[법으로 읽는 경제 인사이트 | 강화되는 규제, 진화하는 해킹] 연이은 해킹에 정보 보호 책임 강화, 기업 선제적 방어 필요
2025년은 우리나라 사이버 보안 역사에서 하나의 분기점으로 기록될 가능성이 크다. 한국인터넷진흥원에 접수된 사이버 침해 사고는 2383건으로 전년 대비 26.3% 늘어나면서 역대 최대치를 기록했다. SK텔레콤, 롯데카드, SGI서울보증, 쿠팡, 예스24, GS리테일, 듀오 등 주요 기업이 연이어 공격받았고 통신·금융·플랫폼을 가리지 않았다. 국가 행정망마저 침해 사고에서 벗어나지 못했다.
이는 개별 기업의 문제가 아니라 우리 사회 전반의 디지털 신뢰 기반이 구조적으로 흔들리고 있음을 보여주는 신호였다. 이런 상황은 자연스럽게 입법 논의를 촉발했다.
기업의 정보 보호 책임을 어디까지 강화할 것인가 그리고 피해를 본 이용자를 어떻게 실질적으로 보호할 것인가라는 두 질문이 2025년 하반기부터 2026년 초까지 이어진 개인정보보호법, 정보통신망법, 전기통신사업법 개정 논의의 중심에 자리 잡았다.
지난 3월 개정된 정보 보호 법안 무엇이 달라질까
첫째, 개인정보보호법은 개인정보 거버넌스를 기업 경영의 의제로 끌어올리는 방향으로 개정됐다(2026년 3월 10일 개정). 개인정보보호책임자(CPO)의 역할을 확대하면서 사업주 또는 대표자를 개인정보 처리 및 보호의 최종 책임자로 명시하고 관리·감독 의무를 부과하며, 대통령령으로 정하는 규모 이상의 개인정보 처리자는 개인정보보호책임자 지정·변경·해제 시 이사회 의결을 거쳐 개인정보보호위원회에 신고하도록 했다.
특히 유출 통지 제도가 크게 강화됐다. 이전에는 유출이 발생한 경우에만 통지 의무가 발생했지만, 개정 이후에는 ‘유출 등의 가능성을 인지한 시점’부터 통지 의무가 발생한다. 또한 통지 대상인 ‘유출 등’의 범위에 분실·도난·유출뿐 아니라 위조·변조·훼손도 포함되며, 통지 내용에는 손해배상 및 분쟁 조정 절차에 관한 안내도 포함된다. 또 반복적이고 중대한 침해에 대해서는 과징금 부과 체계가 강화됐고, 일정 규모 이상의 기업에는 개인정보 보호 인증 의무도 도입됐다. 전반적으로 사후 책임뿐 아니라 사전 예방과 경영진의 책임이 커지고 있다.
둘째, 정보통신망법 개정 역시 기업의 정보 보호 거버넌스를 강화하는 방향성을 보인다(2026년 3월 31일 개정). 중기업을 제외한 사업자는 정보보호최고책임자(CISO)를 임원으로 지정하고 필요한 인력과 예산을 갖춰야 하며, 일정 기준 이상 사업자는 정보보호최고책임자를 위원장으로 하는 정보보호위원회를 설치·운영해야 한다. 침해 사고 발생 시 이용자 통지 및 피해 구제 조치 의무가 신설되었고, 고의 또는 중과실에 따른 반복적 사고에는 과징금이 부과된다. 또한 조사 과정에서 자료 제출 거부나 조사 방해 등이 있을 경우 이행강제금을 부과할 수 있도록 해 기업의 조사 협력 의무도 강화했다.
셋째, 전기통신사업법 개정은 전기통신 사업자의 침해 사고 대응 실효성을 높이는 데 초점을 맞췄다(2026년 3월 31일 개정). 전기통신 사업자에게 침해 사고 발생 대비를 위한 이용자 보호 매뉴얼 작성·운용 의무를 부과하고, 침해 사고 발생 시 과학기술정보통신부 장관이 이용자 보호를 위해 긴급히 필요하다고 판단하면 전기통신 사업자에게 특정 부가 서비스 제공 등 필요한 조치를 명할 수 있도록 했다. 이는 과거 해킹 사고 당시 유심 보호 서비스 자동 가입 조치의 위법성이 논란이 되었던 점을 제도적으로 해소하기 위한 것이다.
기본적인 보안 시스템이 작동하지 않은 이유는
정보 보호 관련 입법은 현재진행형이다. 집단소송, 자료 보전 의무, 손해배상책임 입증 전환 등 추가적인 법안이 이미 다수 발의돼 있으며 향후 논의는 더 확대될 것으로 예상된다. 정보 보호에 대한 기업 책임을 강화하고 이용자 보호를 확대하는 방향은 앞으로도 지속될 가능성이 크다. 이에 따라 기업은 개인정보 보호와 정보 보안 문제를 경영진의 핵심 의제로 인식하고, 이에 상응하는 투자와 대응 체계를 정비할 필요가 있다.
