[편집자주] 최근 SK텔레콤, 예스24, 한국연구재단 등이 해커들의 사이버 공격을 받아 개인정보 유출, 서비스 장애 피해를 입었다. 인공지능(AI) 시대를 맞아 사이버 위협은 더 거세지고 공격 수법은 교묘해지고 있는 반면 우리 정부와 기업들의 대응 역량은 취약한 실정이다. 국내외 사례를 통해 사이버보안 체계의 문제점을 진단하고 해법은 무엇인지 모색해본다.
친이스라엘 성향 해킹 조직 ‘프레더토리 스패로(Predatory Sparrow)’는 이달 18일(현지시각) 이란의 가상화폐 거래소 노비텍스를 공격해 최소 9000만달러(약 1236억원) 상당 자산을 빼갔다. 이란은 추가 공격을 우려해 인터넷 이용을 전면 차단했다. 앞서 프레더토리 스패로는 이란 국영 세파은행을 해킹해 데이터를 일부 파괴했다. 선제 공격을 받은 이란은 이스라엘의 에너지 기업, 공공 경보 시스템 등 주요 인프라에 대한 사이버 공격을 700% 늘리는 등 보복에 나섰다.
국내 대기업 L그룹의 협력사인 S사는 올 2월 랜섬웨어 그룹 링스(Lynx)의 사이버 공격을 받아 내부문서가 유출됐다. S사는 가전, 이차전지, 디스플레이 관련 부품을 공급한다. 링스는 12기가바이트(GB)가 넘는 데이터를 탈취했는데, 유출된 문서에는 견적서, 설계도면, 부품 시험결과, 비밀유지계약서, 개인정보 등이 포함됐다. 보안업계 관계자는 “해커들이 보안이 상대적으로 취약한 대기업 협력사를 우회 경로로 삼는 ‘공급망 공격’을 늘리고 있다”고 말했다.
◇ 국가·기업 인프라 노린 사이버 공격 증가세
인공지능(AI)의 확산으로 국가 기간망을 노린 사이버 위협이 거세지고 있지만, 우리나라는 민관 모두 대응할 체계적인 보안 체계를 갖추지 못했다는 지적이 나온다. 공공기관은 노후화된 전산 시스템이 공격에 취약하고, 민간 기업은 정보보호 투자를 비용으로 판단해 보안 전담인력의 3분의 1 이상을 외주로 돌리고 있다. 최근 1~2년 사이 국가 행정전산망, 법원 등이 해킹 사고를 당해 공공 시스템이 마비되고 내부자료가 외부로 유출됐지만 아직까지 누구의 소행인지조차 파악하지 못했다. 업계에서는 북한, 중국 해커들을 범인으로 추정하고 있지만 정부 차원의 공식적인 발표는 없었다.
올 4월 전국을 뒤흔든 SK텔레콤 해킹 사고는 유출된 유심(USIM·가입자식별장치) 정보 양만 9.82기가바이트(GB)에 달한 것으로 파악됐다. 가입자 식별키(IMSI) 기준 2695만7749건이다. 서버에 숨어든 악성코드는 최소 3년 가까이 잠복해 있던 것으로 드러났다.
이달에는 회원 2000만명 이상을 둔 인터넷 서점 예스24가 랜섬웨어 공격을 받아 전산 시스템이 마비됐다. 홈페이지와 앱이 나흘간 먹통이 되면서 도서 주문과 열람, 콘서트 티켓 예매 등이 일제히 중단됐다. CJ그룹의 IT 인프라를 관리하는 CJ올리브네트웍스는 인증서 파일이 해킹으로 유출됐다. 북한발 악성파일에서 CJ올리브네트웍스의 디지털 서명이 탑재된 것이 발견되면서 이번 공격에 북한 해킹 그룹 ‘김수키’가 연루된 것으로 의심받고 있다.
하루가 멀다 하고 대형 해킹 사고가 터지지만 정부와 기업은 ‘소잃고 외양간 고치기식’ 대응으로 일관하고 있다. 전문가들은 보안 사고가 국가 안보와 직결되는 사안인 만큼 재발을 방지할 제도적 기반 마련이 시급하다고 주장한다.
대통령실 사이버특별보좌관을 지낸 임종인 고려대 정보보호대학원 명예교수는 “이스라엘과 이란의 사이버 전쟁과 미국 통신사 해킹 사태만 봐도 사이버보안은 단순한 보안 문제가 아니라 안보 문제”라며 “해커들이 전력망, 통신망, 항구, 태양광 인버터 등 국가 기반 시설에 악성 코드를 심고 해킹을 시도하고 있는데, 잇따른 공격으로 국가 기간망이 무너지면 혼란이 커질 수 있다”고 말했다.
