올해 대한민국 사회와 국가 인프라는 '해킹공화국'이라는 오명을 면치 못하고 있다. 통신·금융·공공기관을 가리지 않고 연쇄적으로 터지는 해킹 사고는 단순한 정보 유출을 넘어 사회 전반의 신뢰를 무너뜨리고 있다. 피해는 수천만 명의 개인정보에 국한되지 않는다. 기업의 경쟁력, 금융 시스템의 안정성, 더 나아가 국가 안보의 근간까지 위협하고 있다. 그러나 대응은 여전히 땜질식에 머물고 있고, 유사한 사고가 반복되고 있다. 뉴스핌은 <해킹공화국> 기획을 통해 해킹 실태와 구조적 원인을 짚어보고, 제도적·정책적 대안을 모색한다.

[서울=뉴스핌] 양태훈 기자 = 올해 4월 SK텔레콤을 시작으로 예스24, KT, 롯데카드까지 국내 기업을 대상으로 한 대형 해킹 사고가 이어지고 있다. 수천만 건의 개인정보 유출부터 접속 차단에 따른 업무 마비, 수억 원대의 금융 범죄 사기 피해까지 다층적이다. 정부와 기업은 뒤늦게 대책을 내놓고 있지만, 사건이 되풀이되는 근본 원인은 여전히 방치돼 있다는 지적이 나온다. 

[해킹공화국] 글싣는 순서

1. "보안 없는 AI 강국은 사상누각"…기업을 넘어 국가 안보 위기
2. SKT·KT·롯데카드…4월 이후 매달 해킹 사고
3. 창과 방패의 끝없는 전쟁…北·中 등 해킹에 韓 사이버 안보 '구멍'
4. 사모펀드 MBK식 경영 '도마 위'에…제2롯데카드 사태 우려
5. 보안 선진국들은 해킹에 어떻게 대처하나
6. 정보보호 투자 확대·개별통지 의무화…예방책 입법 과제
7. 해킹 피해 8할이 中企…"정부 지원만이 살길" 이구동성

24일 공공데이터포털에 따르면 경찰청이 2019년부터 2023년까지 집계한 연도별 사이버 범죄 발생 현황은 매년 증가하는 추세다. 2019년 약 17만 8000건이었던 사이버 범죄 발생 건수는 2023년 약 23만 8000건으로 33.71%나 증가했다.

한국인터넷진흥원(KISA)의 '사이버 위협 동향 분석 결과'에 따르면 해킹 등 침해사고 신고 건수는 2023년 1277건에서 2024년 1887건으로 1년 새 48% 늘었다. 올해는 SK텔레콤, 예스24, KT, 롯데카드 등 대형 해킹 사고가 잇따르면서 증가세가 더 가팔라질 것으로 전망된다.

정부도 상황을 엄중히 보고 있다. 국가안보실과 과학기술정보통신부, 금융위원회 등 관계 부처는 합동 대응체계를 가동해 해킹·랜섬웨어 사고에 대한 현행 보안 체계를 원점에서 재검토하고 있다. 기업이 해킹 사실을 숨기거나 신고를 지연할 경우 과태료·과징금 등 처벌을 강화하고, 해킹 정황이 확인되면 신고와 무관하게 정부가 직권 조사할 수 있도록 조사 권한 확대도 검토 중이다. 반복적으로 사고가 발생하는 기업에는 징벌적 과징금 등 강력한 행정조치 도입도 추진되고 있다.

이재명 대통령은 지난 18일 수석보좌관회의에서 "해킹 피해 최소화를 위한 근본적인 종합 대책을 마련하라"며 "주요 통신사와 금융기관에 대한 해킹으로 국민 피해가 계속 늘고 있다. 기업에 책임을 묻는 것도 필요하지만, 갈수록 진화하는 해킹 범죄에 맞서 범정부 차원의 체계적인 보안 대책을 서둘러야 한다"고 강조했다.

