지난해는 해킹과 개인정보 유출로 얼룩진 해로 기록될 것 같다.

 

해킹과 개인정보 유출, 개인정보 무단 탈취, 랜섬웨어, 자격증명 노출 등의 대규모 보안 사고는 기본적인 보안 수칙 조차 뚫려 버린 공통의 패턴을 보였다. 보안 솔루션의 탐지와 대응은 지나치게 느리고 소홀했다. 정부의 대응체계도 무능했다. 지난해 초 한국인터넷진흥원(KISA)은 ‘10만 사이버 보안 인재 양성’을 목표로 설정했지만, 실제 현장에서는 허점 투성이었다.

 

◇ 수많은 사고들, 핵심 사고의 원인과 피해 규모는

이커머스 공룡 플랫폼인 ‘쿠팡’에서 3370만 명의 개인정보가 유출되는 전자상거래 사상 최대의 보안 사고가 발생했다. 이번 유출은 퇴사한 직원이 챙긴 내부 보안키로 시스템에 접근해 벌어졌다. 쿠팡은 이를 12일 동안 인지하지 못했다. 이번 사고로 쿠팡코리아 대표가 사임하고 압수수색도 이어졌다. '쿠팡'을 이용하는 20만명 이상의 고객은 집단소송에 나섰다.

 

현재 이 사건은 과학기술정보통신부와 개인정보보호위원회가 조사 중인데, 과징금을 연 매출의 3%까지 부과하기로 하면서 최대 1조2000억원의 제재가 예상된다.

이동통신사 ‘SK텔레콤’도 지난해 4월, 2324만명의 USIM 정보를 포함한 25종의 개인정보가 유출된 사실을 뒤늦게 확인했다. 조사 결과 SKT가 보유한 2610만개의 USIM 인증키가 암호화되지 않은 것으로 나타났다. 해킹은 최소 2021년 8월부터 시작됐지만, SKT는 지난해 4월에서야 이상 징후를 발견했다. 인터넷망과 내부망이 동일 시스템에 연동되고, 핵심 DB 접근에 인증 절차가 없었던 점이 주요 원인으로 지적됐다. 개인정보위는 지난해 8월에 SKT에 과징금 1348억원을 부과했다.

지난해 초 GS그룹 계열사에서도 대규모 개인정보 유출 사고가 발생했다. 1월에는 GS리테일이 운영하는 ‘GS25’ 홈페이지에서 약 9만 명의 개인정보가 유출된 계정 정보를 이용한 대량 로그인 시도로 노출됐다. 이어 2월에는 ‘GS홈쇼핑’에서 이름·연락처·결혼 여부 등 약 158만 건의 개인정보가 추가로 유출됐다. GS그룹은 경위를 조사하고 보안 강화 대책에 나섰다.

‘롯데카드’는 지난해 8월 서버 점검 중 악성코드 감염 사실을 확인하고, 온라인 결제 서버에서도 외부의 자료 유출 시도를 확인해 9월 1일 금융감독원에 신고했다. 금융당국은 조사를 통해 200GB와 고객 297만명의 개인정보 유출 사실을 확인했다. 해킹은 8월 14일부터 27일까지 지속됐지만, 롯데카드는 8월 31일에야 인지했다. 금융감독원과 금융보안원은 사고 접수 후 즉시 현장조사에 착수했고, 롯데카드에 대한 이상 금융거래 모니터링을 강화했다.

 

‘넷마블’은 지난해 11월 22일 회원 611만명의 개인정보가 유출됐다. 유출된 정보는 이름, 생년월일, 암호화된 비밀번호, 일부 아이디·이메일, 그리고 PC방 가맹점 정보 6만6000여 건과 전·현직 임직원 정보 1만7000여 건이었다. 또 삭제된 휴먼 아이디 및 암호화된 비밀번호 약 3100만 개가 추가로 유출됐다. 넷마블은 해킹을 11월 22일 오후 9시 무렵에 인지했지만, KISA에는 약 72시간 후에 신고했다. 이번 사고는 휴면계정 정보까지 포함돼 논란이 됐다.

