[아이뉴스24 박정민 기자] 2025년은 유통·통신·금융·게임 등 분야를 가리지 않는 사이버 보안 사고가 잇따라 '역대급' 한해를 보냈다는 평가를 받는다. 연이은 사고로 기업들의 취약한 보안 실태가 도마 위에 오른 반면, 정부와 보안업계는 '제로트러스트' 체계를 본격적으로 도입하는 등 공공·민간 보안 강화에 나섰다.
![국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사태 관련 청문회가 열린 지난 17일 서울 시내의 한 쿠팡 물류센터 모습. [사진=연합뉴스]](https://image.inews24.com/v1/bb61ac6ab2d0dc.jpg)
'크리덴셜 스터핑' 공격당한 GS…통신 3사, 차례로 타격
올해 도미노처럼 계속됐던 보안 사고의 포문은 GS리테일이 열었다. GS리테일은 지난 1월 GS25와 GS샵 웹사이트 해킹으로 160만명이 넘는 고객 개인정보가 유출됐다고 밝힌 바 있다. 다른 사이트에서 무작위로 수집한 아이디·비밀번호로 로그인을 시도하는 '크리덴셜 스터핑' 공격이 원인이었으며 지난해 6월부터 올 2월까지 8개월간 고객의 이름, 연락처, 메일주소, 개인통관번호 등 개인정보가 유출된 것으로 추정된다.
지난 4월 말에는 SK텔레콤에서 악성코드 'BPF도어'로 인한 홈가입자서버(HSS) 해킹으로 2600만건이 넘는 유심(USIM) 정보가 유출돼 충격을 안겼다. 이후 SKT 가입자들이 대규모로 유심을 교체하는 '유심 대란' 사태가 벌어졌다. SKT 이외에도 8월 KT에서는 불법 초소형 기지국(펨토셀)으로 인한 무단 소액결제 사고, LG유플러스에서는 인공지능 통화 앱 '익시오' 개인정보 유출 사고가 발생하면서 통신 3사의 취약한 보안 실태가 도마 위에 올랐다.
통신 이외의 분야에서도 해킹 사고는 계속됐다. 지난 6월 온라인 서점 플랫폼 예스24에서 랜섬웨어 공격이 발생해 서비스가 마비되는 사고가 발생했다. 8월까지 공격에 노출된 예스24의 경우 데이터 외부 백업 등 기초적인 보안 체계 구축에 소홀했다는 비판을 받았다. 금융업계에서도 SGI서울보증(7월), 롯데카드(8월), 가상자산 거래소 업비트(11월) 등에서 해킹 사고가 이어졌다.
![국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사태 관련 청문회가 열린 지난 17일 서울 시내의 한 쿠팡 물류센터 모습. [사진=연합뉴스]](https://image.inews24.com/v1/225f081adbd537.jpg)
보안 기업도 당했다…정부와 맞서겠다는 쿠팡
올해 사고는 보안 기업인 SK쉴더스(10월)에 이어 게임사 넷마블(11월)에서도 발생해 연말까지 이어졌다. 급기야 지난달 전 국민이 이용하는 쿠팡에서 약 3370만개의 대규모 개인정보가 유출되는 사고가 발생해 정점을 찍었다.
쿠팡의 경우 전직 내부 직원이 고의로 고객정보를 유출한 정황이 드러나면서 정치권과 보안업계를 중심으로 쿠팡의 허술한 내부자 관리 시스템에 대한 지적이 이어졌다. 아울러 쿠팡의 실질적 지배자인 김범석 쿠팡 Inc 의장이 국회 청문회에 출석하지 않는 점, 쿠팡이 '외부 유출 정황은 드러나지 않는다'는 조사 내용을 일방적으로 발표해 정부와 대립각을 세우고 있는 점도 비판받고 있다.
정부는 쿠팡 사태를 계기로 국내 최상위 보안 인증인 '정보보호·개인정보관리체계(ISMS-P)' 인증과 개인정보 유출 사고 과징금 강화, 징벌적 손해배상제 도입 논의를 본격화했다. 아울러 쿠팡 사태 여파가 계속되자 범부처 태스크포스(TF)를 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 격상해 대응을 강화했다. 한편 최근 신한카드에서 내부 관리 소홀로 고객 19만명의 개인정보가 유출되는 사고가 발생하면서 쿠팡 사태와 별도로 국내 기업의 내부자 관리 시스템을 전면 점검해야 한다는 목소리도 나온다.
![국회 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사태 관련 청문회가 열린 지난 17일 서울 시내의 한 쿠팡 물류센터 모습. [사진=연합뉴스]](https://image.inews24.com/v1/799888f5994b75.jpg)
정부 'N2SF' 도입 본격화…차등적 보안 체계
올해 '대한민국 전체가 해킹됐다'는 평가가 나오는 상황에서 정부와 보안업계는 내·외부 구분 없이 모든 요소를 검증하는 보안 체계인 '제로트러스트(Zero Trust)' 구축을 본격화했다.
지난 9월 국가정보원은 공공정보를 중요도에 따라 '기밀(C)·민감(S)·공개(O)' 등급으로 분류해 보안을 차등 적용하는 제로트러스트 기반 보안 체계인 '국가망보안체계(N2SF)'를 정식 발표했다. 이후 보안업계는 기존 망 분리 규제 체계를 벗어나 인공지능(AI), 클라우드 기반 보안 플랫폼 공급을 확대하고 있다.
한편 미국 보안 전문지 '프랙'이 지난 8월 온나라시스템 등 정부 행정 시스템의 취약성을 폭로하면서 정부는 별도로 보안 강화에 나서고 있다. 지난 10월 과기정통부, 개인정보보호위원회 등이 참여하는 '범부처 정보보호 종합대책'이 발표됐으며, 과기정통부와 개인정보위는 최근 해킹 사고 대응·예방을 위한 전담 조직을 별도로 신설, 전담 인력을 확충했다.
안랩·이글루코퍼레이션·시큐아이 등 국내 주요 보안업체들은 AI, 서비스형 랜섬웨어(RaaS)를 활용한 사이버 공격 급증으로 내년에도 기업과 공급망, 국가 기반시설을 상대로 한 해킹 시도가 계속될 것으로 보고 있다.
보안업계 관계자는 "RaaS를 판매하는 해커 조직과 북한·중국 등 해외 지능형지속위협(APT) 조직 간 협력이 강해져 국내 보안 여건이 계속 나빠지고 있는 것은 사실"이라며 "과징금 상향 등 처벌 강화도 중요하겠지만, 보안 솔루션 구축이나 사이버보험에 대한 세제지원 등 기업들이 실질적 보안 강화에 나설 수 있는 유인책을 제도적으로 우선할 필요가 있다"고 밝혔다.
/박정민 기자(pjm8318@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기