[2025결산/보안] 해킹에 무너진 대한민국…'범부처 종합대책' 손질 시작

지난해 12월3일 계엄 사태로 촉발된 정치 위기는 올해 6월 이재명 정부 출범으로 이어졌다. 정권 교체 직후 내란 특검 정국이 이어지면서 2025년의 캘린더는 유례없이 촘촘했다. 정치·사회적 격랑 속에서도 산업 현장은 멈추지 않았다. 오히려 인공지능(AI)과 디지털 전환, 관세 전면전, 대형 보안 사고가 한꺼번에 쏟아지며 한국 산업 지형은 이전과 전혀 다른 판으로 재배치되는 한 해를 보냈다. 계엄 사태 이후 정책 기조 전환 속에 디지털데일리는 각 분야 결산을 바탕으로 2025년 한국 산업의 흐름을 종합 정리한다. <편집자 주>

[디지털데일리 김보민기자] 2025년은 보안 사고가 마르지 않은 해다. 통신뿐만 아니라 금융, 유통, 게임, 가상자산 등 산업군을 가리지 않은 사고가 마치 도미노처럼 이어졌다. 사고 원인도 다양했다. 해킹·랜섬웨어 등 외부에서 공격이 들어오는 경우가 많았지만, 내부 직원이 악행을 가한 정황이 확인된 사례도 있었다.

한국이 무법지대가 됐다는 평가가 나오자 정부는 해결책을 마련하기 위해 분주히 움직였다. 과학기술정보통신부, 금융위원회, 개인정보보호위원회 등 관계 부처는 민간과 공공을 아우르는 범부처 정보보호 종합대책을 추진하며 보안에 투자하지 않고 사고를 좌시한 곳에 징벌적 과징금을 부과하겠다고 강수를 뒀다.

◆ 털리고 털려도 또 털렸다…끝없는 대형 보안사고

올해 보안사고로 처음 주목을 받은 기업은 GS리테일이었다. GS리테일은 1월 피해 고객을 대상으로 개인정보 유출 사실을 알리며 '크리덴셜 스터핑'이 주요 원인이었다고 공지했다. 크리덴셜 스터핑은 공격자가 사전에 수집한 계정 정보를 특정 사이트에 무작위 대입해 로그인한 뒤 개인정보를 훔치는 수법이다. 연쇄 피해 일종으로 여겨진다.

사고는 여기서 멈추지 않았다. SK텔레콤은 백도어 악성코드 BPF도어를 이용한 공격으로 약 2500만명 이용자 유심(USIM) 관련 정보가 유출되는 사고를 겪었다. 이후 KT는 무단 소액결제, LG유플러스는 인공지능(AI) 서비스 '익시오'에서 고객 통화 내용이 유출되는 사고를 냈다. 규모와 상관없이 통신3사 모두 보안에 취약한 부분이 있었다는 점이 드러난 셈이다.

통신만 문제였던 건 아니다. 온라인 서점이자 티켓 예매 플랫폼을 운영하는 예스24는 6월 랜섬웨어 공격으로 서비스를 일시 중단했다. 롯데카드는 8월 해킹을 계기로 고객 정보를 유출했다. 사고가 잠잠해지나 싶던 11월, 가상자산 거래소 업비트에서 445억원 규모 가상자산 해킹 사고가 발생했다. 같은 달 쿠팡은 3000만건이 넘는 대규모 정보를 유출하면서 정점을 찍었다. 쿠팡의 경우 정보기술(IT) 담당 내부 직원에 대한 관리가 허술했던 것이 이번 사고 원인으로 거론되고 있다.

공공기관도 보안 사고에서 자유롭지 않은 것으로 나타났다. 미국 보안 전문지 '프랙'은 올해 8월 한국 정부 행정시스템이 수년간 무방비로 노출돼 있다는 사실을 고발했다. 공무원 업무망 '온나라시스템'이 대표적이다. 국가정보원 조사 결과에 따르면, 해커는 공무원 행정업무용 인증서(GPKI)와 패스워드를 사전에 확보했고, 이후 인증체계를 분석해 합법적인 사용자로 위장한 뒤 행정망에 접근했다. 이후 인증서와 국내외 IP를 이용해 재택근무용 원격접속시스템(G-VPN)을 통과했다. 이후 온나라시스템에 접속해 정부 자료를 열람한 것으로 확인됐다.

보안 전문가들은 기업은 물론 공공기관 또한 보안 투자에 인색했고, 중요성에 대한 인식까지 미비한 점이 사태를 키웠다고 지적했다. 보안 인식을 제고하기 위해 처벌과 인센티브에 대한 정부 결단이 관건이라고 보는 의견에도 힘이 실렸다.

◆ 급급히 종합대책 발표한 정부, 문제는 '실효성'

사태가 커지자 정부도 대책을 마련했다. 정부는 10월 과기정통부, 금융위, 개인정보위, 국정원, 행정안전부 등 관계부처 합동으로 민간과 공공을 아우르는 범부처 정보보호 종합대책을 발표했다. 당시 배경훈 부총리 겸 과기정통부 장관은 대국민 브리핑을 통해 "국민 피해가 계속되는 현 상황을 국가 비상사태에 준하는 위기 상황으로 받아들이고 있다"며 이번 기회에 취약한 국내 보안체계를 뜯어고치겠다는 의지를 드러냈다.