 

‘LG유플러스’가 KISA로부터 내부 시스템의 데이터 유출 정황을 통보받은 뒤, 유출이 의심된 APPM 서버의 운영체제를 8월 12일 업그레이드하면서 로그와 침해 흔적이 지워졌다. 협력업체 연관 서버들도 물리적으로 폐기됐다.

 

미국 보안매체 프랙은 8000여대 서버 목록, 4만여개 계정 정보, 직원 167명의 이름과 아이디가 유출됐다고 보도했다. 과기정통부는 현장 조사에서 서버 목록과 계정 정보 등 일부 개인정보 유출을 확인했지만, 고객 정보 유출 여부는 서버 폐기와 OS 초기화로 확인 불가능했다. 서버 관리와 사고 대응 과정에 부실 의혹이 제기됐다.

 

◇ KT, 2만2천227명의 개인정보 유출 

‘KT’에서 지난해 8월 말~9월 초에 불법 초소형 기지국(펨토셀)을 악용한 해킹으로 가입자 2만2227명의 개인정보가 유출됐고 그 중 368명은 약 2억4300만원의 금전적 피해도 있었다. 피의자들은 이동식 펨토셀로 IMSI를 탈취하고, 상품권 등을 결제·현금화했다.

 

과기정통부 민관합동조사단은 KT의 펨토셀 관리 부실을 인정하고, 피해액 전액을 KT가 부담하며 계약해지 시 위약금을 면제하도록 했다. KT는 피해 고객에게 데이터 100GB 제공 등 보상안을 내놓았다.

‘예스24’는 지난해 6월 9일 새벽 랜섬웨어 공격으로 웹사이트와 앱 접속이 전면 중단되며 도서 주문, 전자책, 공연·티켓 예매 등 핵심 서비스가 모두 마비됐다. 회사는 초기 공지에서 ‘시스템 점검’만을 안내해 해킹 사실을 숨겼다는 비판을 받았고, 실제 공격 사실 인정은 하루 뒤에 이뤄졌다. 이 사고로 약 2000만명의 회원이 피해를 봤으며, 메인 서버와 함께 백업 서버까지 감염돼 복구 난도가 크게 높아졌다. 보안 대응과 초기 대응 적절성에 논란이 이어졌다.

 

 

◇ 기술적 미흡보다 기본수칙 미흡 문제가 더 심각

해킹과 이에 따른 개인정보 유출 사고는 매년 되풀이되고 있다. 특히 지난해 해킹 사고는 규모없이 전례가 크다는 것이 주목할 만하다.

 

쿠팡은 3370만명, SK텔레콤은 2324만명, 넷마블은 612만명, 롯데카드는 297만명 등이다. 우리나라 전체 인구가 5160만명에 달하는 만큼 중복 없이 단순 계산으로 봐도 한국인 전체가 최소한 개인정보 유출을 1회 이상 겪은 셈이다.

지난해 유출 사고를 종합해 볼 때 기술적 문제보다는 운영·관리 부실 등 기본수칙을 무시한게 큰 화로 이어졌다고 분석할 수 있다. SK텔레콤·롯데카드는 계정·인증 정보를 암호화하지 않았고, 롯데카드는 8년간이나 보안 패치 없이 노후된 시스템을 방치했다. 쿠팡은 직원 관리 부실로 퇴직자가 인증키를 갖고 퇴사했다. 넷마블은 웹사이트 취약점이 외부 침입으로 이어졌다.

실시간 모니터링 체계의 미흡도 문제다. SKT는 내부망에 악성코드가 심겼으나 4년 넘게 인지하지 못했고, KT는 침해 흔적을 보고도 18개월간 신고하지 않았다. LG유플러스는 화이트해커 제보로 해킹 정황을 인지했고, 롯데카드는 기본 수칙을 지키지 않아 대형사고로 이어졌다.

 

◇디지털 생태계 불신 확산...개인정보위, 기업 책임 대폭 강화

기업은 해킹 등 외부 침입으로 개인정보가 유출되면 이를 인지한 즉시 개인정보위와 KISA에 신고해야 한다. 개인정보 보호법은 유출 사실을 알게 된 때부터 72시간 이내 신고하도록 규정하며, 유출된 정보의 종류·규모·경위·피해 방지 계획 등을 포함해야 한다.