◆ 통신사부터 전자상거래, 금융사까지…동시다발적으로 발생하는 해킹 사고
 
과학기술정보통신부가 공개한 민관합동조사단 최종 발표에 따르면 지난 4월 18일 SK텔레콤 음성통화 인증 서버 3대가 해킹됐다. 공격자는 2021년부터 관리망 서버에 악성코드를 심어 장기간 거점을 확보했고, 올해 4월 본격적으로 유심(USIM) 관련 정보를 외부로 반출했다. 조사 결과 유출 데이터는 9.82GB, 국제 모바일 가입자 식별 번호(IMSI) 기준 2696만 건, 전화번호·가입자 식별번호 등 총 25종의 개인정보가 유출된 것으로 나타났다. 특히, 전체 서버 4만 2605대 중 28대에서 악성코드가 발견됐는데, BPFDoor 27종, TinyShell 3종, 웹쉘 1종, CrossC2 1종, Sliver 1종 등 총 33종에 달했다.

SK텔레콤은 전 고객 대상 유심 무상 교체, 보호 패키지 제공, 대규모 보안 투자 계획을 발표하며 사과했지만, 수년간 지속된 침투를 탐지하지 못한 사실과 사후 대책만 내놓은 점에서 '사후 약방문'이라는 지적을 받고 있다. 이에 개인정보보위원회는 SK텔레콤에 해킹으로 2700만 명의 고객 정보가 유출된 사고에 대해 1348억 원의 역대 최대 규모 과징금과 과태료를 부과했다.

예스24는 지난 6월 9일 새벽, 내부 서버 권한 탈취를 통한 전사적 랜섬웨어 공격을 받았다. 이로 인해 웹·앱·전자책·티켓 등 주요 서비스가 전면 중단됐으며, 공격자는 핵심 시스템을 암호화하며 서비스 운영을 마비시켰다. 예스24는 초기 공지에서 '시스템 점검'이라고만 밝혀 고객 혼란을 키웠다. 아울러 이틀 뒤에야 해킹 피해 사실을 인정해 '늑장 대응' 비판을 자초했다. 이후 서비스는 순차적으로 복구됐으나 예스24가 취약점을 보완하지 못한 상황에서 지난 8월 11일 또다시 해킹 공격이 발생하면서 수백만 명의 이용자가 전자책 구매와 공연 티켓 예매 등을 하지 못하는 불편을 겪었다.

KT에서는 지난 7월 가입자들 사이에서 유령 기지국을 통한 소액결제 피해가 속출했다. 공격자는 불법 초소형 기지국을 설치해 단말기를 속이고 가입자 식별정보를 탈취해 인증 절차를 우회, 소액결제를 유발했다. 9월 들어 피해는 폭증했고, 피해 금액은 2억 4000만 원까지 불어났다. KT는 가입자 식별 번호 등 5561명 규모 개인정보 유출 가능성을 개인정보보호위원회에 신고했다. 그러나 사고 대응 과정에서 서버 침해 정황을 인지한 후 사흘이 지나서야 KISA에 신고했고, 의심 서버를 폐기한 정황까지 드러나면서 '허위 보고' 의혹이 불거졌다. 정부는 KT를 대상으로 직권 조사에 착수했으며, 과징금과 기관 제재 등 강력한 처벌을 예고했다.

롯데카드에서는 지난 8월 14일부터 15일 사이 온라인 결제 서버에서 대규모 해킹이 발생했다. 롯데카드는 초기에 1.7GB 유출로 보고됐지만, 금융당국 정밀 조사 결과 실제 피해는 200GB, 회원 297만 명 규모로 드러났다. 이 가운데 28만 명은 카드번호·유효기간·보안코드(CVC) 등 결제 핵심 정보와 주민등록번호, 휴대전화번호까지 유출돼 부정사용 위험이 더욱 커진 상황이다.

롯데카드는 사고 초기 피해를 축소 보고한 사실이 확인되면서 논란이 증폭됐다. 뒤늦게 대국민 사과와 함께 피해 고객 전원 보상, 카드 재발급, 향후 5년간 1100억 원 규모의 보안 투자 계획을 발표했지만, 사모펀드식 경영 구조 아래 보안 인력 축소와 투자 부족이 이어져 왔다는 내부 지적이 제기됐다. 금융당국은 축소 보고와 보안 관리 부실을 문제 삼아 과징금 부과와 기관 제재 등 강력한 처벌을 예고했다.

◆ 반복되는 해킹 피해, 원인은 '기본 통제 부실·늑장 대응'…반복 막을 해법은?