다만 2025년 침해 사고는 상당수가 고도화된 해킹 기술 때문이 아니라 기본적인 보안 관리 부실에서 비롯된 것으로 확인된다. 취약점 점검 미흡, 접근 권한 관리 부실, 이상 징후 탐지 체계 부족 등 오래된 문제가 반복된 것이다.
구체적인 사례를 보면, 이런 문제는 더 분명해진다. SK텔레콤은 핵심 인증 기반 시스템인 음성 통화 인증 관리 서버의 계정 정보를 다른 서버에 평문으로 저장하고, 유심 인증키값 역시 암호화하지 않은 상태로 관리 한 것으로 드러났다. SGI서울보증은 SSH(Secure Shell·원격지의 셸에 접속하기 위해 사용되는 네트워크 프로토콜) 무차별 대입 공격을 방어하기 위한 로그인 시도 횟수 및 속도 제한 장치를 마련하지 않는 등 기본적인 접근 통제 조치가 미흡했다. KT의 경우 모든 펨토셀 장비에 동일 제조사의 인증서를 사용하고 인증 유효기간도 장기간으로 설정했고, 접속 과정에서 비정상 IP 차단이나 펨토셀 고유 번호, 설치 지역 정보에 대한 검증이 이루어지지 않아 자산 및 계정 관리의 취약성이 드러났다. 예스24는 기술 지원이 종료된 운영체제를 사용함으로써 랜섬웨어 공격에 취약한 상태였고, 쿠팡은 퇴사자 계정 관리가 제대로 이루어지지 않아 내부 통제의 허점이 노출됐다.
최근 발생한 대부분의 사고는 기업 내부에서 기본적인 보안 거버넌스가 충분히 작동하지 못한 데서 비롯된 경우가 많았다. 앞으로는 이 같은 사고 발생 시에 기업이 부담해야 할 책임과 비용이 더 많아질 것으로 보인다. 과징금과 이행강제금 등 행정 제재뿐만 아니라, 이용자에 대한 손해배상책임과 집단적 분쟁 가능성까지 동시에 확대되고 있기 때문이다. 따라서 기업은 사전 예방 보안 체계를 마련해야 한다. 위험을 선제적으로 식별하고, 관리 체계를 지속적으로 점검·개선할 수 있도록 충분한 인력과 재원 그리고 정책적 역량을 확보하는 것이 필수적이다. 보안은 더 이상 비용이 아니라 경영의 핵심 인프라로 인식되어야 한다.
AI 공격 등 미래 보안 선제 대응해야
인공지능(AI) 기술이 확산하는 환경에서는 공격 역시 자동화되고 고도화되는 경향을 보일 것이다. AI 기반 공격은 탐지와 대응을 더 어렵게 하고, 피해 규모 역시 확대될 가능성이 크다. 피지컬 AI(Physical AI·자율주행차나 로봇 등 물리적 세계에 영향을 미치는 AI)와 AI 에이전트가 일상화되는 단계에 이르면, 사이버 침해는 단순한 정보 유출을 넘어 물리적 피해로 이어지거나, 복잡한 권리관계 분쟁을 촉발하는 등 그 파급력이 한층 커질 수 있다. 이런 변화는 기존의 경계 중심 또는 시그니처 기반에 의존하는 전통적인 보안 모델로는 한계가 있음을 의미한다. 기업은 이상 징후 탐지, 대응, 복구 역량을 포함한 보다 종합적인 보안 체계로 전환해야 한다. 기업은 보안 체계 전반을 재점검하고, 이상 징후 탐지와 대응 그리고 복구 역량을 포함한 보다 종합적인 보안 전략으로 전환할 필요가 있다.
2025년의 침해 사고는 특정 시기에 우연히 집중된 결과가 아니다. 그동안 누적되어 온 정보 보호 관리의 취약성과 안이한 인식이 한 번에 드러난 결과다. 이러한 문제를 해소하지 않는다면 유사한 사고는 반복될 수밖에 없다.
앞으로는 사이버 범죄의 피해 규모가 더 커질 것이고, 이에 대응하는 법적 규율 역시 계속 강화될 것이다. 이미 관련 입법은 빠르게 확대되고 있으며 기업의 책임과 의무는 점차 무거워지는 추세다. 기업은 이러한 변화를 단순한 규제 부담으로만 인식할 것이 아니다. 보안 역량을 경쟁력의 일부로 내재화해야 한다. 입법 동향을 면밀하게 주시하는 한편, 선제적인 보안 강화와 체계 정비를 통해 위험에 대비하는 것이 무엇보다 중요한 시점이다.
Copyright © 이코노미조선. 무단전재 및 재배포 금지.