검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안사고'통합검색 결과 입니다. (6건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"AI 활용 순식간에 공격코드 작성...27초면 끝"

지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 침투하는 데 27초, 유출까지 단 4분. 가장 빠른 인공지능(AI) 해킹 기록이다. AI 혁명은 업무 효율을 급격하게 높였지만, 이와 동시에 공격 효율도 빠르게 상승시켰다. 공격자들은 공격 전 과정에 걸쳐 AI를 본격적으로 악용하고 있다. 이에 우리 정부와 국내 보안기업은 물론 글로벌 보안 기업들도 AI 악용 공격에 대한 경고를 잇달아 내놨다. 무엇보다 AI는 공격의 진입 장벽을 크게 낮췄다. 아예 공격 자체를 자동화시키는 경우도 어렵지 않게 발견된다. 양적·질적으로 공격을 고도화하고 있으며, 그만큼 기업들의 데이터는 더 많이 '먹잇감'으로 전락했다. 공격에 AI를 악용하는 것과 더불어 AI 모델 자체에 대한 사이버 공격도 조직을 위태롭게 만든다. 최근 부각한 피지컬AI가 사이버 공격을 받아 부적절한 명령을 수행하는 경우 큰 물리적인 피해로 이어질 수도 있다. 최근 많은 기업들이 AI 모델, AI 에이전트 등을 본격 도입하면서 해커들의 타깃이 되고 있다. AI 모델이 지켜내야 할 자산으로 분류되고 있는 것이다. 디지털 트러스트 구현을 위해서는 '보안을 위한 AI', 'AI를 위한 보안'이 필수 요소로 자리잡고 있는 모양새다. "올해 최대 위협은 AI 기반 공격" 보안업계 일성 과학기술정보통신부(과기정통부)는 올해 초 '2025년 사이버 위협 동향 및 2026년 전망' 보고서를 발표하며, 올해 사이버 위협 전망으로 'AI 기반 사이버 위협 및 인공지능 서비스에 대한 사이버 공격 증가'를 1순위로 지목했다. 과기정통부는 "사이버 공격자들의 AI 활용이 본격화하며, 올해 AI를 활용한 사이버 공격이 더욱 정교하고 다양화될 것으로 전망된다"며 "아울러 인공지능 서비스 모델 자체를 공격 대상으로 삼는 공격도 심화할 것으로 보인다"고 전망했다. 과기정통부 외에도 안랩, 이글루코퍼레이션(이글루) 등 국내 보안 기업들 역시 AI 활용 및 AI 모델 자체에 대한 공격을 우선적인 보안 위협으로 지목했다. 안랩은 올해 5대 보안 위협 중 AI를 첫 번째로 꼽았다. 아울러 프롬프트 인젝션(명령 주입), 데이터 포이즈닝(학습 데이터 조작) 등을 통한 AI 오작동을 유도하는 공격도 늘어날 것으로 전망했다. 이글루는 AI 생태계 전반에 걸친 공격에 주의하라고 당부했다. AI 모델 개발에 사용되는 오픈소스나 데이터셋의 취약점을 노린 공격이 증가하고, 에이전틱 AI를 활용한 공격이 늘어날 것으로 전망했다. 