개인정보위는 국내 기업의 잦은 해킹 피해 원인으로 높은 IT 의존도와 낮은 정보보호 투자 등을 지적했다. 위원회는 올해 반복·중대 위반에 대해 전체 매출액의 최대 10%까지 부과하는 징벌적 과징금 특례를 도입할  예정이다.

 

또 개인정보 보호법 개정을 통해 단체소송 대상 범위에 금전적 보상을 요구할 수 있도록 소송 요건에 손해배상을 추가하고, 개인정보 분쟁조정 신청과의 연계로 공익단체가 대표로 소송을 진행해 일반 국민의 소송비용 부담을 완화한다. 정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증 방식도 개선된다. 이 외에도 현장 점검 확대 및 개인정보 특화 전문인력 등을 양성해 지원할 예정이다.

 

 

◇새해의 시작, 새로운 위협 유형 따른 대응 방안은

생성형AI 확산은 새로운 비즈니스 기회를 열었다. 하지만 AI 생명주기 전반에서 새로운 보안 위협도 드러냈다. 보안업계는 데이터 수집부터 모델 학습·배포·유지관리까지 각 단계에서 발생하는 취약점이 ‘AI 공급망 공격’으로 이어질 수 있다고 경고한다. 또 중앙 플랫폼 의존과 오픈소스 활용 증가를 악용한 소프트웨어 공급망 공격이 소스·빌드 무결성 단계에서 발생하는 만큼, 플랫폼 제공자와 사용자 모두가 개발 전 과정의 보안을 강화해야 한다는 지적이 나온다.

클라우드·원격근무·사물인터넷 등으로 공격 접점이 확대되며 기업은 공급망 보안, 데이터 거버넌스(데이터의 안전한 관리·활용을 위해 마련하는 원칙·정책·프로세스), 위협 헌팅을 포함한 다층방어체계를 구축해야 한다.

 

전문가들은 "사고 자체보다 ‘늦게 발견하는 것’이 더 큰 문제"라고 지적한다. 계정·권한·로그 관리와 같은 기본 운영 보안의 중요성이 강조되어야 한다는 것이다. 완벽한 방어가 불가능한 만큼, 공격을 견디고 빠르게 복구하는 ‘보안 회복력(Resilience)’ 확보가 필수라는 분석이다.

AI 기반 공격 기술이 고도화되면서 피싱·악성코드 생성이 자동화되고, 공격 전략은 더욱 유연해졌다. 공격이 빨라지며 탐지 시간도 줄어드는 상황에서 기업은 여전히 ‘해킹 이후의 복원’보다 ‘해킹 자체를 막는 것’에 대한 투자가 부족하다.

 

보안 인력을 서류상으로만 유지한 채 겸업을 시키고, 실제 보안은 외주로 돌리는 구조가 고착화되면서 프로세스 준수조차 제대로 이뤄지지 않는다는 지적이 나온다. 보안 직무 기피 현상과 인력 부족도 악습되고 있다.

한 보안전문가는 “기업의 보안 인식이 법적 책임 최소화에만 신경쓰며, 보안팀과 타 부서와의 소통 부재는 위험을 더 키운다”고 꼬집었다. 보안팀과 타 부서간 유기적으로 협력하고, 내부 규정을 모두가 따르는 문화가 자리 잡아야 한다는 목소리가 커지는 이유다. 이에 패스키, 생체인증 등 불편함을 최소화한 고급 보안 기술을 도입하고, 보안을 조직 전체의 문제로 인식하는 문화적 변화가 시급하다는 지적이다.

최근 해킹그룹은 내부자를 포섭해 데이터를 구매하는 특징이 있다. 이에 대해 전문가는 “서드파티(협력업체)는 본사에 비해 대우가 좋지 않으니, 돈을 찔러 주면 데이터를 빼돌릴 수 있다”고 분석했다. 그러면서 “해커들이 돈을 무기로 내부자를 포섭해 데이터를 빼돌리는 빈도가 올해부터 급격하게 늘어날 것이며, 해킹에 의한 데이터 탈취가 아니어서 시스템에 의한 추적도 어려울 것"으로 전망했다.