본문 바로가기

뉴스

최근 검색어 내역이 없습니다

'SKT부터 쿠팡까지' 반복되는 보안 사고…"거버넌스 재정비해야"

뉴시스
입력
2026-01-17 17:40
댓글0
김승주 교수, 세종사이버대 정보보호인의 밤 발표
"예산·인력 한정된 상황…선택·집중 위한 개편해야"
오래된 기업일수록 자산 현황 몰라…전수조사 시급
"보안 극장 효과 걷어내고 현실적인 보안대책 마련"
뉴시스

[서울=뉴시스] 박은비 기자 = 김승주 고려대 정보보호대학원 교수가 17일 오후 세종사이버대가 주최한 올해 정보보호인의 밤에서 최근 보안 사고 사례 분석과 함께 대응 방안에 대해 설명하고 있다. 2026.01.17. silverline@newsis.com *재판매 및 DB 금지


[서울=뉴시스]박은비 기자 = "국내 보안 거버넌스 체계를 개선하고 그에 걸맞은 업무를 하도록 해야 합니다. 예산과 인력이 넉넉하지 않은데 선택과 집중을 해야 합니다."

지난해 SK텔레콤부터 KT, 쿠팡 등 민간기업 개인정보 유출, 정부 온나라시스템 해킹까지 반복되는 보안 사고를 막으려면 정부·공공분야 보안 거버넌스를 데이터 중요도에 따라 재정비해야 한다는 제언이 나왔다.

김승주 고려대 정보보호대학원 교수는 17일 오후 세종사이버대가 주최한 올해 정보보호인의 밤에서 최근 보안 사고 사례를 분석하면서 이같이 발표했다.

국정원이 지난 2024년 공개한 '국가망 보안체계 핵심 가이드라인'에 따르면 보안 데이터 등급은 C(기밀·Classified), S(민감·Sensitive)·O(공개·Open) 등 크게 3가지로 분류된다. C등급의 국방·외교·안보 데이터는 국정원이, 공공 안전 영역인 S등급 혹은 O등급은 과기정통부, 개인정보보호위원회 또는 보안청이 맡아야 한다는 게 김 교수 시각이다.

美, 데이터 중요도 중심으로 개편…자산 전수조사 시급

김 교수는 "국정원 역량은 국가 기밀인 국방·외교·안보로 집중하게 하고 나머지 민감하거나 공개된 등급에 해당하는 것들은 과기정통부나 개보위가 하거나 별도의 사이버 보안청을 만들어서 맡겨야 한다"며 "제가 내놓은 아이디어가 아니라 미국을 비롯한 외국에서는 데이터 중요도 중심으로 그렇게 하고 있다"고 말했다.

아울러 자산 전수조사가 시급하다고 봤다. 김 교수는 "SK텔레콤 사고에서 처음에 개인정보는 다 암호화돼 있어서 유출되더라도 문제가 없다고 했지만 막상 민관합동조사단이 조사해보니까 모르고 있던 임시서버 2대가 나왔다"며 "개발자들이 데이터베이스(DB)에서 개인정보를 갖고 올 때마다 암호를 풀어서 작업하고 다시 암호화시켜 저장하는 게 번거로우니까 이 2대의 임시서버에서 암호 풀린 상태로 일정 기간 보관했던 것"이라고 지적했다. 그러면서 "임시서버 존재를 개발자만 알고 회사 차원에서는 몰랐는데, 이런 걸 자산 파악 실패라고 얘기하는 것"이라고 설명했다.

그는 "펨토셀을 비롯해 전체 자산 파악이 안 되고 있었던 건 KT도 마찬가지"라며 "실제로 기업이 파악 못하고 있는 경우가 엄청나게 많고, 역사가 오래된 기업일수록 더 심각하다. 토스나 카카오뱅크 같은 기업은 통제권 아래 들어오지 않으면 자산을 아예 구매 못하도록 조직 체계를 바꾸고 있는데 이런 건 벤치마킹할 필요가 있다"고 했다.

지난해 해킹 사고 급증?…침입됐는지 몰랐다가 수면 위로

김 교수는 지난해 유독 더 해킹 사고가 발생한 건 아니라고 봤다. 그 해 상반기 SK텔레콤 사태가 부각되면서 다른 기업들도 정밀 조사하다보니 그동안 모르고 있었던 문제도 수면 위로 올라왔다는 시각이다. 김 교수는 "엄밀히 말하면 지난해 해킹 사고가 많이 발생한 게 아니라 SK텔레콤처럼 큰 사고가 난 뒤 과거에 안 보이던 게 보이게 된 것"이라며 "안전하다고 착각하고 있다가 모르고 있던 걸 알게 됐다"고 언급했다.

실제로 SK텔레콤 서버에 해커가 최초 침투한 시점은 2021년 8월 6일이다. KT 역시 불법 펨토셀로 인한 피해 기간이 2024년 8월 1일부터 확인됐고, 그 이전은 확인이 불가능했을 뿐이다.

정부 온나라시스템도 해커가 2022년 9월부터 3년 가량 정부 자료를 열람한 정황이 확인됐다. 쿠팡은 전직 개발자가 2024년 12월 퇴사하면서 유출됐다고 하지만 실제 공격 시점은 훨씬 이전일 가능성이 열려있다.

뉴시스

[서울=뉴시스] 박은비 기자 = 김승주 고려대 정보보호대학원 교수가 17일 오후 세종사이버대가 주최한 올해 정보보호인의 밤에서 최근 보안 사고 사례 분석과 함께 대응 방안에 대해 설명하고 있다. 2026.01.17. silverline@newsis.com *재판매 및 DB 금지


김 교수는 미 보안 전문가 브루스 슈나이어가 소개한 '보안 극장 효과' 개념을 언급했다. 실질적으로 안전을 강화하기보다는 사람들에게 안전해 보인다는 느낌만 주기 위해 설계된 보안 조치를 말한다.

김 교수는 "보안 극장 효과로 대표적인 게 비밀번호에 특수문자를 섞어쓰고 주기적으로 바꾸는 것"이라며 "이게 안전한 방법이라면 외국도 벌써 했겠지만 그렇게 하지 않는다. 망분리도 제대로 되지 않는데 제대로 되고 있다고 착각한 것처럼, 이제는 그런 걸 걷어내고 현실적인 보안대책을 세워야 한다"고 강조했다.

☞공감언론 뉴시스 silverline@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개

이 기사의 카테고리는 언론사의 분류를 따릅니다.

기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.

뉴시스 주요뉴스

해당 언론사로 연결

이 기사를 본 사람들이 선택한 뉴스

  • 한국금융신문경동나비엔, 초고화력·안전장치 '매직 인덕션' 강화
  • 세계일보KT&G, 신입사원 공개채용…오는 20일까지 모집
  • 머니투데이새 주인 찾은 티몬, 1년 만에 영업 재개... 셀러 수수료 3~5% 책정
  • 이데일리하나캐피탈, 채용연계형 인턴 모집
  • 서울경제"이 월급 받고 어떻게 일하라고요"···역대 최저 찍었다는 '공시생', 해법은?

쇼핑 핫아이템

AD