삼성SDS에 따르면 보안 전문가 10명중 8명이 꼽은 올해 가장 위협적인 요소 1위로 'AI 기반 보안 위협'으로 집계됐다. 구글 위협 인텔리전스 그룹(GTIG)도 '2026년 사이버 보안 전망' 보고서를 통해 AI를 악용한 공격이 두드러질 것으로 예상했다. 특히 보고서는 AI를 악용한 공격이 '뉴노멀'로 자리잡을 것으로 봤다. AI로 공격 65% 빨라져…AI가 맞춤형으로 취약점 공격 많은 보안업계 기관 및 기업이 전망한 것처럼 AI발 사이버 위협은 현실로 다가왔다. 글로벌 사이버 위협 인텔리전스(CTI) 기업 크라우드스트라이크가 지난달 발표한 '2026 글로벌 위협 보고서'에 따르면 AI 기반 공격 활동은 전년 대비 89% 늘어난 것으로 나타났다. 크라우드스트라이크는 공격자들이 공격 전주기에 걸쳐 AI를 활용하는 것으로 분석했다. 해킹은 공격할 타깃을 선정하고 취약점을 찾아내 침투, 권한 상승 및 네트워크 횡적 이동 등을 통해 데이터를 탈취하는 식으로 이뤄진다. 보고서에 따르면 이런 공격 과정에서 AI가 인간의 개입 없이 스스로 공격을 수행하기도 했다. 먼저 공격할 타깃을 선정하는 과정에서 AI가 타깃의 공개된 인프라를 스캔하고, 사용 중인 소프트웨어 버전을 살핀다. 취약점이 있는 소프트웨어를 사용중인데, 패치하지 않으면 이같은 기업들의 타깃이 된다. 해커는 이런 정찰 단계에서 타깃 기업을 리스트화한다. 또 취약점 공격(익스플로잇) 개발 과정에서 감지한 취약점에 맞춤화된 공격 코드를 AI가 즉석에서 작성하기도 한다. 가상 환경에서 자체 테스트까지 완료해 공격 성공 여부도 점친다. 이어 AI는 작성한 코드를 실행해 시스템에 침투한 뒤 관리자 권한을 얻기 위한 추가 공격을 자동으로 수행한다. 이후 데이터를 탈취하기 위해 침투한 서버를 기점으로 다른 네트워크 서버로 침투 범위를 확장한다. AI가 네트워크 구조를 스스로 파악하고 이동하기 때문에 인간의 개입이 필요없다. 이어 데이터를 외부 서버로 유출, 공격을 완료한다. 보고서에 따르면 이같은 공격 과정이 평균 29분밖에 소요되지 않았다. 2024년 대비 65%나 빨라진 셈이다. 가장 빠른 공격은 27초면 완료됐다. 강병탁 AI스페라 대표는 지디넷코리아와 통화에서 "정보 수집 단계에서 AI가 가장 많이 활용된다. 예를 들어 한 사이트가 취약점이 있다고 가정했을 때, 꼭 CVE 취약점이 아니더라도 소스코드상 결함이 발견되면 AI로 html이나 자바스크립트 코드를 일일이 확인하지 않아도 알아서 타깃으로 잡는다"며 "공격 코드 역시 AI가 알아서 작성한다. 과거에는 취약점이 발견되더라도 이 취약점을 악용한 공격 코드를 작성하는 것이 웬만한 실력자가 아니면 불가능했다. 그러나 최근에는 AI를 악용하기 때문에 순식간에 공격 코드를 작성할 수 있다"고 경고했다. 한 보안업계 레드팀 관계자도 "AI 악용 공격과 사람이 직접 실행한 공격을 명확히 구분할 수 없는 단계까지 왔다. 오히려 90% 이상의 공격, 모든 공격자들이 전부 AI를 쓰고 있다고 봐도 무방하다"며 "사람이 공격 코드를 일일이 작성했을 때에는 실수도 발견되고 이를 통해 역추적되는 경우도 빈번했지만, 지금은 AI가 너무나 완벽하게 코드를 작성해주기 때문에 이런 빈틈이 없어져 공격이 더욱 고도화됐다"고 진단했다. 전문가 "AI 공격, AI 보안으로 막아야…자동화 필요" 전 세계에 걸쳐 실제 피해 사례도 발견됐다. 중국 해킹그룹이 AI 기업 엔트로픽 AI 코딩 지원 모델 '클로드코드(Claude Code)'를 악용해 전 세계 금융, 화학, 정부기관 대상으로 지난해 해킹 공격을 한 사례가 대표적이다. 또 올해에는 러시아 해킹그룹 팬시 베어의 LLM(거대언어모델) 기반 악성코드 배포 정찰 및 문서 수집 등 LLM 기반 악성코드를 활용한 정황이 포착되기도 했다. 전문가들은 AI 공격은 AI로 방어해야 한다고 제언한다. 이용준 극동대 해킹보안학과 교수는 "AI 기술이 인간을 대체해 발전하는 추세에 따라 사이버 공격에 AI가 활용돼 대응하는 조직은 휴먼과 AI의 구분이 어려워지고 있다"며 "AI 모델 자체를 해킹해 고도화된 해킹에 AI를 적극 활용하는 추세다. AI 에이전트화를 통해 해커의 수동화된 공격 활동을 자동화해 공격이 대량화되고 있다"고 짚었다. 이에 이 교수는 "AI 보안의 핵심은 해커 업무의 많은 부분이 AI가 활용되고 있고, 인간 해커보다 공격량이 방대하다는 점에서 대응하는 보안 담당자의 보안 업무도 AI를 활용하지 않으면 방대한 공격을 방어하기 어렵다"며 "취약점 진단, 악성코드 탐지 등에 AI를 활용해 보안 담당자 개입을 최소화함과 더불어 딥페이크 피싱, 피싱 메일 등에 대해 AI가 제작한 특징을 탐지하는 기술, AI 모델에 대한 보안 연구가 병행돼야 한다"고 강조했다. 한국정보보호학회장을 맡고 있는 김호원 부산대 컴퓨터공학과 교수는 "AI 기반 공격의 가장 무서운 점은 보안 관리자가 무시할 수 있을 만한 보안 취약점들을 자동으로 찾아내고, 해당 보안 취약점에 대해 지속적이며 가장 효과적인 공격 기법을 활용한다는 점"이라면서 "거버넌스 강화나 기존 보안 체계를 강화하는 것에서 나아가 AI가 지속적으로 찾아내는 취약점에 미리 대응하는 것이 현실적"이라고 밝혔다. 김 교수는 또 "모든 보안 취약점이 실제 치명적인 공격으로 이어지는 것은 아니기 때문에 AI 기반 모의침투 테스트를 지속적으로 수행하는 것이 외부 공격 가능성을 줄이는 한 가지 방법이 될 것"이라며 "대부분의 기관에서 1년에 한두번 다소 형식적인 모의침투 테스트를 하는 경우가 있는데, 이를 개선하는 것이 필요하다"고 강조했다.

