검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'강은성'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[강은성 보안칼럼] 침해사고 관련 정보통신망법 주요 개정 내용

지난 칼럼에 이어 이번 칼럼에서는 지난해 침해사고와 관련하여 개정된 정보통신망법 규정을 검토해 보려고 한다. 올해 3월에 개정된 정보통신망법의 주요 내용은 다음과 같다. '정보통신서비스 제공자'는 전기통신사업자와 온라인 영리사업 영위자를 포함한다. 영리를 목적으로 홈페이지만 제공해도 포함되는 적용 범위가 매우 넓은 용어다. CISO, 다시 임원! 우선 CISO 직위를 '임직원'에서 '임원'으로 바꾼 것이 눈에 띈다. 2012년 정보통신망법에 처음 CISO가 규정된 때부터 CISO의 직위는 임원이었는데, 2021년 6월 법 개정 시 '임직원'으로 바꾸고, 같은 해 12월 시행령 개정을 통해 '자산총액이 5조 원 미만이거나, 정보보호관리체계(ISMS) 인증 의무대상 기업 중 자산총액이 5천억 원 미만인 정보통신서비스 제공자에는 정보보호팀장 등 직원이 CISO가 될 수 있도록 허용함으로써 'C(Chief)'의 취지가 무색해진 바 있다. 대부분의 중견기업과 상당수의 대기업에서 이를 근거로 팀장급을 CISO로 선임했다. 책임은 'C'급이나 권한은 여전히 '직원'인 힘든 자리가 됐다.(강은성, 9년 만에 바뀐 정보통신망법의 CISO 업무와 직급, 2021.07.27.) CISO 업무에 관련 인력 관리, 예산 편성, 이사회 보고, 정보보호위원회(위원장 CISO) 같이 CISO를 중심으로 정보보안 거버넌스를 강화하는 방향으로 법이 개정된 것도 거의 5년 만에 CISO 직위를 다시 임원(중기업 제외)으로 바꾼 한 원인이 됐을 듯싶다. 늦었지만 잘된 일이다. 정보보호 수준 평가제? 정보통신서비스 제공자와 정보통신망 연결기기의 제조업자와 수입업자 중 일정 요건의 사업자를 대상으로 '매년' 시행하는 '정보보호 수준 평가' 제도(제45조의5, 2027.4.1. 시행)가 신설된 것 역시 주목할 만하다. 정보통신망 연결기기(정보통신망법 제45조 제1항, 시행령 제36조의2)는 컴퓨터, 스마트폰 뿐 아니라 스마트 가전, 자동차, 의료기기 등 인터넷(네트워크) 접속 기능이 있는 대부분의 기기를 포함한다(유럽연합 사이버복원력법(CRA)에서 정의한 디지털 제품(Products with digital elements)과는 달리 순수 소프트웨어는 포함되지 않는다). '수준 평가제'는 정보통신서비스 제공자 뿐 아니라 정보통신망 연결기기 제조업자와 수입업자 중 '사업의 종류, 매출액 규모, 이용자의 수 등이 대통령령으로 정하는 기준에 해당하는 자'에 대해 '정보통신망법에 따른 의무의 준수 여부 등 정보통신망의 안정성과 정보의 신뢰성 수준'을 평가하는 제도인데, 적용받을 기업이 상당해 보임에도 제도의 목적(기존 제도 보완으로는 해결되지 않는 어떤 문제를 해결하기 위해 이 제도를 도입하는지)과 범위, 그 목적을 달성하기 위한 평가 기준 및 방법이 아직 알려진 게 없다. 대상이 될 만한 몇 기업에 물어보니 이름이 비슷한 다른 제도를 대며 오히려 필자에게 되묻는다. 그러고 보니 지금은 없어진 '정보보호 안전진단' 뿐 아니라 '정보보호 관리등급'(정보통신망법 제47조의5(정보보호 관리등급 부여), '정보보호 사전 점검'(정보통신망법 제45조의2(정보보호 사전점검), '정보보호 준비도 평가'(정보보호산업법 제12조(정보보호 준비도 평가 지원 등) 등 자세히 보면 다르지만, 주요 기업 CISO들도 구분하기 어려운 보안 평가 제도가 여럿 존재한다. 