 IT 투자의 일정 비율(예: 7% 이상)을 보안에 투자하는 중소기업에 대해 법인세액 공제를 제공해야 합니다. 과거 금융권에서 시행했던 ‘557제도'(IT 예산의 7%를 보안에 투자)와 같은 가이드라인을 중소기업에도 적용하되, 강제가 아닌 인센티브 방식으로 유도해야 합니다.

4. 중소기업 CEO 보안 마인드 교육 가장 중요한 것은 중소기업 대표들의 보안에 대한 마인드 변화입니다. 정부는 다음과 같은 교육 프로그램을 의무화해야 합니다:

• 경영진 보안 리더십 교육: 중소기업진흥공단과 연계해 CEO·임원 대상 보안 교육 확대
• 사례 기반 실전 교육: SKT, KT, 롯데카드 사례를 활용한 구체적 피해 사례 교육으로 경각심 제고
• 보안 투자 ROI 교육: 보안 투자가 장기적으로 기업 가치와 신뢰도 향상에 미치는 효과 교육

5. 공급망 보안 강화 대기업들이 협력업체·공급업체에게도 일정 수준의 보안 기준을 요구하고, 이를 지원하는 프로그램을 확대해야 합니다. 공급망의 가장 약한 고리가 전체 시스템의 보안을 위협하는 상황을 방지해야 합니다.

선택의 기로에 선 대한민국

SKT, KT, 롯데카드 사건은 우리에게 명확한 메시지를 전합니다. 기존의 형식적 보안으로는 더 이상 지능화된 사이버 공격을 막을 수 없다는 것입니다.

이제 우리 앞에는 두 가지 선택지가 있습니다. 계속해서 사후약방문식 대응에 머물며 더 큰 재앙을 기다릴 것인가, 아니면 이번 기회를 계기로 보안 패러다임을 근본적으로 전환할 것인가.

정부는 통합 거버넌스와 강력한 제재를 통해 기업들이 보안을 진지하게 받아들이도록 해야 하고, 기업들은 보안을 비용이 아닌 필수 투자로 인식을 바꿔야 합니다. 그리고 개인은 스스로의 정보를 지키기 위한 적극적인 행동을 취해야 합니다.결국 2025년 한국 보안 위기의 진정한 의미는 기술의 문제가 아니라 우리의 선택에 달려 있습니다. 이번 위기를 계기로 대한민국이 진정한 사이버보안 강국으로 도약할 수 있을지, 아니면 계속해서 위기에 휘둘릴 것인지는 지금 우리가 내리는 결정에 달려 있습니다.

Green Geek을 구독하시면 지금 보시는 것과 같은 ICT 소식과 정보를 받아보실 수 있습니다.

용어 사전

USIM: 휴대폰에 삽입되는 칩 형태의 사용자 인증 모듈로, 이동통신 가입자 정보를 저장하고 통신망에 접속할 수 있게 해주는 장치입니다.
펨토셀(Femtocell): 건물 내부나 신호가 약한 지역에서 이동통신 품질을 개선하기 위해 사용하는 소형 기지국입니다. 오래된 펨토셀은 보안 업데이트가 미흡할 수 있습니다.
CISO(Chief Information Security Officer): 기업의 정보보호를 총괄하는 최고책임자입니다. 사이버보안 전략 수립과 사고 대응을 담당합니다.
제로트러스트(Zero Trust): “아무도 믿지 않는다”는 원칙의 보안 모델로, 모든 사용자·기기·네트워크 접근을 매번 검증하는 방식입니다.
멀티팩터 인증(MFA, Multi-Factor Authentication): 비밀번호 외에도 OTP나 생체인증 같은 추가 인증 수단을 요구해 보안을 강화하는 방법입니다.
세션(Session): 사용자가 로그인한 상태를 유지하는 일시적 연결 단위로, 일정 시간이 지나면 자동 종료되도록 설정해 보안을 유지합니다.
레이털 무브먼트(Lateral Movement): 해커가 한 번 침입 후 내부 네트워크를 옮겨 다니며 추가 시스템을 공격하는 행위입니다.
AI 기반 위협 헌팅(AI Threat Hunting): 인공지능을 활용해 네트워크나 로그 데이터를 분석하고, 침입 징후나 이상 행동을 미리 탐지하는 기술입니다.
로그(Log): 시스템이나 서버에서 발생하는 모든 활동 기록으로, 보안 분석과 사고 추적에 사용됩니다.
레드팀 훈련(Red Team Exercise): 실제 해킹 공격을 모의로 수행해 기업의 보안 대응력을 점검하는 훈련입니다.
정보보호공시제도: 기업이 보안 투자액, 인력, 활동 내용을 외부에 공개하도록 하는 제도입니다. 하지만 실제 보안 수준보다는 투자금액 위주로 평가되는 한계가 있습니다.
SECaaS(Security as a Service): 클라우드 기반으로 제공되는 보안 서비스로, 중소기업이 별도 장비 없이 원격으로 보안 기능을 이용할 수 있습니다.
사이버보안청: 국가 차원의 사이버보안 전담 기관을 의미하며, 민간·공공 부문을 통합 관리하는 역할을 합니다.
공급망 보안(Supply Chain Security): 기업이 사용하는 외부 협력사, 소프트웨어, 부품 등이 보안 위협의 통로가 되지 않도록 관리하는 개념입니다.
침해 통지제도: 개인정보나 시스템이 해킹 등으로 침해되었을 때, 기업이 일정 시간 내에 사용자와 당국에 신고해야 하는 법적 의무입니다.
보안 거버넌스(Security Governance): 기업이나 정부가 보안을 조직적으로 관리하기 위한 정책, 권한 구조, 책임 체계를 뜻합니다.
BPFDoor: 탐지가 어려운 고도화된 백도어(불법 접근 통로) 악성코드의 일종으로, 장기간 숨어서 정보 탈취를 시도합니다.
망중심 보안 vs 데이터중심 보안: 과거에는 ‘네트워크(망)’ 경계를 중심으로 보안을 설계했지만, 이제는 ‘데이터’ 자체를 중심으로 보호하는 방식으로 전환되고 있습니다.