2026.04.07 15:12김기찬 기자

"쿠팡, 미국 기업이라고 위법 행위 눈감아줄 수 없어"

"국정조사를 통해서라도 경영진을 국민 앞에 세워야 한다." "미국 기업이라고 해서, 외부 압력이 있다고 해서 위법 행위를 눈감아줄 수는 없다." 더불어민주당은 30일 쿠팡 개인정보 유출 사태와 불공정 거래, 노동환경 논란을 다룬 연석 청문회에서 김범석 쿠팡 의장과 강한승 전 대표 등 핵심 경영진 불출석을 강하게 질타하며 국정조사 추진 의지를 거듭 밝혔다. 쿠팡이 내놓은 소비자 보상안에 대해서도 “판촉성 꼼수”, “국민 기만”이라며 비판 수위를 높였다. 안호영 민주당 의원은 이날 국회에서 열린 '쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회'에서 “김범석 의장이 출석할 때까지 추가 출석을 요구하고, 고발을 포함한 모든 법적·절차적 조치를 단호히 취해야 한다”고 촉구했다. 이용우 의원도 “보상 수준이 낮은 것은 둘째 치고, 판촉 행위에 불과한 보상 방안으로 또다시 국민적 공분을 사고 있다”면서 “불출석 사유서 하나 제출한 뒤 반복적으로 청문회를 회피하는 행태를 도저히 이해할 수 없다. 국정조사를 통해서라도 경영진을 국민 앞에 세워야 한다”고 말했다. 김현정 의원 역시 “국정조사를 추진하고, 그 과정에서 반드시 동행명령 등 강제 조치를 검토해야 한다”며 “김범석 의장뿐 아니라 김유석(김범석 의장 동생)·강한승 전 대표에 대해서도 고발 조치가 필요하다”고 강조했다. 그는 “보상책을 내놓은 것 자체가 국민과 국회를 우롱하는 행위”라고 비판했다. 이에 최민희 국회 과학기술방송정보통신위원장은 “국정조사 요구서는 이미 정리해 원내에 전달했고, 현재 절차에 들어간 상태”라고 답했다. 개인정보 유출 규모를 둘러싼 의혹도 집중 제기됐다. 박홍배 의원은 “시간이 지나면 흐지부지될 사안이 아니라는 점을 쿠팡은 인식해야 한다”며 “미국 기업이라고 해서, 외부 압력이 있다고 해서 위법 행위를 눈감아줄 수는 없다. 미국 정부에 로비하고 한국 정부와 국회에 압력을 넣도록 판을 짠 정황까지 드러났다”고 주장했다. 김남근 의원은 쿠팡이 외부 유출 정보가 약 3천건에 불과하다고 발표한 데 대해 “피의자가 스스로 조사해 결과를 발표하는 경우는 극히 이례적”이라며 “책임을 은폐하려는 시도가 아닌지 철저한 조사가 필요하다”고 말했다. 이날 청문회에서는 산업재해 은폐 의혹과 과로사 논란 등 노동환경 문제도 도마에 올랐다. 염태영 의원은 “2020년 이후 쿠팡에서 일하다 숨진 노동자가 노동조합이 확인한 것만 30명에 이른다”며 “쿠팡에서 이어져 온 '죽음의 행진'을 이제는 멈춰 세워야 한다”고 지적했다. 최 위원장은 이재걸 쿠팡 법무담당 부사장을 상대로, 쿠팡 임원 다수가 특정 법무법인 출신이라는 점을 언급하며 “공정거래위원회가 불공정 행위를 하지 말라고 행정명령을 내리면 곧바로 행정소송으로 맞서는 구조를 고착화하려는 것 아니냐”고 따져 물었다. 이어 “산재 문제로 합의에 나서는 노동자들에게 법률가들이 가서 압박하고, 극한의 상황에 몰린 이들에게 소액을 주고 끝내는 것이 과연 합의인가”라고 비판했다. 해롤드 로저스 쿠팡 대표의 발언을 둘러싼 위증 논란도 쟁점으로 떠올랐다. 로저스 대표는 개인정보 유출 사태와 관련해 “국가정보원의 지시로 자체 조사를 실시했다”고 주장했으나, 국정원은 해당 발언이 사실과 다르다며 국회에 위증 고발을 요청한 상태다. 황정아 의원은 정부 관계자들을 향해 “과기부와 경찰청, 국정원 모두 조사한 바가 없다고 하는데도 쿠팡은 '지시했다고 이해했다'는 식으로 단어를 교묘히 비틀고 있다”면서 “로저스 대표의 말장난을 그대로 두고 봐선 안 된다”고 지적했다. 그는 로저스 대표를 향해 “위증을 멈추라. 거짓말로만 상황을 모면하려는 태도는 용납할 수 없다”고 강하게 비판했다. 청문회 과정에서는 로저스 대표의 통역 방식과 관련한 신경전도 벌어졌다. 최 위원장이 동시통역기 사용을 요구하자, 로저스 대표는 개인 통역사를 사용하겠다고 맞섰다. 이에 노종면 의원은 “증인은 국회에서 오가는 발언을 그대로 들을 의무가 있다”며 “개인 의사와 무관하게 따라야 한다”고 지적했다.

