[아이뉴스24 박정민 기자] 인공지능(AI)·랜섬웨어·해킹조직 증가로 지난해에 이어 올해도 대한민국을 둘러싼 해킹 공포는 계속될 전망이다. 해킹 사고 피해를 줄일 방법은 무엇일까. 현재 보안 실태를 짚어보고 대안을 제시한다.[ 편집자]
![지난달 17일 국회 과학기술정보방송통신위원회에서 쿠팡 개인정보 유출 사태 관련 청문회가 열린 가운데 이날 서울 시내 한 쿠팡 물류센터에서 배송 기사가 발걸음을 옮기고 있다. [사진=연합뉴스]](https://image.inews24.com/v1/fc82839574196d.jpg)
지난해 대한민국에서는 유통·통신·금융 등 분야를 가리지 않는 대형 사이버 보안 사고의 연속이었다. 1월 160만명 이상의 고객 개인정보가 유출된 GS리테일부터 3300만명 이상의 역대급 유출 사고를 낸 쿠팡까지 '한 달에 한 번' 꼴로 사고가 계속됐다.
그러나 역설적으로 지난 4년간 국내 주요 기업의 정보보호 투자 규모는 꾸준히 증가했다. 정보보호 투자가 많았던 기업일수록 보안 사고에 취약했던 역설을 두고, 투자 규모와 실제 기업들의 사이버 보안 인식 수준은 별개라는 지적이 나온다.
보안 투자 4년 만에 '2조 규모'…해킹은 '1년 내내'
지난달 과학기술정보통신부가 발표한 '2025 정보보호 공시 현황 분석보고서'에 따르면 2025년 정보보호 투자액·인력을 공시한 국내 773개 기업의 총투자액은 2조 4230억원을 기록했다. 2024년(2조 1126억원) 대비 14.3% 증가했으며, 4년 전인 2022년(1조 5072억원)보다는 60.8% 늘었다.
![지난달 17일 국회 과학기술정보방송통신위원회에서 쿠팡 개인정보 유출 사태 관련 청문회가 열린 가운데 이날 서울 시내 한 쿠팡 물류센터에서 배송 기사가 발걸음을 옮기고 있다. [사진=연합뉴스]](https://image.inews24.com/v1/c3cbae563aab59.jpg)
공시 기업의 평균 정보보호 투자액도 2022년 23억원에서 지난해 32억원으로 4년간 39.1% 증가했다. 평균 정보보호 인력은 9명에서 11.2명으로 24.4% 늘었다. 과기정통부는 2022년 정보보호 공시 의무화(의무·자율) 도입 이후 정보보호에 대한 기업들의 관심이 증가했다고 설명했다.
그러나 지난해는 국내 주요기업에서 대형 사이버 보안 사고가 끊이지 않았다. 1월 GS리테일을 시작으로 4월 SK텔레콤, 8월 롯데카드·예스24·KT, 10월 LG유플러스, 11월 쿠팡과 넷마블, 12월 신한카드·신세계·대한항공까지 해킹, 개인정보 유출 사고가 발생했다.
사고 유형도 다양했다. GS리테일의 경우 기존 유출 정보로 무차별 로그인을 시도하는 '크리덴셜 스터핑' 공격이 원인이었다. SKT는 악성코드 'BPF도어(Door)'로 홈가입자서버(HSS) 해킹이 발생해 2600만건 이상의 유심(USIM) 정보가 새 나갔다. 롯데카드와 예스24는 각각 악성코드·랜섬웨어 공격, KT는 불법 초소형 기지국(펨토셀)으로 인한 무단 소액결제, 쿠팡은 전직 직원의 인증키 유출로 인한 사고였다.
![지난달 17일 국회 과학기술정보방송통신위원회에서 쿠팡 개인정보 유출 사태 관련 청문회가 열린 가운데 이날 서울 시내 한 쿠팡 물류센터에서 배송 기사가 발걸음을 옮기고 있다. [사진=연합뉴스]](https://image.inews24.com/v1/2440fabd6d3c85.jpg)
'보안 중요성 인식' 79%…실제 조직율 32.6%
역설적으로 사이버 공격이 집중됐던 업종, 기업들은 정보보호 투자 규모가 많았다는 공통점이 있다. 지난해 '금융·보험업'의 평균 정보보호 투자액은 85억원을 기록해 전체 업종 중 1위를 기록했으며, '정보통신업(62억원)', '도·소매업'이 그 다음을 차지했다.
기업별로는 KT(1250억원), 쿠팡(890억원), SKT(652억원)가 1위인 삼성전자(3478억원) 다음으로 지난해 정보보호 투자액 2·3·5위를 차지했으며, 쿠팡의 경우 삼성전자(503억원)에 이어 증액 규모가 2번째(230억원)였다. 쿠팡의 정보보호 인력 규모도 20.7명 증가한 211.6명으로 공시 기업 중 9위였다.
그러나 쿠팡은 3370만건 이상의 초대형 개인정보 유출사고를 일으켜 부실한 내부자 관리 실태가 도마 위에 올랐으며, KT나 SKT의 경우에도 보안 부실에 대한 문제가 지적됐다. 보안업계에서는 실제 기업의 사이버 보안 수준과 투자 규모는 별개로 봐야 한다고 설명한다.
![지난달 17일 국회 과학기술정보방송통신위원회에서 쿠팡 개인정보 유출 사태 관련 청문회가 열린 가운데 이날 서울 시내 한 쿠팡 물류센터에서 배송 기사가 발걸음을 옮기고 있다. [사진=연합뉴스]](https://image.inews24.com/v1/1dfab1483dce25.jpg)
'2024 정보보호 실태조사'에 따르면 국내 6500개 기업 중 79%는 '정보보호 중요성을 인식한다'고 밝혔으나, 실제 기업 내 정보보호 정책·조직 보유율은 각각 51.6%, 32.6%에 그쳤다. 사내 정보보호 교육 실시 기업도 36.7%에 불과했다. 표면적으로는 보안의 중요성을 강조하면서도 우선순위는 아니었던 것이다.
특히 250명 이상을 보유한 대·중견기업보다 10~49명 규모의 중소기업의 실태가 더 열악했다. 10~49인 기업의 정보보호 정책 보유율은 250명 이상 기업(98.7%)보다 크게 낮은 48.9%를 기록했으며, 전담 조직 보유율도 250명 이상 기업(33.9%)보다 크게 낮은 1.6%였다.
보안업체 관계자는 "중소기업의 경우 인식 수준도 낮지만, 대기업과 달리 보안에 투자할 여력이 부족한 것도 큰 문제"라며 "최근 협력사·하청업체를 거쳐 대기업을 노리는 '공급망 공격'이 증가하는 상황에서 중소기업의 취약한 사이버 보안은 빗장을 열어두는 격이 될 수 있다"고 경고했다.
/박정민 기자(pjm8318@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기