올해 대한민국 사회와 국가 인프라는 '해킹공화국'이라는 오명을 면치 못하고 있다. 통신·금융·공공기관을 가리지 않고 연쇄적으로 터지는 해킹 사고는 단순한 정보 유출을 넘어 사회 전반의 신뢰를 무너뜨리고 있다. 피해는 수천만 명의 개인정보에 국한되지 않는다. 기업의 경쟁력, 금융 시스템의 안정성, 더 나아가 국가 안보의 근간까지 위협하고 있다. 그러나 대응은 여전히 땜질식에 머물고 있고, 유사한 사고가 반복되고 있다. 뉴스핌은 <해킹공화국> 기획을 통해 해킹 실태와 구조적 원인을 짚어보고, 제도적·정책적 대안을 모색한다.

[세종=뉴스핌] 이경태 기자 = 올 들어 대한민국에서는 해킹으로부터 자유로운 그 어떤 영역도 사라졌다.

과학기술정보통신부 통계에 따르면, 상반기 사이버 침해사고 신고는 1034건으로 전년 동기 대비 약 15% 늘었다. 이 가운데 정보통신 분야의 피해는 전체 32%로 최다였으며, 서버 해킹(531건)이 절대 다수를 차지했다.

디도스(DDoS) 공격(238건), 악성코드 감염(115건), 랜섬웨어(82건), 기타 유형(150건) 등 공격 수법이 진화하면서 어떤 기관도, 기업도 안전지대에 있지 않다는 평가를 받는다.

[해킹공화국] 글싣는 순서

1. "보안 없는 AI 강국은 사상누각"…기업을 넘어 국가 안보 위기
2. SKT·KT·롯데카드…4월 이후 매달 해킹 사고
3. 창과 방패의 끝없는 전쟁…北·中 등 해킹에 韓 사이버 안보 '구멍'
4. 사모펀드 MBK식 경영 '도마 위'에…제2롯데카드 사태 우려
5. 보안 선진국들은 해킹에 어떻게 대처하나
6. 정보보호 투자 확대·개별통지 의무화…예방책 입법 과제
7. 해킹 피해 8할이 中企…"정부 지원만이 살길" 이구동성

◆ 지속된 상상초월 피해…코로나19 이후 보안 취약 지속

피해 규모는 상상을 초월한다. SK텔레콤 유심 정보 해킹(2696만건), GS샵(158만건), 롯데카드(최대 960만명) 등 올해 상반기만도 해킹 규모와 빈도에서 역대급 기록을 갈아치웠다.

해커들은 이미 서버와 네트워크 침입, 계정 크리덴셜 스터핑, 악성코드 심기, 공급망 취약점 활용, 랜섬웨어 유포 등으로 기술적으로 기업과 국가의 방어선을 넘어섰다. 피해자는 단순 정보 유출을 넘어 계좌 탈취, 비대면 사기, 신원 도용 등 2차, 3차 피해까지 경험하는 상황이다.

이제 해킹은 개별 기업 IT리스크에 국한되지 않는다. 통신, 금융, 공공분야의 연계망이 무너질 위기, 산업 경쟁력 상실, 사회적 신뢰 붕괴, 나아가 국가 기반안보까지 흔들고 있다.

올 상반기 정보통신 분야 신고 건수는 전년 동기 대비 29% 급증했으며, 해킹 사고 후 기업과 기관마다 축소·은폐 의혹이 반복된 점도 구조적 문제를 드러낸다.

이같은 상황은 이미 코로나19 사태 때부터 예견됐던 것이라는 지적도 나온다.

한 보안업계 관계자는 "그동안 우리나라는 철저한 망분리 정책을 토대로 공공기관이나 민간기업은 비교적 안전한 상황에 놓여 있었다"면서 "다만 코로나19 사태 때 재택근무가 확대되면서 망 보완에 틈이 생겨나기 시작했다"고 말했다.

그는 "사실상 해킹 등에 노출됐지만 기존 망 분리 환경에 있었던 만큼 보안에 대한 투자나 인재 확보 등을 하지 않았다"면서 "이 상황에서 어느 누구 하나 해킹 등에 철저하게 시스템을 방어했다고 자부할 수 없을 것"이라고 지적했다.

◆ 정보보호 종합대책, 땜질식 대응 넘어설 수 있나

정부도 부랴부랴 이달 말께 '정보보호 종합대책'을 내놓을 계획이다. 이번 대책은 국가 시스템·금융·산업 인프라의 총체적 보안 취약점 점검, 침해사고 은폐·축소 기업 엄벌(과징금 등 처벌 강화), 통합 컨트롤타워 중심 대응체계, 신기술(AI·양자) 기반 탐지시스템 도입, 국민 피해 지원·통지 체계 강화, 보안 인력·산업 투자 확대 등이 총망라될 것으로 예상된다.

사후 조사가 아니라 즉각적인 현장조사와 피해 컨트롤에 초점을 맞출 것이라는 게 정부 관계자의 설명이다. 기업 정보보호 강화와 대표 및 경영진의 책임도 대폭 확대한다.

다만 여전히 '땜질식 대응'에 대한 한계를 우려하는 목소리도 적지 않다.

정부도 이같은 한계를 넘는 근본적인 구조개혁, 소프트웨어(SW) 강제 설치와 같은 낡은 관행 혁파, 인공지능(AI)·빅데이터 시대에 걸맞은 기술적·제도적 보안 혁신을 염두에 둘 것으로 예상된다.

이같은 분위기에서 개인, 기업, 정부 모두가 이제 보안 투자를 선택이 아닌 필수로 받아들이고 있다. 금융당국도 전체 금융사의 보안체계 전수 점검에 돌입하며, 신속한 피해확산 방지와 체질 전환 매뉴얼 마련에 박차를 가하는 모습이다.

개인정보보호위원회 역시 '신뢰받는 AI·데이터 생태계'를 비전으로 맞춤형 법·제도 개정, 글로벌 기준 정비, 마이데이터·분쟁조정 강화, 합성콘텐츠 규제, 개인정보 안전망 구축 등 6대 전략을 내건 상태다.

올해 정보보호 정책은 AI·양자컴퓨팅 시대의 기술 변화와 국제적 기준을 동시에 수용하며, 국민·산업 모두를 더 넓고 촘촘히 보호할 체계로 전환하는 데 방점을 뒀다.

조명돌 마크애니 신사업개발본부장은 "외부 침입이나 내부 위협 모두 보안의 시작과 끝은 노트북이나 스마트폰 등과 같은 엔드 포인트"라며 "그나마 그동안에는 중앙 관리 차원에서는 백신 등을 통해 상대적으로 관리를 잘했다고 하나, 이제는 엔드 포인트까지 관리가 철저히 돼야 할 때가 된 상황"이라고 강조했다.

조 본부장은 "코로나19 이후 취약한 보안홀(보안에 취약한 틈새)이 많이 생긴 만큼 일부 요인을 해소하기보다는 보안 전반에 대해서 강화해야 한다"고 덧붙였다.

biggerthanseoul@newspim.com