2025.12.31 00:08백봉삼 기자

LGU+ 서버 폐기로 조사 불가능...경찰 수사 의뢰

정부가 한국인터넷진흥원(KISA)과 LG유플러스 보안 사고를 조사한 결과, 서버 목록 등 정보는 회사에서 유출된 것으로 확인했다. 자료가 유출된 서버는 운영체제(OS) 재설치와 폐기로 조사가 불가하다고 판단, 경찰청에 수사를 의뢰했다. 과학기술정보통신부는 29일 오후 2시 정부서울청사에서 브리핑을 열어 "LG유플러스의 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 뒤 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사의뢰했다"고 밝혔다. 과기정통부는 KISA는 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 입수하고, LG유플러스에 관련 사항을 공유하고 침해사고 신고를 안내했다. 또 자체 조사단을 구성해 지난 8월25일부터 현장 조사를 실시했고, 이후 LG유플러스가 지난 10월23일 KISA에 침해사고를 신고한 후 조사단을 구성했다. 조사 결과 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 서버 목록, 서버 계정 정보, 임직원 성명 등 정보는 LG유플러스에서 유출된 것으로 확인됐다. 실제 자료가 유출됐을 것으로 추정되는 APPM 서버는 운영체제 업그레이드 등 작업이 이뤄져 침해사고 흔적을 확인할 수 없게 됐다. 협력사 직원 노트북에서부터 LG유플러스의 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기돼 조사가 불가능한 상태였기 때문이다. 조사단은 LG유플러스 관련 서버 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황을 안내한 후 이루어진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다. 배경훈 부총리는 “이번 LG유플러스 침해사고는 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 말했다.

2025.12.29 14:10홍지후 기자

쿠팡이 놓친 '세 개의 주머니'

제갈량은 익주로 들어가는 유비의 앞날에 세 번의 위기가 닥칠 것을 예견한다. 그래서 조운에게 세 개의 주머니를 건네며 “급할 때 하나씩 열되, 순서를 어기지 말라”고 말한다. 위기는 예고 없이 닥치지만, 대응은 미리 준비돼 있어야 한다는 뜻이다. 나관중 '삼국지연의'에 나오는 장면이다. 지난 한 달여 간 쿠팡 개인정보 유출 사태를 지켜보면서 위 장면이 교차돼 떠올랐다. 이번 쿠팡 보안 사고는 단순한 사고가 아니다. 위기 대응의 연속된 실패 사례에 가까워 보인다. 쿠팡은 여러 차례 위기를 피할 기회가 있었다. 하지만 그때마다 잘못된 선택으로 사태를 키웠다. 주머니를 손에 쥐고도 끝내 열어보지 않거나 외면한 모양새다. 쿠팡이 놓친 첫 번째 주머니는 사고 직후 초기 대응이다. 대규모 개인정보 유출은 기업의 신뢰를 뒤흔드는 중대 사안이다. 이때 가장 중요한 것은 사실관계의 투명한 공개와 책임 있는 사과다. 그러나 쿠팡의 초기 대응은 느렸고, 메시지는 모호했다. 이용자 안내도 한발 늦었다. 이용자들이 가장 궁금해하는 '어떤 조치를 취해야 하는지'에 대한 설명도 부족했다. 위기를 키우지 않기 위해 가장 먼저 열었어야 할 첫 번째 주머니를 쿠팡은 망설이다 놓쳤다. 두 번째는 국회 청문회와 공식 사과 자리였다. 이 때 쿠팡은 진정성 있는 태도만으로도 상황을 반전시킬 여지가 있었다. 그러나 쿠팡은 성실한 답변 대신 방어적인 태도로 일관했다. 국민적 의혹과 분노에 정면으로 응답하지 않았다. 급기야 한국 대표를 경질하고, 한국 사회의 정서와 규제 환경에 익숙하지 않은 미국 출신 인사를 임시 대표로 세우는 선택을 했다. 소통 부재 논란이 커지는 상황에서 '말이 더 안 통하는 구조'를 자초한 셈이다. 이는 위기를 관리하기는커녕, 오히려 새로운 불신의 불씨를 던진 결정이었다. 여기에 김범석 의장의 국회 청문회 출석 요구 불응은 결정타였다. 창업자이자 실질적 최고 책임자가 책임의 최전선에 서지 않겠다는 신호는 쿠팡이 이 사태를 어떻게 인식하고 있는지 그대로 드러냈다. 두 번째 주머니엔 '책임자 등판과 진정성 있는 사과'가 담겨 있어야 했다. 그러나 쿠팡은 이 역시 열지 않았다. 세 번째는 사태 수습의 마지막 카드, 즉 보상과 후속 조치였다. 하지만 이마저도 논란으로 이어졌다. 개인정보 유출 혐의자 발표를 정부와의 충분한 조율 없이 단독으로 진행하면서 또 다른 혼선을 낳았다. 보상안 역시 피해자들이 체감할 수 있는 수준과는 거리가 멀었다. 금액과 방식 모두에서 “이게 최선인가”라는 반응이 나왔고, 이용자들의 분노는 가라앉지 않았다. 마지막 주머니마저 허술하게 열어본 결과다. '삼국지연의'에서 제갈량이 건넨 주머니는 기적의 계책이 아니다. 상식적인 판단과 대응 순서 정도일 뿐이다. 처음에는 민심을 얻고, 그 다음 내부를 안정시키며, 마지막에는 물러날 줄 아는 선택. 쿠팡이 현명했다면, 혹은 곁에 냉정한 지략가 한 명만 있었더라도 이 사고는 지금과는 전혀 다른 국면이지 않았을까. 이번 개인정보 유출 사태는 불가항력적 재난이 아니었다. 위기를 조기에 관리할 수 있는 기회가 반복해서 주어졌고, 그때마다 쿠팡은 잘못된 판단을 내렸다. 그 결과, 단일 사고가 기업 문화와 책임 의식 전반을 묻는 문제로 확장됐다. 위기는 예견하지 못했더라도 대응만큼은 준비할 수 있었다.

2025.12.29 11:22백봉삼 기자

쿠팡 "고객보상 방안 곧 발표...2차 피해 끝까지 막겠다"

쿠팡이 최근 발생한 개인정보 유출 사태 관련 용의자인 유출자를 특정했다면서, 고객 보상 방안을 조만간 별도로 발표하겠다고 약속했다. 이어 고객들에게 다시 한 번 고개를 숙였다. 쿠팡은 25일 “이번 개인정보 유출로 고객 여러분께 큰 걱정과 불편을 끼쳐드린 점에 대해 책임을 통감한다”면서 “사태 수습과 재발 방지를 위해 모든 역량을 동원하고 있으며, 고객 보상 방안도 곧 공식 안내할 예정”이라고 밝혔다. 이어 “정부기관 조사에 성실히 협조하는 한편, 2차 피해가 발생하지 않도록 끝까지 책임 있는 조치를 이어가겠다”며 “이번 사태를 계기로 개인정보 보호 체계를 전면 재점검하고 재발 방지 대책을 강구하겠다”고 강조했다. 아울러 “수많은 고객과 국민들께 심려를 끼쳐드린 점에 대해 다시 한 번 진심으로 사과드린다”고 거듭 사과했다. 유출자 특정·정보 회수 완료…“외부 전송 없어” 쿠팡에 따르면, 회사는 디지털 지문(digital fingerprints) 등 포렌식 증거를 토대로 고객 정보를 유출한 전직 직원을 특정, 유출에 사용된 모든 장치와 저장매체를 회수해 확보했다. 현재까지 조사 결과에 따르면 유출자는 단독으로 범행을 저질렀으며, 탈취한 내부 보안 키를 이용해 약 3천300만 명 고객 계정의 기본 정보에 접근했다. 다만 실제로 저장한 정보는 약 3천개 계정에 한정됐고, 해당 정보는 모두 삭제한 것으로 확인됐다. 저장된 정보에는 이름·이메일·전화번호·주소·일부 주문 정보가 포함됐으며, 공동현관 출입번호는 2천609개가 포함된 것으로 파악됐다. 결제정보·로그인 정보·개인통관고유번호 등 민감 정보는 접근·유출되지 않았고, 제3자에게 외부 전송된 사실도 없는 것으로 조사됐다. 쿠팡은 사건 초기부터 맨디언트·팔로알토 네트웍스·언스트앤영 등 글로벌 보안업체 세곳에 포렌식 조사를 의뢰해 조사를 진행했다. 회사 측은 “외부 전문기관의 분석 결과 역시 유출자의 진술과 일치하며, 추가 유출 정황은 발견되지 않았다”고 설명했다. 유출자는 개인 데스크톱 PC와 맥북에어 노트북을 사용해 고객 정보에 접근한 것으로 조사됐으며, 해당 PC와 하드디스크는 모두 제출돼 분석이 완료됐다. 맥북에어 노트북의 경우 증거 인멸을 시도해 하천에 투기했으나, 수색을 통해 회수됐고 일련번호도 유출자의 계정 정보와 일치한 것으로 확인됐다. 이번 쿠팡 발표와 관련, 과학기술정보통신부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다. 과기정통부는 "현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항"이라면서 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 덧붙였다.