법적 의무로 도입되는 제도라면, 기존 제도와 뚜렷이 구분되고, 그에 따른 효과도 분명해야 한다. 그래야 기업들이 단지 '법적 의무'를 다하기 위한 것이 아니라 그동안 부족했던 보안 위험을 '가성비' 있게 보완하는 계기로 삼을 수 있다. 더욱이 이번 개정에서 일정 요건의 정보통신서비스 제공자를 대상으로 'ISMS 강화 인증'(제47조의7(정보보호 관리체계 인증의 차등적용 등) 제도가 함께 신설된 만큼, 중복 규제로 인한 기업의 부담을 최소화하는 세밀한 설계가 필요하다. 한발 더 나아가 근본적으로는, 기업에 미치는 영향이 큰 제도를 법제화할 때는 정부, 기업, 전문가그룹 등 주요 이해관계자들이 논의를 통해 제도에 대한 예측 가능성을 높이는 것이 바람직하다고 생각한다. 일정 요건의 침해사고 발생 시 이용자 통지 및 제재 강화 침해사고 발생 시 규제기관에 신고 의무에 더해 일정 요건 침해사고 발생 시 이용자에게 통지(제48조의3(침해사고의 신고 등) 제4항)하는 규정과 일정 요건의 침해사고 발생 시 과징금 부과(제48조의8(침해사고의 반복적 발생에 대한 과징금의 부과) 규정이 신설된 것 또한 큰 변화다. “정보통신서비스 제공자의 고의 또는 중과실로 인하여 침해사고가 5년 이내에 2회 이상 발생한 경우”에는 대통령령으로 정하는 매출액의 3% 이하의 과징금을 부과할 수 있다. 비슷한 시기에 개정된 개인정보보호법에서 '전체 매출액의 10% 이하 과징금' 규정을 신설한 것과 같은 맥락이다. 지난해에 큰 침해사고가 여럿 터진 탓인지 이 규정 역시 논란이 거의 없었고, 후속 조치로서 '고의 또는 중과실'의 기준과 과징금의 모수가 되는 '매출액'의 기준 정도가 관심의 대상이 되는 것 같다. 기업이 침해사고를 신고하면 그에 따른 '후폭풍'을 감수해야 한다. 개인정보가 유출됐다면 더욱 그렇다. 기업의 규모나 역량 등에 걸맞은 수준의 보안 투자와 보안 대책을 수립·운용하고 있었다면, 불법적인 침해사고를 당한 기업이 피해자임에도 사고 기업을 향해 쏟아지는 엄청난 사회적 비난은 기업이 신고를 주저하게 만드는 주요 원인이 되고 있다. 물론 그동안 개인정보 유출 사고에서 손해배상 등 책임을 회피해 왔던 기업의 대응이 이런 사회적 비난을 자초한 면이 있음도 부인할 수 없다. 하지만, 오늘날 AI를 활용한 정교한 피싱(Phishing)과 기술 취약점에 대한 공격, 공개소스나 수탁업체 등 공급망을 통한 공격, 심지어 내부자 매수를 통한 인증정보 획득까지 전문 공격집단을 방어해 낼 수 있는 개별 기업은 그리 많지 않을 것 같다. 침해사고 예방을 위한 국가적인 지원 활동과 함께 사고 발생 시 신속하게 신고함으로써 피해를 최소화할 수 있도록 침해사고에 대한 국가적 대응·분석체계를 갖추는 것이 우리 사회에 더 이익이 될 것으로 보인다. 최고경영진이 보안 경영에 나서야 지난 3월 정보통신망법과 개인정보보호법의 개정은, 지난해 잇따른 보안 사고를 통해 국민의 불안과 우려가 큰 사회적 상황에서 이뤄졌다. 그에 따라 보안 사고 예방 및 대응에 대한 최고 경영진의 책임을 분명히 하고, 대규모 사고 발생 시 대규모 금전적 제재를 통해 기업의 책임을 묻는 데 초점을 맞추고 있다. 따라서, 기업에서도 기업 경영 환경의 변화에 능동적으로 대응하기 위해 보안 예산과 전문 인력을 확충하고, 전문 CISO·CPO를 영입하며, 규제 준수 수준을 넘어, 기업 경영과 업무 처리, 개발과 생산, 영업, 서비스 프로세스 전반에 보안 및 개인정보 보호 프로세스를 내재화함으로써 보안 위협에 대응하고, 보안 위험을 관리해야 한다. 기업의 최고 경영진이 기업의 지속적 성장을 위해 보안 경영에 적극 나서야 할 때다.

2026.05.17 11:35강은성 컬럼니스트

[강은성 보안칼럼] 침해사고와 보안 입법- 2014년 vs 2026년①

2014년 1월 초, 신용카드 3사에서 1억 건이 넘는 개인정보가 유출됐다고 창원지검에서 발표하면서, 우리 사회는 엄청난 소용돌이에 빠져들었다. 신용카드 복제 등 개인정보 유출에 따른 2차 피해에 대한 불안감이 컸다. 카드를 재발급 받기 위해 도심의 한 카드사 서비스센터에 몰려든 인파 사진(아래)은 10여 년이 지난 지금도 당시 상황을 생생하게 그려 준다. 같은 해 5월 정부와 국회는 관련 규제를 대폭 강화하는 내용으로 정보통신망법을 발빠르게 개정했다. 2014년 5월 정보통신망법의 주요 개정사항은 다음과 같다. 2020년 2월 '데이터 3법' 개정으로 정보통신망법의 개인정보 보호 조문이 대부분 개인정보보호법으로 통합되기 이전에는 대량 개인정보를 처리하는 기업은 주로 '정보통신서비스 제공자'(온라인 영리사업자)여서 정보통신망법이 적용됐으므로, 법 개정의 영향은 상당히 컸다. 그럼에도 1월 초에 카드 3사의 개인정보 유출 사고가 발표됐는데, 이 많은 내용이 4달 만인 5월 초에 국회 본회의를 통과한 것을 보면, 당시 분위기를 어렵지 않게 짐작할 수 있다. (개인정보보호법은 2014년 3월 개정 때 주민등록번호의 암호화, 다음 해 5월에 개인정보 보호 인증, 징벌적 손해배상제 및 법정손해배상제 등 '개인정보보호 정상화 대책'(안전행정부, 2014.7.)의 주요 내용을 포함하여 개정되었고, 사고 당시 '솜방망이' 제재 규정으로 비판받았던 신용정보법 역시 2015년 3월에야 비로소 개인신용정보의 보호와 유출 시 과징금 부과 등 '금융분야 개인정보 유출 재발방지 종합대책'(관계부처 합동, 2014.3.)의 주요 내용이 반영되어 대폭 개정되었다.) 위의 표에서 빨간색으로 표시한 내용은 당시에 기업에 대한 제재를 강화할 목적으로 개정 또는 신설되었으나, 지금은 없어진 내용이다. 세월이 많이 흐르고, 환경이나 상황이 바뀌어서 그렇다고 볼 수도 있지만, 무리하게 보이는 개정사항도 있다. 12년이나 지난 일을 굳이 다시 끄집어 내는 것은 지난해 이뤄지는 일들을 보면서 2014년이 생각났기 때문이다. 2025년에는 국내에서 내로라하는 이동통신사, 온라인서점 등이 해킹으로 대량의 개인정보가 유출되는 사고가 발생하여 우리 사회에 큰 충격을 줬고, 범정부TF가 같은 해 10월, 제시한 대책을 반영한 개인정보보호법과 정보통신망법이 올해 3월에 국회를 통과했다. 이와 관련해 올해 3월에 개정된 개인정보보호법의 주요 내용은 다음과 같다. 우선 개인정보 보호 거버넌스를 강화했다는 점이 눈에 띈다. 선언적이긴 하지만 개인정보 보호의 최종 책임자로 CEO 명시, 이사회 결의를 통한 개인정보보호책임자(CPO)의 지정 및 신고제가 이에 해당한다. 거버넌스의 취지는 국민(정보주체)으로부터 개인정보를 제공받아 사업에 활용하는 개인정보처리자가 기업 차원에서 개인정보를 안전하게 관리하라는 것이다. 결국 CEO가 책임을 지고, 예산과 조직, 인력을 투입하고, 역량 있는 CPO를 선임하여 힘을 실어주라는 게 핵심이다. CPO 신고제는 목적과 그에 따른 조치를 명확히 할 필요가 있어 보인다. 비슷한 정보통신망법의 CISO 지정·신고제는 2014년 1월 카드 3사 개인정보 유출 사고의 대응 조치로 시행됐는데, 실무적으로는 한국인터넷진흥원 등에서 발견하거나 신고받은 침해사고에 대해 정보 공유 및 신속 대응을 할 수 있는 기업 창구를 확보한다는 의미가 있었다. 개인정보위가 발간한 '2025 개인정보보호 및 활용조사 보고서'(2026.4.)에 따르면, 민간기업에서 CISO가 CPO를 겸직하는 경우가 종사자 규모 50~299인(16,558건)의 52.7%, 300인 이상(3793건)의 35.7%에 달한다. 잘못하면 기업에서 임원 한 사람이 비슷한 행사나 교육, 관리에 해당하는 이중 규제가 될 우려가 있다. 아무래도 기업에서 관심이 가장 큰 사항은, 과징금 상한액의 대폭 상향하는 요건이 신설된 대목이다. 이번 개정에서 무려 전체 매출액의 10% 이하를 과징금으로 부과할 수 있는 요건이 신설됐다. 법 제64조의2(과징금의 부과) 제1항에서 규정한 과징금 부과 요건은 ▲개인정보 처리의 적법성 위반 ▲만 14세 미만 아동의 개인정보 처리 및 민감정보·고유식별정보·주민등록번호 처리의 적법성 위반 ▲위탁자가 관리·감독·교육을 소홀히 하여 수탁자가 개인정보보호법을 위반 ▲개인정보 유출 등 사고 발생 시 안전성 확보조치의 미흡 등으로 상당히 많다. 이때 고의 또는 중대한 과실로 이중 어느 하나에 해당하는 위반행위를 하고 정보주체의 피해 규모가 1천만 명 이상인 경우 등 에 적시한 3가지를 전체 매출액의 10% 이하 과징금 부과 요건으로 신설하였다. 일정 수준 이상의 우량기업이라 할 수 있는 국내 코스피 상장사의 2025년 평균 영업이익률이 7.94%라고 하니, 과징금 규모가 어떤 수준인지 어렵지 않게 알 수 있다. 과징금 상한액이 전체 매출액의 3%로 늘어난 게 2023년 3월(2023년 9월 시행)이라 실제 적용된 적도 많지 않은 상황에서 현 규정에서 어떤 문제점을 발견했길래 훨씬 과중한 요건을 급박하게 만들었는지 궁금하기도 하다. (다음 칼럼에 계속) ◆강은성 교수는... 국내 최대 보안기업 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 지능정보보호학부 교수로 있다. 저서로 'IT시큐리티(한울, 2009)'와 '팀장부터 CEO까지 알아야 할 기업 정보보안 가이드(한빛미디어, 2022)' 등이 있다.

