해킹 사태 일파만파…CDR 유출 땐 고위인사 동선 유출·국가안보 위기까지 작성일 09-24 60 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">온-나라·GPKI·내부메일까지 해킹…“피해 범위조차 파악 안 돼”<br>김승주 교수 "AI 보안투자 단기 강화 시급”"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="9dbSJAj4ZD"> <figure class="figure_frm origin_fig" contents-hash="1f2e88a9571d398f3dac8c228f9248ec915f9eab9f71debde13ba898424f181a" dmcf-pid="2JKvicA8GE" dmcf-ptype="figure"> <p class="link_figure"><img alt="24일 열린 '대규모 해킹 및 소비자 피해’ 청문회에서 김승주 고려대 정보보호대학원 교수가 이주희 더불어민주당 의원의 질의에 답하고 있다.국회중계의사시스템 캡처" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/24/dailian/20250924144518551qcyt.png" data-org-width="645" dmcf-mid="2CgnuV2XYO" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/24/dailian/20250924144518551qcyt.png" width="658"></p> <figcaption class="txt_caption default_figure"> 24일 열린 '대규모 해킹 및 소비자 피해’ 청문회에서 김승주 고려대 정보보호대학원 교수가 이주희 더불어민주당 의원의 질의에 답하고 있다.국회중계의사시스템 캡처 </figcaption> </figure> <p contents-hash="f5d9c08df9478625ebad7ea853e50ba9e42abd31e0205f3855fe429c68673713" dmcf-pid="V3ld0KbY1k" dmcf-ptype="general">24일 열린 '대규모 해킹 및 소비자 피해’ 청문회에서 프랙(Phrack) 보고서에 드러난 국가적 보안 위기 실태가 집중적으로 다뤄졌다. 보고서는 해커가 한국 정부·통신사·공기업 등에 광범위한 장기 침입을 했고, 실제 내부 문서·시스템 계정·백도어 도구 등이 유출됐다는 내용을 담고 있다.</p> <p contents-hash="c0903e8ef254fe2fa04e71253c55ddfd52268335f08b72278c6e2789a9f9e6d2" dmcf-pid="f0SJp9KG5c" dmcf-ptype="general">이 자리에서 이정헌 더불어민주당 의원이 "국가적 안보 위기로 보느냐"고 묻자, 김승주 고려대 정보보호대학원 교수는 "그렇게 본다"며 "해커가 이 시스템(온나라 시스템)에 침투해 통일부·해수부 직원의 ID와 비밀번호를 탈취한 다음 정보를 입수했다는 내용이 보고서에 있다"고 답했다.</p> <p contents-hash="34542cea5cc8716576ece48da5280f3aa9ca2d52af30028a2ff27b0be52ca547" dmcf-pid="4pviU29HXA" dmcf-ptype="general">이어 문제는 피해 범위·기간·대상 등이 전혀 파악되고 있지 않는 점이라고 지적했다.</p> <p contents-hash="e1c9951baba95793d365aedd8c182c367556b2589e5aa4cb2194a4ada2e32974" dmcf-pid="8UTnuV2XZj" dmcf-ptype="general">보고서에 따르면 온나라 시스템 외에도 GPKI(행정전자서명 인증서) 관련 소스코드, 내부 메일 서버 소스코드 등이 유출됐다.</p> <p contents-hash="bee2f67d03712e221f6a1ad972d05bda15278efbf7201ca487594ca49441f22e" dmcf-pid="6uyL7fVZZN" dmcf-ptype="general">김 교수는 "대검 등 주요 부서를 대상으로 스팸메일을 보내 피싱한 사례가 보인다. 굉장히 체계적으로 공격했다는 것을 볼 수 있다"고 설명했다.</p> <p contents-hash="b69048c071a603afa327a71e01db51d0c9f25b52dcf7348d8609acbbb0635a31" dmcf-pid="P7Woz4f5Ha" dmcf-ptype="general">그는 그러면서 "이 내용들이 1명의 해커 컴퓨터에서 나왔다. 보통 해커들이 팀을 짜 단체로 활동하기 때문에 피해는 훨씬 더 광범위할 것"이라고 강조했다.</p> <p contents-hash="afaf8e009d25fc9d0961bebd6241fc19426908974c80d535cf707c04dfd808f2" dmcf-pid="QzYgq841Xg" dmcf-ptype="general">CDR(통화상세기록) 유출 우려도 지적됐다. CDR은 통화나 데이터 통신이 일어난 상세 내역 기록을 의미한다.