전문가들은 해킹 사고가 잇따른 근본 배경으로 기본 보안 통제의 부재, 탐지·보고 지연, 외주·레거시 의존, 공격 수법의 고도화를 꼽는다. 계정 정보를 평문으로 저장하거나 암호화·접속 통제를 소홀히 하는 등 기초적 관리 실패가 반복되고 있고, 장기간 잠복하는 지능형 지속 위협(APT)과 각종 자동화·서비스형 공격(RaaS), 유령 기지국처럼 물리 인프라를 악용하는 수법이 결합하면서 피해가 커지고 있다는 설명이다.

이에 SK텔레콤과 KT는 향후 5년간 각각 7000억 원, 1조 원을 투자해 보안 시스템을 강화하고, 보안 인력도 확충하겠다는 계획을 밝힌 바 있다. 구체적으로 SK텔레콤은 '정보보호 혁신안'을 실행, 최고경영자(CEO) 직속 최고 정보보안책임자(CISO) 조직 신설 및 보안 전문 인력 확보, 레드팀 운영, 제로트러스트 기반 체계 도입 등을 내세웠다. KT의 경우, 글로벌 톱티어 수준의 보안 체계 구축을 목표로 전략AI 기반 모니터링 강화, 글로벌 협업 확대, 제로트러스트 체계 보강, 보안 전문인력 확충 등의 전략을 제시한 바 있다.

그러나 보안 업계에서는 투자 확대만으로는 문제 해결이 쉽지 않다는 지적이 나온다. 기본 보안 통제 강화와 신속한 탐지·보고 체계 확립, 레거시 시스템 개선 및 외주 관리 강화, 고도화된 공격에 대응하기 위한 제로트러스트 아키텍처 도입과 공급망 공동 방어 체계 구축 등이 해법으로 제시된다.

국내 보안 업체 한 관계자는 "보안 사고 발생 시 가장 중요한 점은 빠른 대응인데, 이를 위해 전사적 컨트롤타워와 신속한 의사결정 체계가 필수적"이라며 "대부분의 기업은 CISO를 중심으로 운용하지만, 실제로는 모든 경영진이 함께 판단을 내려야 한다"고 지적했다.

이어 "평상시 대응 계획과 모의훈련 역시 중요하다. 탐지와 식별, 분석과 영향 평가, 격리와 피해 확산 방지, 복구와 정상화, 사후 분석과 재발 방지 단계가 반드시 포함돼야 하며 정기적 훈련으로 부족한 점을 보완해야 한다"며 "나아가 AI를 활용한 공격이나 이메일 스푸핑 기반 APT 등 위협은 고도화하고 있고, 모든 사이버 위협에 완벽히 대응하기는 어렵다. 결국 임직원 개개인의 보안 인식 강화가 가장 현실적인 방어 수단"이라고 덧붙였다.

또 다른 보안 업계 관계자는 "제로트러스트 체계, 데이터 암호화·백업, 취약점 분석, 태세 관리 확대 등이 해법이 될 수 있다"며 "최근 공급망의 약한 고리를 겨냥한 공격이 늘고 있어, 벤더·클라우드·MSP 등 공급망 전반이 함께 취약점을 점검하고 위협 정보를 공유하는 것 역시 필요하다"고 전했다.

◆ 정부, 통신·금융 전면 점검과 CEO 책임 강화...보안 사고 대응 통합 지휘 체계 요구도

주무부처인 과학기술정보통신부(이하 과기정통부)는 KT 고객을 대상으로 발생한 이번 사고와 관련해 민·관 합동 조사단을 구성하고 정밀 조사를 진행 중이다. 정부는 불법 기지국의 망 접속 경위와 무단 결제 성립 과정, 개인정보 탈취 여부 등을 규명하는 한편, 통신 3사의 망 관리 실태를 전면 점검해 근본적인 대책을 마련한다는 방침이다.

전날에는 서울 IT벤처타워에서 주요 기업의 CISO들과 긴급 보안점검회의를 열고, 기업의 정보보호를 CEO의 책임으로 명확히 하고 관련 점검을 강화하기로 했다. 단기적으로 통신 3사와 금융권의 망·보안 점검을 실시하고, 불법 기지국 차단과 이상 트래픽 정보 공유 체계를 이어간다는 계획이다. 

