“누구도 믿지 말고 점검 또 점검”… 해킹 해법은 ‘제로 트러스트’뿐 작성일 12-09 32 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">[해커들의 놀이터 된 한국]<br><4> 전문가 “아무도 믿지 마라”</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="tiiFDIDg1A"> <figure class="figure_frm origin_fig" contents-hash="37ed352be608f0ff633ff16a94b5d8a8187dea57478edc5bef7eefc029391ba8" dmcf-pid="Fnn3wCwa1j" dmcf-ptype="figure"> <p class="link_figure"><img alt="그래픽=양인성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/09/chosun/20251209005149682jtmp.jpg" data-org-width="2000" dmcf-mid="57lx1U1y1k" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/09/chosun/20251209005149682jtmp.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 그래픽=양인성 </figcaption> </figure> <p contents-hash="8ec882037c4e8c2cf1a08db7c9797955f31cd7fd65b93fea40b756e4deae85c2" dmcf-pid="3LL0rhrNGN" dmcf-ptype="general">올해 대기업, 중소기업 할 것 없이 6000만건 이상 개인 정보가 유출되면서 사이버 보안 업계에서 2025년은 최악의 해로 기록됐다. 전문가들은 IT 시대가 본격화된 2000년대 초반 만든 한국의 보안 체계가 구조적 한계에 부딪힌 탓이라고 분석한다. 한 보안 전문가는 “산업 현장에서 안전 불감증이 각종 대형 인명 사고를 키웠듯이 최근 개인 정보 유출 사태는 기업·개인 할 것 없이 사회 전반에 퍼진 ‘보안 불감증’의 결과”라고 했다. 문제는 이 같은 대형 사이버 보안 사고가 이제 시작일 수 있다는 점이다. 본지가 인터뷰한 보안 전문가 7명은 사이버 해킹 피해를 막으려면 보안 의식을 재정립하고, 사후약방문 위주의 제재에서 벗어나 인센티브를 병행하는 ‘당근과 채찍’ 정책이 필요하다고 지적했다.</p> <p contents-hash="b02299140180da95ad8cbf4fa101a7fb3053d61d41b62973ee76dd4ad9e54cb6" dmcf-pid="0oopmlmjXa" dmcf-ptype="general"><strong>◇“아무도 믿지 마라”</strong></p> <p contents-hash="d59f234a28d7a2150d9d819b1a00d322526cbe534a47ebccb159c2eb049f681a" dmcf-pid="pxxHNDNdXg" dmcf-ptype="general">전문가들은 보안 문제의 기본은 ‘제로 트러스트(ZeroTrust)’ 정책에 있다고 했다. 제로 트러스트는 모든 네트워크 접근을 의심하는 보안 전략이다. 퇴사자의 비정상적 접근을 알지 못해 발생한 이번 쿠팡 사태도 제로 트러스트 원칙만 지켰다면 막을 수 있었다는 것이다. 공항에서 보안 검색을 할 때는 귀찮지만, 이를 통해 비행기 안에서 어느 정도 안전을 보장받을 수 있는 것처럼 사이버 보안 측면에서도 일단 의심하고 철저하게 다단계 검증을 거쳐야 한다는 의미다. 시장조사 업체 가트너에 따르면 세계 기업 63%가 이 전략을 도입했지만, 국내는 아직 인식이 부족하다. 최경진 가천대 교수는 “올해 보안 사고는 모두 기본적인 문제에서 발생했다”며 “제로 트러스트 원칙에 따라 처음부터 재점검할 필요가 있다”고 했다.</p> <p contents-hash="60222e5b8ef7911e5b2292c1c64b7064f45a8c474faf60a6bdc200a220420527" dmcf-pid="UMMXjwjJXo" dmcf-ptype="general">기업들은 보안 사고가 났을 때 버티면 조용히 넘어갈 수 있다고 생각하는 경향이 있다. 하지만 보안 사고가 미치는 영향이 상상보다 크다는 것도 염두에 둬야 한다. 장항배 중앙대 교수는 “경영진이나 일반 직원들은 보안이라는 분야에 대해 불편하게 생각한다”며 “하지만 일단 사고가 터지면 회사가 망할 수 있다는 위기의식을 가져야 한다”고 했다.