2025.12.25 18:00백봉삼 기자

"기술이 뚫려도 제도가 막았어야"...유심 해킹 민낯

해킹을 완벽히 막을 수 없다면, 피해 확산을 막는 제도와 기술이 기본값이 돼야 한다. SK텔레콤 유심 해킹 사고는 통신 인프라의 구조적 취약성과 함께, 사후 대응과 이용자 보호 시스템의 한계를 드러냈다. 초기 대응부터 인증 정보 암호화와 정보보호 최고책임자(CISO) 제도도 실효성에 의문이 제기됐다. 즉 기술뿐 아니라 대응과 제도까지 포함한 시스템 전체의 문제를 보여주며 근본적인 재정비가 불가피하다는 지적이다. 유심보호서비스, 왜 처음부터 자동가입 못했나 유심보호서비스는 통신 3사 모두 무료로 제공하는 부가서비스다. 유심 무단 변경을 막는 기능을 갖추고 있지만 이용자 스스로 직접 가입해야 하는 형태다. 해킹에 따른 피해를 사전에 차단하기보다는 사후에 유심 변경을 제한하는 보조적 조치에 가깝다. 침해사고 직후 SK텔레콤은 유심보호서비스 가입을 적극 권장했으나 일시적으로 가입 신청이 몰리며 T월드 앱 서비스의 접속 폭주로 고객 불만이 빗발쳤다. 아울러 로밍 요금제와 동시 가입이 불가능한 탓에 해외 체류자나 여행객의 불안감을 더욱 키웠다. SK텔레콤은 T월드 앱에서 원터치 가입이 가능하도록 개선하고, 이용 약관 개정 신고를 통해 자동가입 절차를 뒤늦게 시행했다. 로밍요금제와 동시 이용이 가능한 업그레이드 버전도 선보였으나 사고 이후 유심보호서비스를 기본값으로 제공하지 않았다는 비판이 거세게 나왔다. 국회 청문 과정에서 "이용자가 알지 못하면 보호받지 못하는 구조"라는 비판과 함께 유심 교체 이후 보호서비스 자동 연동이 이뤄지지 않은 점도 지적을 받았다. 박진호 동국대 컴퓨터•AI학부 교수는 "유심보호서비스는 유심을 사용하는 모든 이용자에게 기본값으로 자동 적용돼야 한다"며 "몇백 원 절감하겠다고 이용자에게 수동 설정을 요구할 게 아니라, 보호 기능을 끄는 선택지만 남기는 구조로 바꿔야 한다"고 강조했다. 정부 차원의 통합 보안 가이드라인 부재도 구조적 허점으로 지목됐다. 더불어민주당의 이정헌 의원은 청문에서 "금융 앱은 생체인증 같은 기본 보안장치를 기본값으로 제공하는데, 유심같이 중요한 영역은 왜 기본 방어체계조차 제공하지 않는지 따져볼 필요가 있다"고 지적했다. 가짜뉴스 방치…"정보 공백이 더 큰 피해 낳았다" 침해사고 직후 일부 온라인 커뮤니티와 SNS에서는 “해킹되면 계좌의 모든 돈이 빠져나간다”는 식의 확인되지 않은 주장과 과장된 정보가 빠르게 확산됐다. 불안에 휩싸인 일부 이용자들은 모바일 뱅킹 앱을 삭제하거나 위약금을 내고 다른 통신사로 번호이동 사례도 나타났다. 이 과정에서 정부나 침해사고 당사자인 SK텔레콤이 국민의 우려를 불식시키는 노력이 부족했다는 지적을 피하기 어렵다. 