류제명 과기정통부 제2차관은 잇다른 해킹 사고와 관련해 "(정부는) 통신사를 겨냥한 침해 사고가 증가하는 상황을 엄중히 인식하고 있다"며 통신 3사의 망 관리 실태에 대한 전면 보안 점검을 실시하고, 이를 토대로 근본 대책을 마련해 발표하겠다"고 강조한 바 있다. 

보안 전문가들은 이번 사태를 계기로 국내 보안 거버넌스 체계가 현재의 사후 대응 중심이 아닌, 새로운 방향의 보안 거버넌스 체계로 재정립할 필요성이 있다고 지적한다. 민관 협력 기반의 보안 체계를 제도적으로 강제할 수 있는 별도의 독립기구 구성이 필요하다는 주장도 나온다.

박춘식 서울여대 정보보호학과 교수는 "최근 발생하는 기업의 보안 이슈에 대해서는 전체적인 거버넌스 자체가 바뀔 필요성이 있다고 본다"며 "기업의 경영진들은 보안에 대한 투자를 일종의 비용으로 인식하는 경향이 있는데, 주무부처인 과기정통부에서 보안 관련 업무를 별도의 '사이버 보안청(가칭)'으로 독립해 구성하는 게 해법이 될 수 있다"고 말했다.

또 "개인정보보호위원회처럼 별도의 개인정보의 보호와 관련된 조직이 구성되는 것이 더 효율적이라고 본다. 과기정통부의 역할은 기술 육성이지 규제가 아니다"라며 "최근의 해킹은 기업이 아닌 국가를 타깃으로 한 조직적인 규모로 이뤄지기 때문에 민간 기업이 홀로 막기는 어렵다. 사이버 보안청과 같은 별도 조직이 사전 예방과 사후 복구에 전념하면서 기업들이 일정 부분 자율적으로 보안 관련 투자를 할 수 있도록 하는 방법이 현실적"이라고 강조했다. 

곽진 아주대학교 혁신융합원장(사이버보안학과 교수)도 "현행 신고 체계는 침해사고는 과기정통부·한국인터넷진흥원(KISA), 개인정보 유출은 개인정보보호위원회로 각각 가는 구조"라며 "이로 인해 조사 지연·엇박자가 발생할 수 있다. 신고 체계 일원화, 조사 주체 조정 같은 제도 개선을 검토할 필요가 있다"고 강조했다.

이어 "컨트롤타워를 만들어야 한다는 이야기는 오래전부터 거론됐다"며 "관련 부처들 간 업무 조정 등을 충분히 논의하고 면밀하게 검토한 뒤 만드는 것은 도움이 될 수 있다. 다만 권한이나 역할을 어떻게 정할지에 대해서는 신중한 고려가 필요하다"고 전했다.

*용어설명

USIM (Universal Subscriber Identity Module): 휴대폰 단말기에 꽂는 가입자 식별용 칩. 전화번호·인증키 저장해서 네트워크 접속·인증에 활용됨.

IMSI (International Mobile Subscriber Identity) :국제 이동통신 가입자 식별번호임. USIM에 들어 있고 전 세계 통신망에서 가입자 구분할 때 사용됨.

BPFDoor :리눅스 시스템 장악하는 고급 백도어 악성코드. 네트워크 보안 우회·장기 잠복에 이용됨.

TinyShell :경량 원격 접속용 악성 웹쉘임. 공격자가 서버 명령 실행할 때 주로 활용됨.

웹쉘(Web Shell) :웹 서버에 심어지는 악성 스크립트 파일임. 원격에서 서버 파일 탐색·명령 실행 등에 쓰임.

CrossC2 :Cobalt Strike 기반 변형 프레임워크임. 해커가 명령제어(C2) 통신에 사용함.

Sliver :오픈소스 C2 프레임워크임. 원래 레드팀·보안 점검용인데 실제 공격에도 활용됨.

APT (Advanced Persistent Threat) :지능형 지속 위협. 특정 목표를 오래 은밀히 노리는 고급 해킹 기법에 이용됨.

RaaS (Ransomware as a Service) :서비스형 랜섬웨어. 범죄 조직이 툴을 임대해주고 공격자가 이용하는 구조임.

제로트러스트(Zero Trust) : 내부·외부 안 가리고 모든 접근 계속 검증하는 보안 모델. 최근 기업 보안 전략 수립에 활용됨.

dconnect@newspim.com