[서울=뉴시스]심지혜 기자 = 지난해 사이버 침해사고가 역대 최다를 기록했다. SK텔레콤과 KT 등 통신사를 비롯해 롯데카드, 쿠팡 등 주요 기업에서도 침해사고가 발생하며 보안 취약성이 드러났다. 이들 사고의 상당수는 첨단 해킹 기법이 아닌 기본적인 보안 관리 부실에서 비롯된 것으로 분석된다.

국회입법조사처는 지난해 주요 침해사고를 유형별로 분석한 보고서를 26일 발표했다.

보고서에 따르면 2025년 한국인터넷진흥원에 접수된 사이버 침해사고는 2383건으로, 전년(1887건)보다 26.3% 증가했다.

사고는 특정 산업에 국한되지 않고 통신, 금융, 플랫폼, 공공 행정망 등 전 분야에서 발생했다. SK텔레콤의 유심정보 유출과 KT의 불법 펨토셀 침해사고를 비롯해 롯데카드 개인정보 유출, 쿠팡 계정 정보 유출 등 주요 기업에서도 사고가 잇따랐다.

여기에 예스24 랜섬웨어 감염과 SGI서울보증 전산망 마비, 정부 행정망 침투까지 이어지며 민간과 공공을 가리지 않는 전방위 침해 양상이 나타났다. 이에 따라 정보보호 문제가 개별 기업을 넘어 국가 디지털 신뢰 기반을 위협하는 구조적 리스크로 확대됐다는 분석이다.

◆ 기본 안돼 뚫린 참사…관리 부실이 원인

보고서는 대규모 침해사고들이 발생 경로와 공격 방식은 서로 다르지만 공통적으로 기본적인 정보보호 조치와 관리체계가 제대로 작동하지 않았다는 점에 주목했다.

특히 사고 원인이 인공지능(AI)·디지털 전환에 따른 해킹 기법의 고도화라기보다 기본적인 정보보호 관리 실패가 반복되며 구조적 취약점이 누적된 결과라고 분석했다.

암호화와 점검 등 최소한의 보호조치가 이행되지 않은 ‘기본 보호조치 미흡형’에는 SK텔레콤과 SGI서울보증이 포함됐다. SK텔레콤은 핵심 계정정보를 평문으로 저장하는 등 암호화 조치가 미흡했고, SGI서울보증은 로그인 시도 횟수 제한이나 다중인증 등 기본적인 접근통제 장치가 제대로 적용되지 않았다.

KT, 예스24, 롯데카드, 쿠팡 등은 '자산·계정 관리 실패형'으로 분류됐다. KT는 미사용 펨토셀 장비에 대한 인증 관리가 제대로 이뤄지지 않았고, 예스24는 기술지원이 종료된 운영체제를 계속 사용하다 랜섬웨어에 감염됐다. 롯데카드는 보안 패치가 적용되지 않은 서버가 장기간 방치됐으며, 쿠팡은 퇴사자 계정의 접근 권한이 회수되지 않아 침해로 이어졌다.

정부 행정망 사고는 '보안 설계 취약형'에 해당한다. 인증서와 접속 권한 관리가 미흡해 정상 사용자로 위장한 접근이 가능했고, 원격접속 시스템과 내부망 간 권한 분리도 제대로 이뤄지지 않았던 것으로 분석됐다.

SK텔레콤과 KT는 '공급망 위협형'에도 포함됐다. SK텔레콤은 협력업체가 공급한 소프트웨어에 대한 사전 점검이 충분히 이뤄지지 않았고, KT는 장비 구성요소 관리체계(SBOM)가 부재한 상태에서 외부 위험이 내부로 유입된 것으로 지적됐다.


◆ '자료 폐기'에 막힌 대응…사후·사전 제도 정비 필요

보고서는 이처럼 기본적인 보안 관리 부실이 반복되는 상황에서 사고 이후 대응 체계 역시 제대로 작동하지 않고 있다고 지적했다. 특히 침해사고 대응의 출발점이 되는 자료 보전이 미흡할 경우 유출 경위와 피해 규모를 정확히 파악하기 어렵고, 이후 제재와 책임 규명에도 한계가 발생한다는 설명이다.

실제 SK텔레콤, KT, LG유플러스는 침해가 의심되는 서버를 재설치하거나 폐기했고, 쿠팡은 정부 조사단과 사전 협의 없이 자체적으로 유출자를 특정하고 증거를 수집·분석한 것으로 나타났다. 이 경우 사고 원인과 피해 범위 규명이 지연되거나 불가능해질 수 있다.

이에 따라 보고서는 침해 정황을 인지한 시점부터 자료 보전 의무를 즉시 부과하고, 관련 의사결정에 대한 책임을 명확히 하는 등 사후 대응 체계를 강화할 필요가 있다고 제언했다.

또한 해커 처벌과 범죄수익 환수 체계도 보완이 필요하다고 지적했다. 현행 제도는 사이버범죄의 초국가적 특성으로 인해 검거가 쉽지 않고, 벌금 수준도 범죄 수익에 비해 낮아 실질적인 억지력이 부족하다는 것이다. 보고서는 국제 공조 수사를 강화하고, 해킹으로 얻은 수익을 몰수·추징 대상에 포함하는 제도 개선이 필요하다고 강조했다.

이와 함께 개인정보 유출 피해자에 대한 보상 체계도 강화해야 한다고 주장했다. 개별 피해의 회복에 그치는 문제가 아닌, 개인정보처리자의 책임성을 제고하고 재발 방지를 유도하는 선순환 구조를 형성하기 위한 취지라는 설명이다.

보고서는 사전 예방 측면에서도 제도 개선이 필요하다고 제시했다. 우선 기존 신뢰 기반 보안 체계의 한계를 보완하기 위해 '제로트러스트' 보안 모델을 확산하고, 이를 뒷받침할 법적 근거를 마련해야 한다고 강조했다.

아울러 취약점 신고제도의 실효성을 높이기 위해 포상금 상한을 높이고 기업 참여를 유도하는 인센티브 도입도 필요하다고 했다.

이와 함께 통신사 침해사고에서 드러난 협력업체 소프트웨어·장비 관리 부실을 고려해 공급망 보안도 강화해야 한다고 촉구했다. 소프트웨어 구성요소를 관리하는 SBOM 도입을 통해 보안 수준을 높이고, 우선 공공부문부터 적용한 뒤 민간으로 확대하는 단계적 접근이 필요하다는 제언이다.

보고서는 "정부는 사고 발생 이후 원인을 규명하고 책임을 따지는 '사후 조사' 중심에 머무는 게 아닌 기업이 최소한의 기본 보안조치를 충실히 이행하도록 유도하고 점검하는 선제적 관리를 강화해야 한다"며 "국회 역시 정부의 정보보호 관리·점검 기능을 지속적으로 감독하고 정보보호 체계 개선을 위한 입법을 신속히 추진해야 한다"고 했다.


◎공감언론 뉴시스 siming@newsis.com