SKT 해킹 사태로 보안 관심↑… "정보보호 체계 전면 재검토해야"

작성일 05-12

<div id="layerTranslateNotice" style="display:none;"></div> IT기술 투자에 비해 보안은 소홀 2023년 기준 美 투자액 韓의 2배 '연결고리' 약한 산업·방산 먹잇감 AI해킹 진화 대비 대응 지지부진 정부, 위협평가·체제보완 역할 막중 중소·중견기업에 전방위적 지원을 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="bd3QyQA8y4">
 <figure class="figure_frm origin_fig" contents-hash="a9a6e4cf56d7874991c30818ca2beff0a141df72869325ea60cac9d1c638c2f7" dmcf-pid="KJ0xWxc6yf" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/12/dt/20250512190103274axjw.jpg" data-org-width="640" dmcf-mid="qWuWRW7vl6" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/12/dt/20250512190103274axjw.jpg" width="658">
 </figure>
 <figure class="figure_frm origin_fig" contents-hash="b259aed2148f7f1d764472feb54617e56fbde5f17b2e7268cefc78bf3d0a9ee3" dmcf-pid="9ipMYMkPyV" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/12/dt/20250512190104667vdul.jpg" data-org-width="583" dmcf-mid="BKZOVO5rh8" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/12/dt/20250512190104667vdul.jpg" width="658">
 </figure>
 SK텔레콤(SKT) 유심정보 해킹 사태로 온 나라가 떠들썩해진지도 3주가 흘렀다. 큰 보안사고가 터지면 언제나 그래왔듯 정보보호에 대한 관심을 촉구하는 목소리가 높아진다. 금융부터 유통까지 여러 산업분야에서 부랴부랴 보안대책 강화에 나서는 모습도 보인다.
 수많은 국민의 눈길을 끈 이번 일을 계기로 정보호호 체계에 대한 전면적인 재검토가 필요하다는 지적도 제기된다. 그 대상은 침해사고가 발생한 SKT에만 국한되지 않는다. 또 잠깐 열 올리다 지날 게 아니라 정보보호태세 전반에 대한 근본적인 개선이 이뤄져야 한다는 주장이다.
 ◇보안태세, SKT만 문제가 아니다= SKT는 이번 해킹 사고가 터진 이후 경쟁사 대비 정보보호투자 규모가 작다는 비판을 받아왔다. 정보보호 공시 제도에 따라 SKT가 공개한 2024년 연간 정보보호투자액은 약 600억원으로 전년(약 550억원)보다는 9% 늘었으나 2022년(약 627억원)에 못 미쳤다. 앞서 유출사고를 겪어 보안투자를 늘린 LG유플러스(약 632억원)에 추월당했고, 통신사 중 가장 투자를 많이 한 KT(약 1218억원)와의 차이는 자회사 SK브로드밴드(약 267억원)까지 합쳐도 컸다.
 SKT 또한 정보보호투자 확대가 요구되지만, 이번 사태를 계기로 정보보호태세 재검토가 시급한 곳들은 그 외에도 많다. 한국인터넷진흥원(KISA) 정보보호공시종합포털에 따르면 지난해 정보보호공시를 이행한 기업 중 1위 삼성전자와 이동통신 3사를 포함한 상위 10개 기업의 정보보호투자액이 전체에서 차지하는 비중은 약 37%에 달한다.