종합대책에는 직권조사부터 징벌적 과징금까지 기업을 향한 채찍이 담겼다. 해킹 정황을 확보했을 경우 기업 신고 없이도 정부가 현장을 조사하고, 정부 조사 권한을 확대하도록 했다. 해킹 사고가 발생한 이후 늦게 신고하거나 재발 방지 대책을 이행하지 않을 경우 더 많은 과태료와 과징금을 물도록 할 방침이다. 이행강제금과 징벌적 과징금도 도입한다. 공공, 금융, 통신 등 1600개 IT 시스템을 대상으로 보안 취약점도 점검하기로 했다.

정부는 특히 징벌적 과징금에 대한 고민이 깊은 것으로 전해진다. 배 장관은 12월2일 국회 과학기술정보방송통신위원회 쿠팡 해킹 관련 현안 질의에서 "국민에 직접 피해를 주고 금융 불안감을 높이는 일에 대해 징벌적 손해배상을 적용해 (사고가) 반복되지 않도록 하는 게 중요하다"고 밝혔다.

개인정보보호법상 과징금과 손해배상은 별개 제도이기 때문에 상호 결합될 수 없다. 보호법상 과징금은 행정기관인 개인정보위가 개인정보를 유출하거나 침해한 개인정보처리자에 대해 전체 매출액 3% 이내에 부과하는 행정 처분이다. 보호법상 손해배상은 민사소송으로, 법원이 개인정보 유출로 피해를 입은 정보주체에게 손해액 5배를 넘지 않는 범위에서 배상을 결정하는 판결이다. 송경희 개인정보위 위원장은 12월3일 국회 정무위원회 현안질의에서 "과징금을 강화하는 동시에 손해배상제도 실효성을 제고하겠다"고 의지를 밝혔다.

문제는 실효성이다. 역대 정부에서도 정보보호와 사이버 보안은 '예산은 많지 않지만 중요한 분야'로 여겨지긴 했다. 다만 이재명 정부 출범을 안팎으로 대형 보안 사고가 끊이지 않았다는 점을 고려했을 때, 이전과는 다른 차별점이 있어야 한다는 의견도 제기된다. 정부는 12월 2차 대책을 발표할 예정이다. 이재명 대통령은 12월2일 국무회의에서 "쿠팡 때문에 국민 걱정이 많다"며 "사고 원인을 조속하게 규명하고 엄중히 책임을 물어야 한다"고 주문하기도 했다.

국내 최상위 보안 인증으로 꼽히는 정보보호 및 개인정보보호관리체계(ISMS-P)도 개선될 예정이다. KT와 쿠팡 등 ISMS-P 인증을 받은 기업에서 연이어 사고가 발생하면서 '유명무실' 비판이 불거지자 정부가 대응에 나선 것이다. 과기정통부와 개인정보위는 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 의무화하고 현장 심사를 강화할 계획이다. 중대 결함이 발견될 경우 심의를 거쳐 인증을 취소할 수 있는 방안도 강화한다.

제로트러스트(Zero Trust)를 비롯해 국가망보안체계(N2SF)를 기반으로 경계형 보안이 완화되고 있다는 점을 고려했을 때, 적절한 처벌과 인센티브 또한 병행돼야 할 것으로 보인다. 금융당국 또한 극단적 망분리 체계를 완화하고 AI·클라우드를 도입할 수 있도록 장려하고 있어, 이에 걸맞은 새 보안체계가 필요한 시점이다.

한편 내년에도 대형 보안 사고가 이어질 수 있다는 가능성이 점쳐지고 있다.

보안업계는 AI 기반 공격이 전방위로 확산되고, 올해 역대 최고 수준을 기록한 랜섬웨어 공격 역시 내년에 지속될 것으로 보고 있다. 랜섬웨어 조직과 지능형지속위협(APT) 조직 간 협력도 강화될 전망이다. 보안업계에 따르면 현재 APT 그룹이 공격 도구를 제공하면 랜섬웨어 조직이 이를 실행해 이익을 분배하는 협업 구조가 자리 잡기 시작했다. 국가 배후 등 지정학적 목적이 있는 경우에는 랜섬웨어 공격이 더욱 활발해질 수 있다. 북한 배후 공격 거점인 한국이 예외가 아니라는 의미다.

국가 인프라에 대한 위협도 주의해야 한다. 올해는 의료와 제조업이 전년 대비 증가한 공격을 받았다. 내년에도 운영 중단 피해가 크고 고가치 데이터를 다루지만 보안 투자가 상대적으로 부족한 인프라에 사고가 발생할 전망이다. 철도, 항만, 항공, 통신망 등 디지털 전환이 빠른 기반 시설도 공격 대상이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -