[포커스] 해킹사고 충격, 대비책은 없나?

2025-09-19 김병조 기자

[CEONEWS=김병조 기자] 2025년, 한국 사회는 또다시 대규모 해킹사고에 직면했다. KT의 불법 기지국(펨토셀) 사건과 롯데카드의 297만 명 정보유출은 충격적이다. 단순한 기술적 취약점 노출이 아니라, 국가 기반 인프라와 금융시스템의 신뢰가 동시에 흔들린 사건이다.

고객 정보유출은 더 이상 IT 부서의 문제가 아니다. 기업의 존립, 시장 신뢰, 국가 경쟁력과 직결된 거대한 리스크다. 이에 최근 국내외에서 발생한 해킹사고에서 드러난 문제점과 기업의 대응전략을 짚어본다.

▲국내외 대형 해킹사고가 남긴 경고음

최근 한국 사회는 연이은 해킹사고로 충격에 빠졌다. SK텔레콤, GS샵, 올리브영에 이어 통신사 KT와 카드업계 대표주자 롯데카드마저 고객 정보유출 사태에 휘말리면서 보안 불감증과 기업 책임 문제가 다시 수면 위로 떠올랐다.

KT의 경우 불법 초소형 기지국(펨토셀) 장비를 통한 유심·IMSI 탈취가 현실화되며 통신 인프라 보안에 대한 근본적 의문을 낳았다. 특히 KT는 18일 밤 늦게 한국인터넷진흥원에 서버까지 해킹당한 사실을 신고해 충격을 주고 있다. 롯데카드에서는 약 297만 명의 고객 정보가 대량으로 유출돼 국내 금융업계 전반의 경각심을 불러일으켰다.

해외에서도 상황은 다르지 않다. 미국에서는 유나이티드헬스(UnitedHealth)가 랜섬웨어 공격으로 의료보험 결제 시스템이 마비되며 수십억 달러의 손실을 입었고, 클라우드 서비스 기업 스노우플레이크(Snowflake) 해킹은 글로벌 고객사로 피해가 확산되며 공급망 보안의 허술함을 드러냈다. 대규모 공격은 특정 기업의 문제가 아니라 산업 전반과 국가 경쟁력에 직결되는 문제로 번지고 있다.

▲반복되는 사고, 드러난 취약점

최근 사례들을 들여다보면 공통된 취약점이 존재한다.

첫째, 인증 관리 부실이다. 다중 인증(MFA) 미적용, 관리자 계정 권한 남용에 따른 것이다.

둘째, 데이터 암호화 미흡이다. 카드번호·CVC, IMSI 등 핵심 민감정보가 평문 혹은 취약한 상태로 저장되고 있기 때문이다.

셋째, 이상행동 탐지 지연이다. 비정상적인 로그인 시도나 거래 패턴을 제때 인지하지 못하고 있다.

넷째, 사고 대응체계의 미비다. 침해 사실을 인지한 후 고객 통지 및 복구가 지연되어 불신을 확대시키고 있다.

즉, 문제는 기술 자체가 아니라 관리와 책임의 부재에 있다는 것이 전문가들의 공통된 지적이다.

해킹사고에 대해 사과하고 있는 롯데카드 임원들

▲업종별 리스크와 맞춤형 대응

통신업계는 기지국·망 장비 보안 관리가 핵심이다. 비인가 장비 접속을 원천 차단하고, IMSI 등 민감정보를 주기적으로 재발급·암호화해야 한다.

금융·카드업계는 결제정보 토큰화, HSM 기반 암호화, 해외결제 차단 등 사전 대응이 절실하다. 유출 시 즉각적인 카드 재발급과 고객 보상이 신뢰 회복의 최소 조건이다.

리테일·커머스 업계는 크리덴셜 스터핑 공격에 특히 취약하다. 로그인 보안 강화, 계정 보호 솔루션, 고객 개인정보 최소 수집·저장 정책이 필요하다.

의료·공공부문은 랜섬웨어 타깃이 된다. 불변 백업, 네트워크 분리, 주기적인 복구 훈련 없이는 운영 자체가 멈출 수 있다.

