4년 전부터 뚫려 있었다… 쿠팡 사태가 드러낸 '보안 연극'의 민낯
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
[우먼센스] 2025년 말, 쿠팡의 대규모 개인정보 유출로 엄청난 공격을 받는 모습을 보면서 국내 주요 기업 보안 부서에는 비상이 걸렸다. 평온해야 할 연말연시였지만, 많은 기업의 보안 담당자들은 휴가 계획을 미루거나 주말까지 반납하며 자사 시스템의 취약점을 긴급 점검해야 했다. 단순히 한 기업의 사고를 넘어, 업계 전반에 '다음은 우리 차례일지 모른다'는 공포가 확산된 것이다.
한 대기업 관계자는 "쿠팡 같은 대형 플랫폼조차 맥없이 뚫리는 것을 보며 경각심이 극에 달했다"며 현장의 무거운 분위기를 전했다. 실제로 최근 크고 작은 정보 유출 사고가 잇따르면서, 그는 "매일 아침 눈뜨면 어디가 털렸는지 확인하는 게 일"이라는 자조 섞인 목소리를 내기도 했다.
결국 핵심은 이 긴박함이 실질적인 방어 체계로 이어지느냐다. 보안 전문가 브루스 슈나이어가 경고했듯, 실제 안전보다 안전해 보이는 것에만 치중하는 '보안 연극(Security Theater)'이 되풀이될 수 있기 때문이다.
보안 연극은 사고를 막는 실질적 조치 대신, 누군가에게 보여주기 위한 형식적인 절차와 과시용 장비에만 집중하는 행태를 비판하는 용어다. 2025년 한국 기업들을 강타한 연쇄 해킹 사고들은 그동안 우리가 얼마나 견고해 보이는 '무대 세트' 뒤에서 위태로운 연극을 이어왔는지를 적나라하게 드러냈다.
문제는 사고가 터진 뒤의 대응마저 '보안 연극'의 연장선에 있다는 점이다. 근본적인 보안 시스템을 뜯어고치는 대신, 당장의 비난을 피하기 위한 파격적인 보상책으로 상황을 모면하려는 시도가 이어지고 있다.
파격적인 보상책, 그 이면에 숨겨진 '갈아탈 곳 없는' 현실
사고가 터진 뒤의 기업 대응 역시 '보안 연극'의 연장선에 있다. 근본적인 보안 아키텍처를 뜯어고치는 고통스러운 혁신 대신, 당장의 여론 화살을 피하기 위한 파격적인 보상안으로 상황을 모면하려는 시도가 이어진다.
2026년 1월, 해킹 피해를 발표한 KT의 '위약금 전액 면제'는 통신업계 전례 없는 파격이었다. 쿠팡의 초기 대응 실패를 목격한 후, '빠른 보상'이라는 카드로 여론을 잠재우려 한 전략적 선택으로 평가됐다.
이는 1년 전 SK텔레콤 사례보다 훨씬 강력한 처방이었다. 2025년 6월, 사고 한 달 만에 보상안을 냈던 SK텔레콤은 판매점 페널티 문제 등이 꼬여 있었다. 반면 KT는 사고와 발표 사이 4개월이라는 공백이 있어 판매점 페널티에서 자유로웠다. 그 사이 유입된 방대한 신규 가입자들까지 면제 대상에 포함되면서 번호이동 건수는 3배 폭증했고, 고객센터는 마비됐다.
하지만 이 소동의 결말은 아이러니했다. 분노한 고객들이 KT를 떠나려 해도 막상 갈 곳이 없었기 때문이다. 온라인 커뮤니티에는 "SKT가 털려서 KT로 왔는데 이제는 어디로 가야 하나, 다음은 LG 차례를 기다려야 하느냐"는 조롱 섞인 글에 수백 개의 공감이 달렸다. 이미 2324만 명을 유출한 SK텔레콤과 은폐 의혹의 LG유플러스까지, 통신 3사가 보안 안전에서 전멸한 상황에서 소비자는 갈 곳이 없었다. 다만 당장 위약금이라도 챙기고 보자는 목소리가 커지면서 2주 만에 무려 31만 명이 KT를 이탈했다.
결국 기업들이 내놓은 보상책은 근본적인 보안 혁신 대신 선택한 '보안 연극'의 마침표였다. 무대 위 조명은 화려했으나, 국민이 안전하게 대피할 공간은 대한민국 어디에도 없었다.
존재조차 몰랐던 '유령 서버'와 방치된 권한
전문가들은 2025년이 유독 사고가 많았던 해가 아니라, 그동안 가려져 있던 해묵은 실패들이 한꺼번에 수면 위로 드러난 해라고 진단한다. 김승주 고려대 정보보호대학원 교수는 "작년에 해킹 사고가 급증한 게 아니라, 대형 사고를 계기로 전수 조사를 해보니 과거부터 존재하던 구멍들이 비로소 보이기 시작한 것"이라고 분석했다.