◇ ‘보안=비용’ 인식에 기업 투자 미흡… 정부도 예산 줄여
30일 한국인터넷진흥원(KISA)에 따르면 국내 신고된 사이버 침해 사고 건수는 2023년 1277건에서 지난해 1887건으로 48% 증가했다. 실제 피해 규모는 이보다 더 클 것으로 업계는 추정하고 있다. 통신사 등을 제외한 대다수 기업과 정부부처는 해킹 등에 따른 침해 사고가 나도 신고 의무가 없기 때문이다. 정보보호 공시 제도에 따라 상장사 중 매출액 3000억원 이상의 기업만 공시 의무 대상이다.
김휘강 고려대 정보보호대학원 교수는 “사이버 공격은 생성형 AI 등에 힘입어 계속 진화하고 있는데 기업들은 보안에 투자를 하지 않아 사고가 증가하고 있다”고 말했다.
사이버 공격은 급증하는 추세이지만, KISA가 분석한 국내 732개 기업의 지난해 정보보호 투자액은 평균 29억원에 그쳤다. 정보보호 투자액 공시 의무화가 이뤄진 2022년 이후 3년간 정보보호에 1000억원 이상 투자한 기업은 삼성전자, 네이버, LG전자, 쿠팡 등 10곳에 불과했다. 국내 기업의 IT 예산 중 정보보호 투자 비율은 평균 6.1% 수준이었다. 작년 글로벌 보험사 히스콕스가 발간한 사이버 보안 실태 보고서에 따르면 미국 기업들은 연간 IT 예산의 평균 11%를 사이버보안에 지출했다.
미흡한 보안 투자는 국가 경쟁력에도 영향을 미치고 있다. 스위스 국제경영개발대학원(IMD)은 최근 한국의 국가경쟁력을 지난해보다 7계단 하락한 27위로 평가했는데, 주요 평가 항목 중 사이버보안 역량에서 낮은 점수를 준 것으로 나타났다. 사이버보안 부문에서 한국의 경쟁력은 지난해 20위에서 올해 40위로 떨어졌다.
상황이 이런데도 정부의 보안 투자는 뒷전이다. 올해 정부의 사이버 위협 연구·개발(R&D) 예산은 1049억원으로 전년 대비 8% 줄었다. 보안업계 관계자는 “건전 재정을 목표로 전반적인 예산을 감축하는 바람에 보안 산업도 영향을 받고 있다”고 말했다.
◇ 주요국 중 유일하게 보안 컨트롤타워 없어
국내에서는 대형 해킹 사고가 일어나도 이를 일사분란하게 지휘할 컨트롤타워가 없어 대응도 느리고 피해를 키우고 있다는 비판도 나온다. 한국은 주요국 중 국가 보안을 총괄하는 컨트롤타워와 사이버안보법이 없는 유일한 나라다. 미국은 사이버인프라안보국(CISA), 영국은 국가사이버안보센터(NCSC), 호주는 사이버안보센터(ACSC), 독일은 연방정보보안청(BSI), 프랑스는 사이버방첩국(ANSSI) 등 컨트롤타워를 두고 있다.
임 교수는 “컨트롤타워가 있어야 보안 관련 이슈를 총괄·지휘하는데 지금은 사고가 발생하면 사안에 따라 과학기술정보통신부, 경찰, 국방부 등이 대응하고 KISA와 개인정보보호위원회도 따로 관여하고 있어 효율성이 떨어진다”고 지적했다.
이달 해킹 사고를 당한 예스24는 KISA의 기술 지원에 협조하지 않아 논란이 일었다. KISA의 랜섬웨어 분석가들이 사고 상황 파악을 위해 예스24 본사를 방문했지만, 예스24가 자체 조사를 하겠다고 버티면서 접근을 막은 것이다. 앞서 예스24는 KISA의 모의해킹 등 모의훈련에도 참여하지 않았지만, 정부의 보안 실태 조사나 기술 지원을 거부해도 이를 처벌하거나 강제할 수단이 없다.
국가 차원의 사이버안보 체계를 강화하기 위해 제정된 사이버안보기본법은 2006년부터 국회의 문턱을 넘지 못하고 있다. 이 법안은 사이버 공격 대응의 권한과 책임 주체를 명확히 하고 민관 통합형 사이버안보 대응 체계를 구축하는 내용을 담고 있다. 국가 기관이 민간인을 감시·사찰할 수 있다는 인권 침해 논란 속에 논의가 공전하고 있다.
김진수 한국정보보호산업협회 수석부회장(트리니티소프트 대표)은 “국가 배후 사이버 공격이 증가하고 있어 사이버보안을 이제 안보 차원에서 접근해야 한다”며 “사이버 전시에 걸맞은 공격적인 연구개발(R&D) 투자로 지능화되고 있는 공격에 대한 방어 체계를 구축하고 개인·기업·국가를 아우르는 사이버안보 전략을 마련해야 한다”고 말했다.