2026.04.25 09:38강은성 컬럼니스트

[강은성 보안칼럼] 인공지능과 함께 살아가기-문해력, 질문, 판단

"일주일에 한두 번은 쓰는 것 같은데. 숙제 물어보고 물건 정보 같은 거 찾고."(초등학교 6학년 어린이) "강아지가 죽은 거 제가 속상하다고 말했는데 걔가 슬펐겠다고 말해줘 위로가 됐어요. 얘가 저의 기분에 맞춰서 얘기해 줘서. 친구처럼 얘기하는 것 같아요."(초등학교 6학년 어린이) "사람은 '어 그렇구나' 이 정도인데 얘만 이렇게 더 귀 기울여 주는 것 같아서 더 감동받고. 친구보다 더 친구 같았어요."(초등학교 6학년 어린이) 얼마 전 뉴스에서 본 세 어린이의 이야기가 인상적이었다. 첫 번째 어린이는 지식과 정보가 필요해서 AI 서비스를 이용했다. 검색 서비스를 이용하는 것보다 훨씬 편리하고 내 질문에 맞는 답변을 얻을 수 있다. 두 번째 어린이의 이야기는 AI와 정서적인 교감이 있다고 볼 수 있다. 기존 검색 서비스에서는 없던 경험이다. 세 번째 어린이는 좀 더 본질적으로 '인정 욕구' 또는 '존중 욕구'를 표현한다. 같은 뉴스에서 전문가는 이렇게 말한다. "답을 해줄 수 있는 대상에 대한 필요는 아동 청소년에게 매우 크고요. 의존이 생기면 부모의 이야기를 듣지 않고 친구들 얘기도 듣지 않을 가능성…"(김현수/명지병원 정신건강의학과 임상교수) 웹과 모바일 등 다양한 영역에서 10대 보안취약점을 발표해 세계적으로 잘 알려진 비영리재단 OWASP가 2023년 8월 거대 언어모델(LLM) 취약점에 관해 'OWASP Top 10 for LLM v1.0'을 발표했다. 이 자료를 읽으면서 9번째 취약점인 '과의존'(Overreliance)이 눈에 띄었다. 일반적으로 보안 취약점은 공격 대상 또는 이를 운용하는 체계에 존재하는데, 과의존은 이용자에 대한 것이어서다. 전화 사기, 문자 사기, 메신저 사기 등 온갖 피싱(Phishing) 공격을 통해 사람이 보안 취약점이 될 수 있음이 드러났지만, 이는 공격 대상이 사람이라는 점에서 과의존과 결이 다르다. 그럼에도 과의존이 10대 보안 취약점의 하나로 꼽힐 만큼 심각한 문제였다는 점은 눈여겨 볼 필요가 있다. (1년이 지난 2024년 11월에 발표된 OWASP Top 10 for LLM applications 2025에는 '잘못된 정보'(Misinformation)가 새로 생기고, 과의존은 이의 하위 요소로 포함됐다. LLM의 취약점이란 기준으로 볼 때 적절한 변화다.) 사실 우리는 지금도 정보를 찾을 때 검색엔진과 유튜브 영상에 많이 '의존'한다. 심지어 출처가 불분명한 SNS 글에 '의존'하기도 한다. 그러니 무엇을 물어봐도 나보다 훨씬 많은 정보와 지식을 가지고 '적절한' 또는 (근거가 부족하고, 심지어 틀린 내용까지 포함해) '그럴 듯한' 답변을 내 주는 AI 서비스에 어느 정도 의존하는 것은 낯선 풍경은 아니다. 하지만 그 의존이 과도할 때 문제가 된다. '과의존'은 과도한 신뢰, 심지어는 맹목적인 신뢰까지 나아갈 수 있다. 아예 사람의 판단 작용이 멈춰선 상태가 된다. LLM 생성 이미지 문제는 AI 주류인 LLM이 본질적으로 '사실'을 답변하는 것이 아니라, “학습한 데이터를 기반으로 주어진 문맥 뒤에 나올 확률적으로 가장 높은(그럴 듯한) 단어(토큰)를 예측”하는 모델이라는 점이다. 존재하지 않는 것을 '사실'처럼 그럴 듯하게 답변하는 '환각'이 발생하는 근본 원인이다. AI의 발달 속도는 엄청나다. ChatGPT가 2022년 11월 말에 처음 출시된 뒤, 텍스트 위주의 단순한 질문(입력)-답변(출력)에서 입·출력 자체를 이미지, 비디오 등 다양한 형태로 하는 네이티브 멀티모달, 생각의 사슬(Chain of Thought) 기반 추론, 스스로 판단과 결정을 내릴 수 있는 자율형 에이전트(에이전틱 AI), 사이버 세계에서 현실 세계로 들어온 로봇을 중심으로 한 피지컬 AI, 그리고 이 모든 것의 기반이 되는 반도체, 전력, 규제까지, 3년이 조금 넘는 짧은 시간에 현기증이 날 정도로 빠른 변화를 우리는 경험하고 있다. 개인적으로는 30대에 넷스케이프와 검색의 시대를 접하고, 40대에 유튜브를 통해 영상의 시대에 들어선 뒤, 50대에 알파고와 ChatGPT를 통해 AI 시대를 만났다. 직업 덕분에 '원주민'으로 산 시대도 있지만, '이민자'로서 새로운 시대에 적응하는 데 어려움을 겪기도 했다. AI 시대의 '이민자'로서 오랫동안 AI와 함께 살아가야 할 2030 청년들의 삶에 특히 눈길이 가는 이유다. AI와 함께 살아가는 데 꼭 필요한 역량은 무엇일지, 대학에서, 더 좁게는 맡은 과목에서 학생들에게 어떤 역량을 길러줄 수 있을지 고민하는 이유이기도 하다. 미국 노동부에서는 가장 기본적으로 'AI 문해력'(AI Literacy)을 꼽는다. 지난 2월에 발표한 '미국 노동부 AI 문해력 프레임워크'에서 'AI 문해력'을 “개인이 AI 기술을 책임 있게 활용하고 평가할 수 있도록 하는 기초 역량 집합”으로 정의하고, ▲AI 원리 이해 ▲AI 활용 사례 탐구 ▲AI에 대한 효과적인 지시 ▲AI 결과물 평가 ▲책임 있는 AI 활용을 AI 문해력의 5가지 기본 영역으로 제시하였다. 'AI 문해력 프레임워크'(미국 노동부)의 내용을 포함해 구글 제미나이로 생성한 이미지 문해력은 “글을 읽고 쓰는 능력”을 일컫는 말인데, 미국 노동부에서는 AI 문해력을 이보다 훨씬 넓은 의미로 정의하고, AI의 심대한 영향을 받을 현재의 노동자를 위한 교육·훈련프로그램 뿐 아니라 미래의 노동자를 배출하는 교육시스템에도 AI 문해력이 포함되어야 함을 강조한 것이다. 지난 겨울방학 동안 쌓인 공부거리를 해치우고 관련 자료를 정리하면서 잘 알려진 AI 서비스를 활용했다. 생각하지 못한 정보를 찾고, 대체적인 내용을 이해하는 데는 도움이 되지만, 구체적인 사실에 들어가면 오류가 적지 않아서 결국 참고문헌을 찾아서 확인할 수밖에 없었다. (참고문헌 인용이 틀린 경우도 가끔 있다.) AI 서비스가 많이 발전했지만, 아직 이용자의 역량이 AI 활용에 미치는 영향이 큰 것이 현실이다. 무엇보다도 이용자가 갖춰야 할 역량은 '질문 역량'(프롬프트 작성) 이다. 역량은 보통 “업무를 수행해 성과를 낼 수 있는 능력”으로 정의하는데, AI를 활용하는 업무 환경에서 질문 역량은 업무 수행의 핵심 역량이 된다. AI 문해력 프레임워크 중 'AI에 대한 효과적인 지시'에 필수적인 역량이다. 조직에서도 질문 역량은 매우 중요하다. 신입사원부터 고위 임원까지 누구에게나 필요하다. 특히, 고위직은 질문을 통해 정보를 얻을 수도 있지만, 조직의 목표를 만들기도 하고, 조직이 목표를 향해 나아가게 하기도 한다. 질문은 프레임을 만들기도 하고, 일의 방향을 바꾸기도 한다. 어떤 질문을 하느냐에 따라 답변이 완전히 달라진다. 질문이 세상을 바꾼다. 질문 역량은 '꼬리 질문'에도 해당한다. AI 서비스의 답변을 보고 꼬리 질문을 하게 되는데, 한 질문에 대한 꼬리 질문을 모아 '질문 꾸러미'를 만들어 보면, 질문에 따라 답변의 내용과 질이 어떻게 달라지는지, 그래서 질문 역량이 얼마나 중요한지 명확하게 알 수 있다. 또한, 질문 역량과 함께 중요한 것이 '판단 역량'이다. AI가 제공하는 수많은 '그럴 듯한' 정보에서 틀린 것, 근거가 없거나 희박한 것, 불필요한 것, 불합리한 것 등을 솎아내고, 꼬리 질문을 통해 내가 본래 얻고자 했던 것을 얻어낸다. 그러려면 AI의 답변을 분석하고, 비판적으로 이해하여 종합적으로 판단할 수 있어야 한다. AI는 답변에 책임지지 않는다. 책임질 수도 없고, 책임지도록 해서도 안된다. '그럴 듯한' 답변을 내는 것이 LLM의 본질이기 때문이다. 주요 AI 서비스의 대화창 아래에 조그만 글씨로 다음과 같이 써 있는 것을 발견할 수 있다. ChatGPT는 실수를 할 수 있습니다. 중요한 정보는 재차 확인하세요. Gemini는 AI이며 인물 등에 관한 정보 제공 시 실수를 할 수 있습니다. Claude는 AI이며 실수할 수 있습니다. 응답을 다시 한번 확인해 주세요. AI 서비스의 답변을 활용한다면, 그 결과에 대한 책임은 이용자에게 있다. 'AI 문해력 프레임워크'에서 'AI의 결과물 평가'와 '책임 있는 AI 활용'은 이용자판단 역량의 토대 위에 존재한다. 이용자가 윤리적 판단이나 가치 판단을 해야할 때도 있다. 이제 AI로 인한 거대한 변화 초입에 서 있다. AI 기술 발전의 방향과 속도, 수준이 어떨지, 인간이 AI를 어떻게 활용하고, 상호 작용 또는 상호 협력할지 아직 정립되어 있지 않은 상태다. AI에 관한 다양한 이슈가 제기되고 있는데, 그중에서도 우리 사회가 AI 활용의 개인적·사회적 기반을 튼튼히 하는 데 관심을 가져야 할 때가 아닌가 싶다.

2026.03.28 14:47강은성 컬럼니스트

[강은성 보안칼럼] 글로벌 사이버 위협, 2025년 회고와 2026년 전망

매년 11월부터 연말까지 다음 해 사이버 위협 전망에 대한 주요 기업과 기관의 보고서가 많이 나온다. 안랩, 이글루, 시만텍, 포티넷, 카스퍼스키 같은 국내·외 보안기업에서 주로 내지만, 구글, 마이크로소프트와 같은 보안 강자 IT기업, 가트너, IDC 같은 조사기관도 낸다. 많지 않지만, 영국 NCSC(National Cyber Security Centre)나 우리나라 한국인터넷진흥원 같은 정부기관에서도 발표하곤 한다. 2024년 주요 기업·기관에서 발표한 '2025년 사이버 위협 전망'을 종합하면, 40여 개 항목 중 AI 기반의 사이버 공격 등 AI에 관한 내용이 10건으로 가장 많았고, 랜섬웨어와 국가/핵티비즘이 각각 5건, 공급망에 관한 내용이 4건으로 뒤를 이었다. 2025년의 사이버 위협을 구체적인 침해사고를 통해서 살펴본다. 먼저 랜섬웨어 공격은 여전히 많이 발생했다. 이미 랜섬웨어 공격은 '가성비' 좋은 '범죄산업'으로 자리잡았다. 인도의 기술 대기업 타타테크놀로지(1월), 미국의 대형 신문사 리엔터프라이즈(Lee Enterprise)(2월), 영국의 세계적인 소매점 막스앤스펜서(M&S)와 고급 백화점 해로즈(Harrods), 일본의 대형 물류 제공업체 킨테츠월드익스프레스(KWE)(이상 4월), 영국 소매업체 코옵(Co-op)(5월), 영국 통신사 콜트테크놀로지, 프랑스 통신사 오렌지(이상 8월), 일본 아사히맥주, 미국 세계적인 항공서비스업체 콜린에어로스페이스(이상 9월), 미국 하버드대(10월), 워싱턴포스트(11월) 등이 랜섬웨어 공격으로 서비스 마비 또는 중단, 고객정보 유출 등 상당한 피해를 당했다. 돈이 모이는 가상자산은 늘 주요 공격 대상이다. 두바이에 본사를 둔 세계적인 가상자산거래소 바이비트(Bybit)에서 침해사고로 역대 가장 많은 14.6억 달러 규모(2조 원 이상)의 피해가 발생했고(2월), 개인정보 유출로 발생한 피싱 피해 보상 등 4억 달러 규모의 피해가 생긴 가상자산거래소 코인베이스 사건, 오픈소스 취약점으로 2.2억 달러 규모의 피해가 발생한 유동성 공급자 세터스(Cetus) 프로토콜 사건(이상 5월), 주요 탈중앙화 금융(DeFi) 프로토콜인 밸런서(Balancer)의 취약점으로 발생한 1.3억 달러 규모의 피해 사건(11월) 등이 있었다. 2025년 여러 '사이버 위협 전망'에서 강조됐던 'AI 기반 사이버 위협' 사례는 오픈AI(ChatGPT), 구글(Gemini), 엔트로픽(Claude) 등 주요 LLM 모델 개발사가 발간한 보고서에서 찾아볼 수 있다. 2024년 2월부터 관련 보고서를 발간한 오픈AI는 2025년 10월 발간한 'Disrupting malicious uses of AI: an update'에서 ChatGPT를 활용한 '바이브 코딩(vibe coding)'을 통해 악성코드를 개발, 개선하려는 러시아어 사용 계정을 차단하고, 피싱 공격을 준비하는 북한(한국어 사용) 계정 및 중국어 사용 계정을 차단하는 등 7개의 ChatGPT 악용 시도 차단 사례를 설명했다. 개발사들은 자신의 LLM이 악성코드 개발이나 피싱 컨텐츠 제작 등에 악용된 증거를 찾을 수 없다고 강조하고 있으나, 표적에 관한 정보 수집, 취약점 수집 등 LLM 개발사의 감시에 걸리지 않고 LLM을 악용하는 방안은 많아서 많든 적든 악성 행위에 LLM이 사용된다고 보는 것이 타당할 것이다. 공급망 공격으로는 400곳 이상이 피해를 본 MS SharePoint 제로데이취약점 공격(7월)을 대표적인 사례로 꼽을 수 있는데, 앞서 예를 든, 외부 전자지갑 서비스에 대한 침해를 통해 발생한 가상자산거래소 바이비트 해킹 사건, 랜섬웨어 공격으로 콜린에어로스페이스가 유럽 각국에 제공하는 항공서비스가 마비됨에 따라 런던과 베를린, 브뤼셀 등 주요 도시의 공항들이 큰 혼란을 겪은 사건, 하버드대와 워싱턴포스트 랜섬웨어 공격의 원인으로 밝혀진 오라클 E-Business Suite 제로데이취약점 문제 등에서도 공급망 공격의 광범위한 영향을 알 수 있다. 과학기술정보통신부에서 매년 펴내는 '2025 상반기 사이버위협동향 보고서'에 따르면, 2025년 상반기에 신고된 침해사고는 1034건으로 반기 기준으로 가장 많았다. 하지만 2025년에는 생활 밀착형 서비스에서 대형 침해사고가 여럿 발생해 일반 국민이 피부로 느끼는 불안은 숫자 이상으로 크지 않을까 싶다. 최대 이동통신사 해킹으로 유심(USIM) 정보 등 2700만 명의 고객정보 유출(4월), 랜섬웨어 공격으로 대형 온라인서점 서비스 마비(6월)와 시민의 필수 서비스인 보증보험 서비스 중단(7월), 프랙(Phrack) 보고서로 알려진 정부 업무망 및 이동통신사 해킹과 중요 정보 유출(8월), 해킹에 의한 카드사 297만 명 고객정보 유출, 이동통신장비 관리 및 인증 부실로 인한 이동통신사 무단 결제 및 고객정보 유출, 금융IT 외주업체 해킹을 통한 공급망 공격으로 20여 개 자산운용사 고객정보 유출(이상 9월), 인증시스템 관리 부실로 퇴직자에 의한 최대 온라인 쇼핑몰에서의 3370만 명 고객정보 유출(11월) 등 2025년은, 2014년 1월 카드사 개인정보 유출 사건 이후 침해사고가 중요 사회적 이슈로 떠오른 해로 기록될 것 같다. 8개 기업에서 발표한 2026년 사이버 위협 전망 40여 건을 분류해 보면, AI 관련 건이 17건, 국가 6건, 랜섬웨어와 공급망이 각 4건으로 그 뒤를 이었으며, 양자와 OT(Operational Technology)가 각 2건, 가상자산, 클라우드, 브라우저 등이 1건 씩으로 나타났다. 국가 배후 공격/사이버전, 랜섬웨어, 공급망, 가상자산 등 사이버 위협 전망이나 침해사고 유형에서 매년 빠지지 않는 분류가 여전히 포함되지만, 구글이 AI 영역(6개 항목)과 사이버 범죄 영역(4개 항목)으로 나눠 사이버 위협을 전망하고, 팔로알토는 아예 “AI 경제를 위한 6가지 예측”(6 Predictions for the AI Economy - 2026's New Rules of Cybersecurity)이라는 제목으로 다룰 정도로 AI의 비중이 커졌다는 점은 주목할 만하다. 대부분의 전망에서 공격자가 전면적으로/전방위적으로/공격의 모든 단계에서 AI를 사용할 것으로 예측하는데, 특히 사이버 범죄 에이전트를 통한 공격이 발생할 거라는 예측이 눈에 띈다(시만텍, 포티넷). 방어 측면에서는 에이전트 기반의 보안관제센터(Agentic SOC)가 구축돼 많은 로그의 연관성 분석, 난독화된 명령어의 해독, MITRE ATT&CK 프레임워크와의 매핑 등이 자동으로 이뤄져 침해사고대응팀이 수동적인 '분석' 업무에서 벗어나 보안 오케스트레이션 및 자동 대응 도구(SOAR: Security Orchestration, Automation, and Response)의 조치를 몇 분 안에 승인하는 등 '판단' 업무에 집중할 수 있게 될 거라는 반가운 (그러나 우리나라 일반 상황과는 좀 거리가 있어 보이는) 예측도 있다. 기업에 AI 에이전트가 확산하면 에이전트가 내부자 위협으로 떠오를 것이어서 에이전트에 대한 사용자 인증, 공격으로부터 에이전트를 보호하는 일이 기업 보안의 핵심 요소로 등장할 것이라는 전망도 있다(이상 구글, 팔로알토). AI라는 메가 트렌드에 가려 잘 보이지 않지만, 2026 전망에서 유의해서 봐야 할 내용 중 하나가 바로 '양자 컴퓨팅'에 관한 것이다(시만텍, 팔로알토). '선 수집, 후 복호화'(Harvest now, decrypt later, HNDL) 위협은, 지금 암호화된 데이터를 수집해 놓고, 양자 컴퓨터가 실용화되면 복호화한다는 것이다. 기술의 발전 속도를 예측하기란 쉽지 않지만, 대체로 2035년쯤에는 양자컴퓨터가 실용화될 것으로 보고 있어서, 각국에서 양자내성 암호(PQC: Post-Quantum Cryptography)체계로의 전환을 준비하고 있고, 우리나라 정부에서도 '범국가 양자내성 암호체계 전환 종합 추진 계획'(관계부처합동, 2025.9.)을 수립하고, 2035년까지는 현 공개키 기반(PKI)의 암호체계를 양자내성 암호체계로 전환하겠다고 밝혔다. '선 수집, 후 복호화' 위협에 대해 먼저 할 수 있는 대응은 현재 사용하는 암호체계와 대상을 파악하고, 대칭키 암호 알고리즘의 키 길이와 해시의 출력 길이를 늘리는 일이다. 양자 알고리즘을 통한 현 암호체계 공격에 대해 미국 표준기술연구소(NIST)에서 권고하는 방법이다. AES-128 대신에 AES-256(AES-256-GCM)을 사용하고, SHA-256 대신에 SHA-512를 사용하는 식이다. 공개키 기반 암호체계를 사용하는 TLS나 인증서는 양자내성 암호체계를 사용해야 하므로, 정부와 업계의 추진 현황을 살펴보면서 대응하면 된다. “사람이 보안의 핵심”이라는 시만텍의 전망 또한 귀 기울일 필요가 있다. 스캐터드 스파이더나 랩서스 등 랜섬웨어 갱단은 공격 대상에 대한 초기 접근 시 피싱, 내부자 포섭 등의 사회 공학을 통해 기업의 다중인증 체계를 통과했다. 많은 예산을 투입해 구축한 보안기술 체계가 제 역할을 하려면, 그것을 사용하는 구성원의 보안 인식 제고, 훈련, 더 나아가 보안 문화를 갖춰야 함을 보여준 사례다. 2025년 침해사고 사례와 여러 기업·기관에서 발간한 2025년 및 2026년 사이버 위협 전망을 통해 국내·외 사이버 위협의 흐름과 주목해야 할 점을 정리해 보았다. 보안 현황과 대책을 여러 각도에서 검토하고 준비하는 데 도움이 되면 좋겠다. 올 한 해 변함없이 기업·기관에서 보안을 담당하는 분들의 건승을 빈다. 큰 사고 없이 한 해가 지나가길 바라는 마음 간절하다.

2026.01.03 15:47강은성 컬럼니스트