실제로 SK텔레콤 서버에 해커가 처음 침투한 시점은 사고 발표 4년 전인 2021년이었다. KT의 펨토셀(소형 기지국) 관리 부실 역시 최소 2024년 8월부터 시작됐으나, 그 이전의 피해 규모는 확인조차 불가능했다. 쿠팡 사태 역시 전직 개발자가 퇴사 시 반납했어야 할 인증키를 장기간 보유하며 발생했는데, 실제 공격이 시작된 시점은 기업의 발표보다 훨씬 이전일 가능성이 크다.
왜 이렇게 속절없이 뚫리는가? 김 교수가 지적한 핵심은 '자산 파악의 실패'다. SK텔레콤은 사고 초기에 "모든 정보가 암호화돼 있어 안전하다"고 장담했지만, 조사 결과 회사 관리 목록에도 없던 '임시 서버' 2대가 발견됐다. 개발자들이 작업 편의를 위해 암호를 풀어놓고 사용하다 잊어버린 서버였다. 기업이 자신이 가진 총이 몇 자루인지, 그 총이 어디에 놓여 있는지조차 모르는 상황에서 보안 매뉴얼은 종잇조각에 불과했다.
쿠팡 역시 마찬가지였다. 퇴사자 인증키가 회수되지 않았고, 시스템은 이 키로 생성된 토큰을 정상적인 접근으로 오인했다. 심지어 사용자 계정 번호를 순차적으로 부여하는 초보적인 설계 오류 탓에 공격자는 간단한 자동화 도구만으로 전체 계정을 훑어 내려갈 수 있었다. 관제 시스템은 '누가 들어오는지'만 감시했을 뿐, '어떤 데이터가 밖으로 나가는지'는 전혀 살피지 않았다. 겉보기에 화려한 보안 센터의 대형 모니터들은 사실상 텅 빈 무대 뒤를 비추고 있었던 셈이다.
정부 시스템마저 '해커의 놀이터'로
해킹 피해는 민간에만 머물지 않았다. 2025년 8월, 해외 독립 해커 조직이 발표한 보고서는 대한민국을 충격에 빠뜨렸다. 보안뉴스에 따르면 방첩사, 통일부, 외교부, 행정안전부 등 국가 중추 기관의 시스템이 북한과 중국 배후로 추정되는 해커들에게 장기간 점령당해 있었다는 내용이 보도됐다.
특히 정부 업무 관리 시스템인 '온나라'의 접속 로그와 행정전자서명 인증서가 유출된 대목은 국가 안보의 구멍을 의미했다. 더 뼈아픈 사실은 정부 스스로 이 침투를 탐지한 것이 아니라, 해외 해커인 '세이버(Saver)'가 제보를 해준 뒤에야 비로소 실태를 파악했다는 점이다. 기업들에게는 엄격한 잣대를 들이대며 과징금을 물리던 정부가, 정작 자신들의 안마당이 3년 넘게 유린당하는 것조차 모르고 있었다는 사실은 대한민국 보안 시스템이 총체적인 '연극'이었음을 방증한다는 평가다.
이러한 공백을 틈타 우리 국민의 정보는 다크웹에서 '공공재'처럼 거래되고 있다. 2026년 1월 현재, '다크포럼스' 등 주요 다크웹 사이트에는 한국 연구기관과 대학, 기업 21곳의 데이터 샘플이 실시간으로 올라오고 있다. 이름, 전화번호, 직책은 물론 상세 주소까지 포함된 이 정보들은 보이스피싱과 로맨스 스캠 등 2차 범죄의 완벽한 데이터베이스가 되고 있다.
'보안 연극'의 막을 내리고 진짜 보안으로
정부는 보안 사고 발생 기업에게 매출의 3%에 달하는 징벌적 과징금과 특별사법경찰권 부여 등 강경책을 쏟아내고 있다. 하지만 전문가들은 사후 처벌 강화만으로는 근본적 해결이 불가능하다고 지적한다.
특수문자를 섞은 비밀번호와 주기적인 변경 권고는 이제 실질적 방어보다 책임 회피를 위한 '보안 연극'에 가깝다. 해커가 시스템 내부에 수년간 머물러도 알아채지 못했던 그간의 참사는 우리 보안의 우선순위가 완전히 잘못되었음을 증명한다. 이제 질문은 '어떻게 막을 것인가'에서 '어떻게 탐지하고 대응할 것인가'로 전환되어야 한다. 화려한 보안 장비 뒤에 숨겨진 관리 부실을 인정하고, 시스템의 민낯을 직시하는 것만이 반복되는 유출의 고리를 끊는 유일한 시작점이다.
김태현 기자 toyo@ilyo.co.kr
Copyright © 우먼센스. 무단전재 및 재배포 금지.