 정보보호 공시는 정보보호최고책임자(CISO) 의무지정 대상 중 매출 3000억원 이상 상장사, 일평균 이용자 수 100만명 이상 정보통신서비스 사업자, 기간통신사업자(ISP), 집적정보통신시설(IDC), 클라우드서비스제공사(CSP), 상급종합병원 등을 의무 공시 대상으로 한다. 지난해 공시된 이들의 평균 정보보호투자액은 약 28억2619만원이다. 하지만 의무 공시 대상 중에도 80%가 넘는 곳들이 이 액수에 미치지 못하며 양극화된 상황이다.
 이원태 전 KISA 원장은 "국내 정보보호투자 부족은 주로 경영진의 단기적 성과 중심 사고방식과, 즉각적인 투자수익률(ROI)이 불명확한 정보보호투자를 비용으로 간주하는 낡은 인식 때문"이라며 "경영진과 의사결정자들이 사이버보안의 중요성과 그로 인한 리스크를 명확히 인지하지 못하고 있는 점도 문제다. 잠시 보안에 관심이 높아졌다가 금방 다시 예전으로 돌아가곤 하는 것도 이런 근본적 인식이 바뀌지 않았기 때문"라고 지적했다.
 ◇IT투자는 하는데 보안엔 소홀= 국내 기업들이 선진국 대비 정보보호투자에 소홀하다는 점은 정보기술(IT)투자 규모에 비교하면 확인할 수 있다. 지난해 정보보호 공시 의무 대상 기업들의 IT투자 대비 정보보호투자 비중은 평균 5.8%에 불과했다. IT인프라가 중시되는 의무기업들만 따져도 이 정도라 실상은 더 낮을 것으로 보인다.
 이는 국제사이버보안지수(GCI)에서 2021년 4위, 등급제로 개편된 지난해에도 최상위 1등급을 달성한 사이버보안 강국으로서 한국의 위상과는 동떨어진 수치다. KISA에 따르면 미국기업들의 2023년 IT투자 대비 정보보호 투자 비중은 평균 11.6%로 한국의 2배 수준이다. 이 중 정보통신업은 19.4%, 금융·보험업은 13.6%에 달한다. 나아가 정보보호를 중시하는 유럽의 경우 이 비중이 25%에 이르는 것으로도 알려졌다.
 염흥열 순천향대 정보보호학과 명예교수는 "개인정보와 민간 정보를 이용해 비즈니스를 영위하는 모든 국내 기업의 정보보호관리 수준이 제고돼야 한다. 이제 사이버공격은 기업 경영의 핵심 위협"이라며 "특히 국가기반보호시설로 지정된 에너지·금융·통신·수도·가스 등 모든 기업의 정보보호 관리 수준 제고가 필요하다. 아울러 많은 개인정보를 보유한 쇼핑몰 등 중소기업의 정보보호 및 개인정보보호 관리체계 개선도 요구된다"고 짚었다. 
 이어 염 교수는 "사이버공격은 날로 지능화되고 있는데, 정보보호 거버넌스 수립·운영을 비롯해 기업들의 대응 역량은 크게 떨어진다. 특히 정보보호 전담 인력 부족과 최고정보보호책임자(CISO)·최고개인정보책임자(CPO)의 실질적인 권한이 미흡한 점이 문제"라며 "징벌적 과징금 부가로 기업 정보보호에 대한 경각심을 높일 필요가 있고, 기간통신사업자의 경우 기반보호시설 지정과 함께 취약점 분석 보고서 제출 의무화도 고려해야 한다"고 덧붙였다.
 ◇제로트러스트·AI 보안도 과제= 최근 사이버공격자들은 산업 공급망 가운데 가장 취약한 연결고리를 노려 침투하는 모습을 보인다. 이런 맥락에서 국내의 경우 제조업계, 최근엔 방산업계가 집중적인 공격 대상이 되기도 한다. 아울러 소프트웨어(SW)기업의 업데이트 서버 등을 악용한 SW공급망 공격 또한 기승을 부리면서 SW자재명세서(SBOM) 준비도 요구된다. 기존 경계형 보안을 벗어나 제로트러스트 보안으로 전환하는 게 세계적인 화두가 되고 있다.
 이에 더해 AI로 인한 새로운 위협과 AI를 대상으로 한 새로운 위협도 등장하고 있다. 최근 시스코가 발표한 '2025 사이버보안 준비 지수'에 따르면 한국기업의 83%가 지난 1년간 AI 관련된 보안 사고를 경험한 것으로 조사됐다. 하지만 시장조사기관 IDC가 지난해 8월에 실시한 조사에서 한국기업의 91.7%는 AI 기반 공격에 대처하는 데 '전혀 자신이 없다'고 응답했다. 국내 기업들은 기본적인 보안수준 제고와 동시에 새롭게 진화하는 사이버위협에도 맞서야 할 상황이다.
