작년 해킹 2383건 역대 최다…“기본 보안 실패가 반복돼 뚫렸다”

정옥재 기자 2026. 3. 29. 19:41
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
입법조사처, 주요 침해사고 분석

- SKT·KT 공급망 관리 미흡 확인
- 쿠팡 등은 ‘자산·계정 관리’ 실패
- “보안·점검체계 강화 등 法추진을”

지난해 대한민국은 공공과 민간에서 사이버 보안이 구조적으로 취약했다는 것을 드러낸 한 해였다. 이와 관련, 대기업이 사이버 침해사고를 내고도 정보를 폐기하거나 조사를 방해하면 사이버 침해사고를 유발한 것으로 추정하자는 입법 제안이 나왔다.

이미지 출처 : 아이클릭아트

이미지 출처 : 아이클릭아트


국회입법조사처는 지난해 주요 사이버 침해사고를 유형별로 분석한 ‘기본부터 다시 갖춰야 할 정보보호 체계: 2025년 사이버 침해사고 유형 분석 및 제도 개선과제’ 보고서를 내어 이같이 밝혔다. 입법조사처에 따르면 지난해 한국인터넷진흥원에 접수된 사이버 침해사고는 2383건으로 전년 대비 26.3% 증가하며 역대 최다였다. SK텔레콤, 롯데카드, 쿠팡의 고객정보 유출, KT의 불법 펨토셀(초소형·저출력 기지국) 침해사고, 예스24와 SGI서울보증의 랜섬웨어(사용자 데이터를 볼모로 금전을 요구하는 침해 방법) 공격 등 디지털 인프라 전반에서 침해사고가 발생했다.

이번 보고서는 지난해 주요 침해사고 7건(SKT·롯데카드·쿠팡·KT·예스24·SGI서울보증·정부 행정망)을 침해 원인과 정보보호 체계상의 문제를 기준으로 분석해 ▷기본 보호조치 미흡 ▷자산·계정 관리 실패 ▷보안 설계 취약 ▷공급망 위협 등 4가지 취약 유형으로 분류했다.

SKT와 SGI서울보증은 기본적인 보호조치 미흡 사례로 분류된다. 핵심 계정정보의 평문 저장(비밀번호를 암호화하지 않고 사람이 읽을 수 있도록 데이터베이스에 저장하는 것), 기본적인 접근통제 조치 미흡 등 최소한의 보안 관리가 제대로 이뤄지지 않았다.

KT, 예스24, 롯데카드, 쿠팡 경우는 자산·계정 관리 실패 사례였다. 정보자산의 식별 및 현황 관리가 제대로 이뤄지지 않거나 퇴사자 계정 등이 방치되면서 침해사고가 발생했다.

또한 SKT와 KT는 공급망 관리 미흡으로 인한 보안 위험으로도 확인됐다. 협력업체로부터 공급받은 소프트웨어나 장비에 대한 보안 검증 및 관리가 충분히 이뤄지지 않아 외부 위험이 내부 시스템으로 유입됐다. 조사처는 이번 보고서에서 “주요 침해사고 7건이 첨단 해킹 기법에 의한 것이라기보다는 기본 보안 실패가 반복된 결과”라고 지적했다.

조사처는 이에 따른 개선 과제로 사전 예방 단계에서는 ▷제로 트러스트(기본 신뢰를 전제하지 않고 항상 검증하는 방식) 확산 ▷취약점 신고제도 활성화 ▷공급망 보안 강화 ▷보안인증 제도 실효성 제고를 제안했다.

조사처는 기존 신뢰 기반 보안 체계의 한계가 드러난 만큼 ‘제로 트러스트 보안 모델’을 확산하기 위해 법적 근거를 강화할 필요가 있다고 제안했다. 전자정부법 개정을 통해 공공분야 도입을 의무화하고 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정을 통해 민간 영역에 대한 재정적 지원 근거 마련을 검토해야 한다는 것이다.

또 2012년 10월부터 취약점 신고포상제가 운영되지만 포상금 수준(5만 원~1000만 원)이 낮아 적극적 유인에 한계가 있다는 게 조사처 설명이다.

공급망 보안 규제를 강화하는 유럽연합 등 주요국 입법 동향을 참고해 국내에도 SBOM(Software Bill of Materials·소프트웨어 구성 내용 목록화·공개) 제도를 도입하되 우선 공공부문을 중심으로 의무화를 추진하고 민간 부문에는 단계적 적용을 검토할 필요가 있다. SBOM 제도를 도입하면 어떤 소프트웨어가 어떤 구성 요소로 이뤄졌는지 파악할 수 있다. 이렇게 되면 체계적인 보안을 강화가 가능하다.

사후 대응 단계에서는 ▷자료 보전 의무 강화 ▷해커 처벌 및 범죄수익 환수 체계 정비 ▷피해자 보상 체계 확충 방안을 제안했다. SKT·KT·쿠팡 외에 LGU+도 침해가 의심되는 서버에 OS(운영체제)를 재설치하거나 폐기해 논란이다.

정보통신망법 개정을 통해 현재 ‘정부 명령’을 전제로 발동되는 자료 보전 의무 침해 정황을 인지한 시점부터 즉시 발동되도록 하고 관련 의사결정의 책임이 기업의 상위 의사결정자에게 귀속되도록 하며 자료보전 의무 위반으로 ‘조사 불능’ 결과가 발생한다면 기업 귀책사유로 인해 침해사고가 발생한 것으로 법률상 추정하는 규정을 두는 방안을 검토할 필요가 있다는 것이다.

조사처는 “기업이 최소한의 기본 보안조치를 충실히 이행하도록 유도하고 점검하는 선제적 관리를 강화해야 한다”며 “국회 역시 정부의 정보보호 관리·점검 기능을 지속적으로 감독하고 정보보호 체계 개선을 위한 입법을 신속히 추진해야 할 것”이라고 강조했다.
◇ 2025년 주요 사이버 침해사고 유형별 구분
유형 특징 사고업체 원인 및 문제점
기본 보호조치 미흡형 암호화·점검 등 최소 보호조치 이행 실패 SK텔레콤·SGI서울보증 핵심 계정정보 평문 저장 등
자산·계정 관리 실패형 장기 미사용 정보자산, 퇴사자 계정 등 방치 KT·예스24·롯데카드·쿠팡 미사용 펨토셀 관리 부실 등
보안 설계 취약형 인증·접속 구조의 설계 취약 정부 행정망 VPN 및 내부망 접근통제 인증체계 미흡
공급망 위협형 외주 장비·SW 구성요서 검증·관리 미흡 SK텔레콤·KT 협력업체 공급 SW 보안점검 미흡 등
※자료: 국회입법조사처, 일부 사건 조사가 진행 중으로 조사 결과에 따라 사실관계가 바뀔 수 있음.

Copyright © 국제신문. 무단전재 및 재배포 금지.

국제신문에서 직접 확인하세요. 해당 언론사로 이동합니다.