</p> <p contents-hash="73ccedd1c45e713a41e54b01a2ee6e6b158cde83abf99fab3b5f8736c8758cd3" dmcf-pid="xqGaB68t1o" dmcf-ptype="general">김 교수는 "CDR을 파악하면 주요 공직자나 인사가 언제 어디서 누구랑 만나는지 등 동선을 파악할 수 있다"면서 "작년 말 미국 9개 통신사가 해킹을 당했을 때 월스트리트저널은 CDR 여부부터 조사했다"고 설명했다.</p> <p contents-hash="93f6772bb32599818786ed321f4eff18a3b344e93da605bc5ed9f272b5090db7" dmcf-pid="yDe3wSlo1L" dmcf-ptype="general">코로나19 시기 재택근무 확산으로 망 분리·폐쇄망 정책이 무력화됐고, 정부와 기관, 기업들의 보안 투자도 소홀했다는 지적도 나왔다.</p> <p contents-hash="6ede85d9a4d4d437cf04b647ed352c189bb2003635e12875dd071b3dee073400" dmcf-pid="Wwd0rvSgXn" dmcf-ptype="general">이에 대해 김 교수는 비용부담을 피하려는 경향과 수동적 태도를 지적했다. 그는 "비용(절감 경향)이 가장 크며, 국내 보안업체가 약간 수동적으로 움직이는 면도 있다"면서 "과거 우리 보안 관련 법제도 자체가 보통 포지티브 규제라서 ‘어떤 것을 하라’라고 법에서 규정을 해 주니까 그 정도 선에서만 하는 경향이 짙다"고 말했다.</p> <p contents-hash="e0b9ae25e9155fcd6278a573112c90ccd5388e35497a09eff881532c4612009e" dmcf-pid="GmiUsyTNZJ" dmcf-ptype="general">그러면서 김 교수는 "우리가 보통 망 분리로 하던 것이 이제 다 무력화됐으니 조금은 창의적으로, 미국이나 유럽처럼 보완할 때가 됐다"면서 "AI를 도입해야 하니까 2~3년 내에 단기적으로 해야 한다. 기업들이 단기간에 역량을 키우려면 인력도 많이 뽑고 투자도 많이 해야 할 것"이라고 부연했다.</p> <p contents-hash="3db5833eeaba5d5afb1e63bb9f65744e4b002c5909b9ae0a6a61163fd4a966a9" dmcf-pid="HsnuOWyjHd" dmcf-ptype="general">보안 사고 재발 방지를 위한 클라우드 제도 개선 필요성도 제기됐다. 김승주 교수는 "AI 정책은 반드시 추진돼야 한다. 그중 우리가 해외보다 뒤처진 분야가 클라우드"라며 "AI 활용 목적에 따라 국방·외교·안보에서 활용하는 AI는 톱 시크릿 클라우드에, 일반 행정용은 정부용 클라우드에 들어간다. 그런데 우리나라는 인증제도 자체가 민간용 하급 인증제도밖에 마련돼있지 않다"고 지적했다.</p> <p contents-hash="630fb8349cea2f0152d1bdd75553a368797efb3e6d593ef6082cab5bb8d71293" dmcf-pid="XOL7IYWAte" dmcf-ptype="general">그는 "따라서 제도도 새로 만들어야 하고, 업체가 합당한 클라우드 기술을 개발해 인증을 받도록 해야 한다"며 "그래야 AI 정책이 제대로 돌아갈 수 있다"고 강조했다.</p> <p contents-hash="dc53e0c9eee200ca092701a41c8444d52c60e5097cca4315c02835dfb9177f64" dmcf-pid="5x7IMgo9XM" dmcf-ptype="general">이에 대해 류제명 제 2차관은 "클라우드와 관련해서는 과기정통부가 현재 클라우드 서비스 보안인증제도를 운영중"이라며 "최근 보안인증 기준을 상·중·하 3등급 체제로 개편하는 작업을 진행하고 있고, 하등급은 글로벌 사업자들도 인증을 취득한 상태"라며 중등급·상등급에 대해서는 보완 작업을 하고 있다고 설명했다.</p> <p contents-hash="b9909512e1d83cc9f5eae6551cf071740b6a6d7fbec0c6aa50e6612d93ae044b" dmcf-pid="tRqheNaVXQ" dmcf-ptype="general">류 차관은 "국정원은 국가망 보완책인 N2SF 체계를 통해 망 분리 상태에서 클라우드 서비스를 어떻게 활용할지 마련해 두고 있다"면서 "전체적으로는 AI 시대의 가장 중요한 인프라인 클라우드를 어떻게 효율적으로 쓸 수 있을지 국정 차원에서 논의 중이고, 과기정통부도 시범사업을 진행하고 있다. 작업을 서둘러 마무리해 클라우드 시대에도 보안을 갖춘 환경에서 안전하게 활용이 이뤄지도록 하겠다"고 덧붙였다.</p> </section> </div> <p class="" data-translation="true">Copyright © 데일리안. 무단전재 및 재배포 금지.</p> 관련자료 이전 [스타트업을 위한 회계·세무] 기업가치 평가 방법, DCF·멀티플 09-24 다음 오래된 지하시설 밀집 한눈에…건설연, 땅꺼짐·도시침수 피해 최소화 방안 제시 09-24 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