▲기업이 세워야 할 5대 대비책

첫째, 최고경영층의 보안 책임을 명확히 하는 것이다. CEO와 이사회가 정보보호를 경영 아젠다로 설정해야 한다.

둘째, 다중인증과 최소권한 원칙이다. 모든 관리자·운영자 계정에 MFA를 적용해서 접근은 필요한 만큼만 해야 한다.

셋째, 데이터 암호화·토큰화다. 결제정보, IMSI 등 핵심 데이터를 평문으로 두는 순간 기업은 위험에 노출된다.

넷째, 침투 테스트·위협 인텔리전스 활용이다. 모의해킹과 외부 위협 정보를 통해 사전 방어력을 끌어올려야 한다.

다섯째, 사고 대응·복구 매뉴얼 확립이다. 사고는 언제든 발생할 수 있다는 전제로, 고객 통지·보상·복구 프로세스를 사전에 준비해야 한다.

▲정책·제도적 과제

한국 개인정보보호위원회는 “반복 위반 기업 과징금 가중” 방안을 추진 중이다. ISMS-P 인증 실효성 강화, 모의해킹 인력 양성, 사이버보험 활성화 등도 병행돼야 한다. 제도가 뒷받침되지 않으면 기업의 자율 노력만으로는 한계가 있기 때문이다.

정부도 최근 잇따른 해킹사고와 관련해 엄중한 상황인식을 밝히고 범부처 차원의 근본대책을 마련하겠다는 방침을 밝혔다. 과학기술정보통신부와 금융위원회는 19일 통신사, 금융사 사이버 침해사고와 관련한 합동 브리핑에서 이같이 확인하고 조속한 사태 수습에 최선을 다하겠다고 강조했다.

류제명 과기부 2차관은 “과기부는 현행 보안 체계 전반을 원점에서 재검토해 임시방편적 사고 대응이 아닌 근본적 대책을 마련할 계획”이라고 강조했다. 류 차관은 이어 "기업이 고의적으로 침해 사실을 지연 신고하거나 미신고할 경우 과태료 등 처분을 강화하고 기업 신고 없이도 정황을 확보한 경우 정부가 철저히 조사할 수 있도록 제도를 개선해 나갈 것"이라고 확인했다.

권대영 금융위 부위원장은 "롯데카드 조사 과정에서 당초 신고한 내용보다 큰 규모의 유출이 확인됐다"며 "롯데카드의 소비자 보호 조치가 차질없이 이뤄지도록 면밀히 관리 감독해 나가겠다"고 말했다. 권 부위원장은 "조사 결과에 따라 법규 위반 사항 확인 시 일벌백계 차원에서 엄정 제재를 취할 방침"이라며 "금융권 해킹 등 침해사고에 대해 매우 엄중하고 무겁게 인식하고 있다"고 밝혔다.

해킹사고와 관련해 합동 브리핑을 하고 있는 류제명 과기부 2차관과ㅏ 권대영 금융ㅇ위 부위원장

▲결론: 보안은 ‘비용’이 아닌 ‘투자’

해킹사고는 단순히 고객 정보의 유출로 끝나지 않는다. 해킹사고로 유쵤된 고객 정보는 단순한 데이터가 아니다는 것이다. 신뢰 상실, 브랜드 가치 하락, 법적 제재, 주가 폭락으로 이어진다.

따라서 “보안은 비용이 아니라 투자”라는 인식 전환이 절실하다. 지금 필요한 것은 뒷북 대응이 아니라 사전적·구조적 대비다. 이를 경영의 중심에 두지 않는다면, 다음 타깃은 어느 기업이든 될 수 있다. 해킹사고는 ‘발생 여부’의 문제가 아니라 ‘언제 발생하느냐’의 문제다.

고객 정보유출은 기업만의 문제가 아니라 사회 전체의 신뢰를 무너뜨리는 사안이다. 해킹사고를 막지 못한다면, 기업은 고객의 신뢰와 시장의 평가에서 결코 살아남을 수 없다. 고객 정보 보호야말로 디지털 시대 기업의 생존 전략이자 사회적 책임이다.