올해 SK텔레콤, KT, 롯데카드 등 국내 주요 기업들이 전례 없는 연쇄 사이버 공격을 당했다. 산업 분야를 가리지 않고 발생한 해킹으로 막대한 개인정보가 유출됐으나, 피해 규모보다 더 큰 논란을 부른 것은 기업들의 부실한 대응이었다.
상당수 기업이 정보보호 및 개인정보보호 관리체계 인증인 'ISMS-P'를 받았음에도 해킹을 제때 인지하지 못하거나, 정황이 확인되고도 신고를 지연하고 축소·은폐하려 한 정황이 드러났다. 이는 '보여주기식' 제도에 기댄 한국 보안 체계의 구조적 문제점을 드러낸 것이란 지적이다.
2일 <메트로경제 신문> 취재에 따르면 ISMS-P 인증 기업들마저 잇단 해킹에 무력함을 드러내, '보여주기식' 보안 체계와 허술한 거버넌스가 한국 사이버 보안의 구조적 한계임을 드러냈다.
올해 가장 큰 파장을 일으킨 보안사고는 KT였다. 8월 불법 기지국 해킹으로 고객 368명, 2억4319만원의 피해가 발생했으며, 한 달간 이상 징후를 방치한 사실이 드러나 축소·은폐 의혹이 제기됐다. SK텔레콤도 3년간 눈치채지 못한 9.7GB 규모 고객 정보 유출 사고를 겪었고, 롯데카드는 ISMS-P 인증 한 달 만에 297만 명의 개인신용정보가 털렸다. 이외에도 GS리테일, 블랙야크, 인크루트, 명품 브랜드 등 전 산업권으로 해킹이 확산됐다.
연쇄 해킹 사고는 ISMS-P 제도의 실효성에 근본적인 의문을 제기했다. 사고 기업 대부분이 인증을 보유했기 때문이다. KT 사고의 침투 경로인 '펨토셀'은 ISMS-P 인증 범위에서 빠져있어 사각지대가 드러났다. 이해민 의원실은 KISA가 인력과 예산의 한계로 코어망 중심으로만 심사해 펨토셀이 누락됐다고 지적했다. 조좌진 롯데카드 대표 역시 청문회에서 "광범위한 인증 범위는 사실이나 모든 항목을 점검하는 것은 아니다"라고 시인했다.
보안 업계는 "해킹을 100% 막는 인증은 없다"며 "국내 ISMS-P가 해외 ISO 인증보다 심사 강도가 높다"고 항변한다. 하지만 기업들이 보안 사고 시 ISMS-P를 '면피 수단'으로 악용해 온 만큼, 제도 보완이 시급하다는 데는 이견이 없다. 인증 범위를 구체화하고 통신, 의료 등 산업별 특화 기준을 마련해야 한다는 지적이다.
전문가들은 '폐쇄망이라 안전하다'는 통신사의 안일한 인식이 이번 참사를 불렀다고 입을 모은다. "망을 뚫기 힘들다"는 논리로 보안 투자를 소홀히 한 결과, 관리 안 된 임시 서버(SKT)나 허술한 펨토셀 장비(KT)가 공격의 빌미가 됐다. IMSI를 암호화하지 않은 것을 '3GPP 표준'이라 변명했지만, 5G 표준(SUPI/SUCI) 등 능동적 보안 체계를 적용했다면 막을 수 있었다는 비판이 나온다.
근본 원인으로는 기업 내부의 거버넌스 문제가 지목된다. CISO(정보보호최고책임자)가 CEO 직속이 아닌 네트워크 부문장 소속인 경우가 많아, 성능과 비용을 우선하는 네트워크 조직에 밀려 보안 투자를 요구하기 힘들다. CISO가 '제로 트러스트'를 주장해도 "ISMS-P 인증도 받았는데 왜 추가 투자를 하냐"는 윗선의 반대에 부딪히는 구조다.
뒤늦게 정부도 대처에 나섰다. 지난달 정부는 '범부처 정보보호 종합대책'을 발표했다. 국가안보실 주도로 추진되는 이번 대책은 공공·금융·통신 등 1600여 개 핵심 IT 시스템에 대한 즉각적인 보안 점검 실시, ISMS-P 등 보안 인증을 서류에서 현장 중심으로 바꾸고 중대 결함 시 취소 가능, 해킹 정황 시 정부의 즉각적인 조사 권한 확보 및 지연 신고 제재 강화를 포함한다. 또 소비자 입증 책임 완화, 상장사 정보보호 공시 의무 확대 및 CEO 보안 책임 법제화, 의무 설치 프로그램 및 물리적 망분리 관행 탈피, AI 기반 이상탐지 및 데이터 중심 보안 체계로의 전환, 화이트해커 양성 등 인력·산업 육성 방안도 담겼으며, 연내 '국가 사이버안보 전략'으로 이어질 예정이다.
김승주 고려대 교수는 '보안 극장 효과(Security Theater)'를 지적하며, ISMS-P 인증을 부여한 정부가 정작 그 결과에 대해 책임지지 않는 구조적 모순을 꼬집었다. 그는 한국의 보안 체계가 '안전하다는 착각'을 주는 형식적 정책들로 인해 오히려 취약해졌다고 진단하며 네 가지 근본 문제를 제시했다. ▲AI·원격근무 시대에 안 맞는 획일적 망분리(한 번 뚫리면 내부로 급속 전파되어 오히려 취약점으로 작동) ▲금융권 강제 보안프로그램 설치 관행(해킹 통로화(7개 프로그램에서 19건의 심각 취약점 확인)) ▲ISMS-P 인증의 실효성 문제(오랜 패치 누락에도 인증 유지되는 등 제도 운영이 부실) ▲화이트해커 보호 장치 부재(취약점 신고가 사실적시 명예훼손 소송으로 이어져 신고·발견을 가로막음) 등이다.
김 교수는 대안으로 '사이버 3축 체계' 구축을 제안했다. 그는 "국방의 미사일 3축 체계처럼 사이버 영역에서도 첩보 수집(인텔리전스)·방어·보복 능력이 모두 필요하다"며 "현재 KISA 등 관련 기관이 여럿 존재하지만, 정보 수집 역량은 해외 해커 몇 명보다 못한 수준"이라고 지적했다. 이어 "국가정보원 등 전문기관에 실질적 권한을 부여하되, 남용을 방지할 법적 견제 장치도 함께 마련해야 한다"고 덧붙였다.
Copyright ⓒ 메트로신문 & metroseoul.co.kr
Copyright ⓒ Metro. All rights reserved. (주)메트로미디어의 모든 기사 또는 컨텐츠에 대한 무단 전재ㆍ복사ㆍ배포를 금합니다.
주식회사 메트로미디어 · 서울특별시 종로구 자하문로17길 18 ㅣ Tel : 02. 721. 9800 / Fax : 02. 730. 2882
문의메일 : webmaster@metroseoul.co.kr ㅣ 대표이사 · 발행인 · 편집인 : 이장규 ㅣ 신문사업 등록번호 : 서울, 가00206
인터넷신문 등록번호 : 서울, 아02546 ㅣ 등록일 : 2013년 3월 20일 ㅣ 제호 : 메트로신문
사업자등록번호 : 242-88-00131 ISSN : 2635-9219 ㅣ 청소년 보호책임자 및 고충처리인 : 안대성