</p> <figure class="figure_frm origin_fig" contents-hash="48b1c3d95be1700cb4c72808ceb57aa50fb59fe0dccce5a7404a961c785ca230" dmcf-pid="uRRZArAiGL" dmcf-ptype="figure"> <p class="link_figure"><img alt="그래픽=양인성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/09/chosun/20251209005151020vlhb.jpg" data-org-width="480" dmcf-mid="1ZpEfxfztc" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/09/chosun/20251209005151020vlhb.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 그래픽=양인성 </figcaption> </figure> <p contents-hash="ef5fa8230573fc983b3c7d2fb361851095efe26509b34842195b54defc3f990c" dmcf-pid="7ee5cmcn5n" dmcf-ptype="general"><strong>◇“보안 인력 키우고, 투자 공개해야”</strong></p> <p contents-hash="45d65b6fc0d9e5bd892b2673574fc8b78089e8b0bd061ce4872bb2aa571b7c70" dmcf-pid="zdd1kskLXi" dmcf-ptype="general">낮은 보안 의식 탓에 보안 전문가 처우도 좋지 않다. 과학기술정보통신부에 따르면, 작년 기준 보안 업계 인력의 55.3%가 5000만원 미만의 연봉을 받는다. ‘1억원 이상 받는다’고 답한 경우는 4.5%에 불과했다. 우수 인재가 모이지 않는 구조다.</p> <p contents-hash="8f0fac0a4add3961b099ab97f3ee11cdcba217597e74f28662bf810c5cae9581" dmcf-pid="qJJtEOEoYJ" dmcf-ptype="general">날이 갈수록 진화하는 해킹에 대비하려면 일회성 투자가 아닌 지속적인 교육과 대비가 필요하다. 이희조 고려대 교수는 “보안 관련 학부와 대학원 사업이 중단되거나 극소수만 유지되고 있다”며 “3~6개월 단기 강좌가 아니고, 정규 교육 과정과 석·박사 학위 과정을 거친 고급 인력이 배출돼야 한다”고 했다. 김명주 서울여대 교수는 “보안 투자와 인력 규모를 더 투명하게 밝혀, 일종의 경영 지표처럼 작동할 수 있도록 해야 한다”고 했다.</p> <p contents-hash="49a69f9c350b7bf6bd873dab3ce24b147812871d3a22abcb55032e2b4400b639" dmcf-pid="BiiFDIDgHd" dmcf-ptype="general"><strong>◇당근과 채찍 함께 써야</strong></p> <p contents-hash="95e4beef8206b53d84fb26ca95072f11406dc16bb03314b59235d593f98395af" dmcf-pid="bnn3wCwa5e" dmcf-ptype="general">그동안 기업 보안 정책에 대해 규제만 있고 인센티브는 없었다. 이 때문에 기업들은 “올해 사고가 안 났으니 괜찮다”는 식으로 보안 투자를 줄이고 있다. 이를 막으려면 기본적인 부분은 의무적으로 지키도록 규제하고, 자발적으로 나서는 기업엔 세제 혜택 등 유인책이 필요하다는 지적이다. 윤인수 카이스트 교수는 “기업도 해킹의 피해자인 측면이 있는 만큼, 2차 피해 방지 조치를 적극적으로 하거나 사고 대응 프로세스를 잘 갖춘 기업에 인센티브를 줘야 한다”고 했다. 황석진 동국대 교수는 “화이트 해커를 기용해 취약점이 있는지 점검하고, 실제로 사고가 났을 때 어떻게 대응할지 매뉴얼을 실질적으로 만들고 점검해야 한다”고 했다.</p> <p contents-hash="cf0fac10bc5d6dd300cb4fa143020f6bb5818982b69c88bf58ae7ad99e6b2c6a" dmcf-pid="KLL0rhrNXR" dmcf-ptype="general"><strong>☞제로 트러스트(ZeroTrust)</strong></p> <p contents-hash="eec67a5b654d061fd28b7f55a4f9f4662314ead4cde63f1574eb7e96907ee265" dmcf-pid="9oopmlmjYM" dmcf-ptype="general">기본적으로 아무도 믿지 않는 원칙에 따른 보안 전략. 회사 내부·외부 구분 없이 모든 단계마다 검증하고 최소 권한만 부여한다. 공격자 침입을 가정하고 지속적으로 검증해 피해 확산을 막는 현대적 보안 전략으로 꼽힌다.</p> </section> </div> <p class="" data-translation="true">Copyright © 조선일보. 무단전재 및 재배포 금지.</p> 관련자료 이전 어쩔수가없다·케데헌, 美골든글로브 각 3개 부문 후보 올라(종합2보) 12-09 다음 '200억 재벌설' 송가인, 붕어빵 1개=1만원 '깜짝'…"부자들만 사드세요" 12-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