 이 전 원장은 "중소·중견기업 현장에선 전문 인력과 자금 부족으로 어려움이 있는 게 사실이다. 걸음마도 떼지 못한 아이가 바로 달릴 수는 없듯, 기본적인 보안수준 강화부터 시작해 조직의 역량과 환경에 맞게 단계적으로 발전시켜나가는 접근법이 필요해 보인다"며 "정부는 기업들의 자율적 성숙을 지원하는 역할에 집중하고, 기업들은 자체적인 평가와 시험을 통해 각자의 상황에 최적화된 구현 방안을 모색하는 방향으로 가야한다"고 설명했다.
 또 염 교수는 "우리나라 정보보호 기업의 대형화도 필요하다. 국내에 정보보호 기업은 많지만 중견기업은 3곳뿐으로, 규모의 경제에서 매우 미흡하다"며 "사이버공격을 막는 파수꾼인 정보보호 기업의 규모를 확대하고 전문화하면서 AI 기술을 적용하는 산업 육성 전략이 필요하다. 차기 정부에서는 적어도 3개 이상의 유니콘 기업이 정보보호 분야에서 나타나야 한다"고 강조했다.
 ◇정치권도 보안·안보 더 신경 써야= 대선까지 한 달도 안 남은 현재 후보자들은 앞 다퉈 AI 분야 공약을 내놓고 있다. 하지만 SKT 유심정보 유출이 세간의 화제가 됐음에도 사이버보안·사이버안보를 강조하며 이 분야에서 뚜렷한 비전을 제시한 경우는 찾기 어렵다는 점에서 관련 업계·학계 등에선 아쉬움을 표한다.
 이 전 원장은 "SKT 해킹 사태는 개별 기업의 보안 문제가 아니라 국내 전체 정보보호 생태계의 미흡한 현실을 여실히 드러낸 사건"이라며 "이 사건을 계기로 정보보호 산업 자체가 국가 전략산업으로 자리잡고 관련 산업의 경쟁력을 키우기 위한 전 방위적 지원이 이뤄져야 한다"고 역설했다.
 또한 염 교수는 "인수위원회가 없는 이번 21대 대통령의 경우, 취임 후 우리나라 사이버공간에 대한 위협을 평가할 3개월 간 검토 기간을 가질 필요가 있다"며 "이를 근거로 거버넌스, 부문별 주요 기관의 역할 재정립, 사이버 위협 정보의 실시간 공유 및 이를 통한 대응 체계의 효과성 강화 등을 제시할 필요가 있다"고도 제안했다.
 보안업계는 새로운 정부가 국내 정보보호 산업과 전문인력 육성에 좀 더 힘써줄 것을 바란다. 기업 사업환경 및 인재 처우 개선, 연구개발(R&amp;D) 지원 강화 등이 공통적 요구사항이다. 국가 차원의 '사이버보안 인재 정보 플랫폼' 구축, 최고 수준의 보안 연구자를 위한 '보안 연구 펠로우십', 중소기업·스타트업 정보보호 지원을 위한 '사이버보안 바우처' 등의 아이디어도 제시됐다. 무엇보다 국가전략산업으로서 정보보호산업을 바라봐야 한다는 게 업계의 목소리다.
 조영철 한국정보보호산업협회(KISIA) 회장은 "축구로 치면 AI는 공격이고 수비는 정보보호다. 수비력이 약하면 게임에서 진다. AI 만 키우려 해선 국가 IT 경쟁력이 기형적이 된다"며 "정보보호산업의 발전을 위해선 기업 최고책임자들의 정보보호인식 개선, 기업 내 회계재무 거버넌스와 같이 정보보호에 대한 거버넌스 체계 확립이 가장 필요하다. 장기적 연구개발 투자를 통해 방산산업처럼 정보보호산업을 국가전략산업으로 키워야 한다"고 밝혔다.
 팽동현기자 dhp@dt.co.kr
 </section> 
 </div> 
 Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이전

“차학연 설인아 둘이 사귀어?” 신동엽 깜짝 놀란 정경호 폭로 (짠한형)

05-12
다음

한 달 째 식지 않는 ‘야당’, 흥행세 이변 왜?

05-12

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

SKT 해킹 사태로 보안 관심↑… "정보보호 체계 전면 재검토해야"

멤버랭킹

관련자료

멤버랭킹