2025년 12월 21일
최근:
포커스/기획

대한민국의 사이버 보안, 시험대에 서다…혁신을 위한 우리 사회의 과제는?

굿퓨처데일리 서정원 기자
  • 통신·금융·유통 전방위 뚫린 한국…보안 투자는 뒷전, 피해는 국민 몫
  • AI시대 가속화 속 새로운 해킹 위협, 정부·기업·개인 모두 총체적 대응 시급

한국 사회가 ‘사이버 보안 대재앙’이라는 단어로 설명될 수밖에 없는 상황에 직면했다. 통신사와 카드사를 비롯해 유통·플랫폼 기업까지 전방위적으로 해킹 공격을 당하며 개인정보 유출 건수가 수천만 건을 넘어섰다. SK텔레콤과 KT의 통신망 침해, 롯데카드의 대규모 고객 정보 탈취, GS샵·락앤락·인터넷서점 예스24까지 이어진 보안 사고는 더 이상 개별 기업의 문제로 치부할 수 없는 국가적 위기로 확산되고 있다. 더욱 심각한 것은 이러한 사건들이 일회성 해프닝이 아니라 구조적 취약성의 반복 노출이라는 점이다.

사건의 양상은 광범위하다. 2014년 카드 3사에서 8천만 건에 달하는 신용정보가 새어나갔던 악몽은 잊을 만하면 반복되고 있다. 최근 롯데카드에서 발생한 두 번째 대규모 유출 사건은 보안 관리가 10년 전보다 개선되기는커녕 여전히 ‘구멍 뚫린 상태’임을 여실히 드러냈다. 통신사도 예외가 아니다. SK텔레콤과 KT가 같은 악성코드에 감염된 정황이 드러나면서 사실상 전 국민의 통신·인증·결제 정보가 한꺼번에 노출됐을 가능성이 제기되고 있다. 여기에 온라인 플랫폼과 쇼핑몰, 글로벌 기업 계열사들까지 연이어 해킹 피해 사실을 인정하면서 한국의 사이버보안 수준은 ‘총체적 난국’이라는 지적을 받고 있다.

이 같은 해킹 빈발의 배경에는 기술적, 관리적, 환경적 요인이 동시에 자리하고 있다. 우선 기술적으로 국내 주요 기업들의 시스템 상당수가 10~20년 전에 설계된 레거시 구조를 유지하고 있다. 최신 위협을 고려하지 않은 채 운영되는 구형 시스템은 패치 지연과 업데이트 미비로 인해 알려진 취약점조차 방치되는 경우가 많다. 경계 기반 보안 모델에 머무르면서 내부 네트워크를 ‘안전지대’로 가정하는 관행도 문제다. 해커가 한 번 침투에 성공하면 네트워크 내부를 자유롭게 이동하며 추가 피해를 확산시키는 ‘측면 이동 공격’이 속수무책으로 허용되는 구조적 약점이 그대로 노출된다.

관리적 요인도 심각하다. 보안 인력이 절대적으로 부족한 가운데 전문성 있는 대응팀을 갖춘 기업은 소수에 불과하다. 중소기업 상당수는 전담 보안 인력이 아예 없다. 매출 확대나 비용 절감을 우선시하면서 보안 투자가 비용으로만 인식되는 현실도 취약성을 키우고 있다. 통합 보안 관제 시스템을 갖추지 못한 기업들이 많아 침입 징후를 조기 포착하지 못하고 대응이 지연되는 경우도 비일비재하다. 결국 한국 기업들의 보안 대응은 사후약방문에 머물며, 사건이 터진 뒤에야 대책을 논하는 악순환이 반복되고 있다.

환경적 요인 또한 기업의 자체 노력만으로는 감당하기 어렵다. 최근의 대규모 해킹은 북한 해커 조직 ‘김수키’뿐만 아니라 중국 배후설까지 제기되며, 국가 단위 지원을 받는 조직적 공격이 본격화된 양상을 보이고 있다. 랜섬웨어 생태계의 산업화도 문제다. ‘서비스형 랜섬웨어(RaaS)’ 모델이 확산되면서 누구나 값싼 비용으로 공격 도구를 빌려 해킹을 시도할 수 있는 상황이 됐다. 글로벌 공급망을 통한 간접 공격도 늘어나면서 보안 수준이 상대적으로 취약한 협력업체를 경유해 대기업과 공공기관까지 연쇄 피해를 입는 사례가 늘고 있다.

그렇다면 한국 사회가 이 같은 사이버보안 위기를 극복하기 위해 필요한 대책은 무엇일까. 전문가들은 기업, 개인, 정부라는 세 축에서 동시에 접근해야 한다고 지적한다. 우선 기업은 보안을 단순한 IT 이슈가 아닌 경영 전략의 핵심 요소로 인식해야 한다. CEO 직속 최고정보보안책임자(CISO) 체계를 정착시키고, 이사회 차원에서 보안 리스크를 정기적으로 점검하는 구조가 필요하다. IT 예산의 최소 15% 이상을 보안에 투자하는 글로벌 스탠더드도 도입해야 한다. 또한 모든 사용자와 기기를 잠재적 위협으로 가정하고 지속적으로 검증하는 제로트러스트 아키텍처로의 전환이 시급하다. ID 기반 접근 통제, 네트워크 분리, 다중인증, 특권 계정 관리 같은 구체적 실행이 요구된다. 여기에 위협 헌팅 전담팀 구성, 24시간 보안관제센터 운영, 자동화된 대응 체계 도입이 병행돼야 한다. 협력업체와 공급망 전체를 포괄하는 보안 관리 체계 확립 역시 빼놓을 수 없다.

개인 차원의 대응도 중요하다. 개인정보 자기결정권을 강화해 정보 이용 내역을 확인하고 불필요한 제공을 줄이는 습관이 필요하다. 강력한 비밀번호와 다중 인증, 소프트웨어 자동 업데이트, 백신 활용 등 기본적인 보안 습관을 생활화해야 한다. 피싱과 스미싱에 대한 인식 개선, 공공 와이파이 사용 시 VPN 활용 같은 생활 속 실천도 요구된다. 나아가 불필요한 계정 정리, SNS 정보 공개 범위 축소, 개인정보 수집·이용 동의서 검토 등 ‘최소화 원칙’을 실천하는 것도 피해를 줄이는 방법이다.

정부의 역할은 무엇보다 중요하다. 개인정보보호법과 정보통신망법 중심의 규제 체계를 AI, 클라우드, 사물인터넷 환경에 맞게 전면 개편해야 한다는 요구가 커지고 있다. 사이버보안기본법 제정을 통해 통합 거버넌스를 구축하고, 중요 인프라 보호를 위한 의무 보안 기준을 강화하는 것이 필요하다. 국가사이버안보센터의 권한을 확대하고 민관 합동 사이버 훈련을 정례화하는 것도 필수적이다. 아울러 국내 보안 기술 자립도를 높이고 전문 인력을 체계적으로 양성하는 산업 육성 정책이 병행돼야 한다. 국민 전체의 보안 역량 강화를 위해 초중고 정보보안 교육 의무화, 성인 대상 평생교육 체계 구축 같은 장기적 접근도 요구된다.

앞으로 다가올 AI 시대는 기존의 해킹 위협보다 훨씬 더 정교하고 위험한 공격을 예고하고 있다. 생성형 AI 기술로 구현된 딥페이크 음성과 영상은 소셜 엔지니어링 공격의 성공률을 비약적으로 높일 것이다. 공격자가 AI를 활용해 맞춤형 피싱 메일을 자동으로 수천 건 생성하거나, 취약점을 실시간으로 탐색·공격하는 시대가 머지않았다. AI 모델 자체에 대한 공격, 즉 학습 데이터를 오염시키거나 모델의 판단을 왜곡하는 새로운 유형의 공격도 등장할 것으로 예상된다. 방어자는 이에 대응하기 위해 AI 기반 자동화 보안 시스템, 머신러닝 이상 행위 탐지, 실시간 위협 인텔리전스 분석을 적극 도입해야 한다.

결국 사이버보안은 더 이상 IT 부서의 책임이 아니다. 국가 안보, 기업 경쟁력, 개인의 일상 안전이 직결된 문제로, 선택이 아닌 생존의 조건이 됐다. 공격을 완벽히 막는 것은 불가능하다. 중요한 것은 피해를 최소화하고 신속하게 복구할 수 있는 ‘사이버 레질리언스’를 확보하는 것이다. 양자컴퓨팅 시대를 대비한 새로운 암호화 기술 준비, 사이버보안 보험 활성화, 행동경제학적 접근을 통한 인식 개선 같은 다양한 수단을 동시에 마련해야 한다.

AI 시대라는 새로운 전환점 앞에서 사이버보안은 단순한 기술적 문제가 아닌 사회 전체의 지속 가능성과 직결된다. 보안을 비용이 아닌 투자로, 사후 대응이 아닌 사전 예방으로, 개별 대응이 아닌 생태계 협력으로 접근해야만 한국 사회는 다가올 초연결 디지털 시대에 안전한 기반을 마련할 수 있을 것이다. 지금의 위기를 뼈아픈 경고로 받아들이고 근본적인 대책을 서둘러 마련하지 않는다면, 다음 해킹은 단순한 개인정보 유출을 넘어 국가적 재앙으로 이어질 수 있다는 점에서 경각심이 절실하다.

더 좋은 미래를 위한 콘텐츠 플랫폼 – <굿퓨처데일리>