염흥열 순천향대 정보보호학과 교수는 “유심 정보 유출만으로 금융 피해로 직결되기는 어렵다”며 “복제폰 제작, 금융 앱 접근 정보 탈취 등 여러 단계의 추가 수단이 필요해 현실적으로 가능성은 낮다”고 설명했다. 그는 또 “IMEI 유출 가능성이 제기된 만큼, 초기 단계부터 정보의 위험성과 해명 내용을 명확히 전달했어야 했다”며 “유심 교체 방침을 발표할 당시 수급 상황을 고려하지 않은 점도 문제였다”고 지적했다. 국회 입법조사처는 최근 발표한 '통신사 해킹 사고 사후 대응의 문제점과 입법과제' 보고서에서 "사고 직후 정부와 통신사가 허위 정보 확산에 효과적으로 대응하지 못했고, 이용자에게 신뢰를 줄 수 있는 조기 안내 체계도 부재했다"며 "초기 단계부터 투명한 정보 공개와 허위 정보 대응 매뉴얼을 갖추는 것이 제도적 과제"라고 밝혔다. 박진호 교수는 "SK텔레콤과 같은 대기업이라면 매뉴얼 자체가 없었을 리는 없지만, 디테일이 부족했다"며 "예고된 공격에도 선제 대응이 미흡했고, 사후 조치에서도 홍보·안내 체계가 부족했다"고 지적했다. 이어 "이심(eSIM)은 실물 유심 탈취 위험이 없어 해킹 저항성이 더 높다"며 "통신사는 이심 전환과 관련한 가이드와 보호 옵션 안내를 더욱 명확히 해야 한다"고 덧붙였다. 유심 정보 암호화, 이제는 '의무'로 SK텔레콤의 침해사고 계기로 통신망에 저장되거나 전송되는 유심 관련 인증 정보의 암호화 저장 필요성이 본격적으로 제기됐다. 현재 인증 절차에 사용되는 유심 고유번호, 인증 토큰 등 일부 식별 정보는 통신사 시스템 내에서 평문으로 저장되거나 암호화되지 않은 채 전송되는 구조가 여전히 존재해 해킹 시 탈취 위험이 남아있다는 것이다. 기술적 조치 수준에서도 통신 3사 간 격차가 존재한다. KT는 2021년부터 IMSI 암호화 기능이 적용된 5G USIM을 도입했고, LG유플러스는 PUF(물리적 복제 불가능 함수) 기반의 고보안 유심을 상용화했다. 반면 SK텔레콤은 이번 사고 시점까지 암호화 조치를 적용하지 않았고, 사건 이후에야 관련 체계 강화에 착수했다. 국제 표준도 이와 관련한 최소한의 보안을 요구하고 있다. 5G SA 환경에서는 가입자 식별정보(SUPI)를 암호화된 형태(SUCI)로 전송해야 한다는 규정이 3GPP TS 33.501 표준에 명시돼 있다. 이는 LTE 시절 IMSI가 평문으로 전송되던 보안 취약점을 개선하기 위한 조치다. 국내에서 5G SA 상용화가 아직 이뤄지지 않았고 한국을 포함한 다수 국가에서는 해당 표준이 법제화로 이어지지 않았다. 이에 대해 전문가들은 “기술적으로는 사실상 의무인데, 제도적으로는 방치되고 있는 전형적인 보안 사각지대”라고 지적한다. 염흥열 교수는 “5G SA 환경에서는 전송 구간 암호화는 표준상 필수지만, 저장은 통신사 자율에 맡겨진 상황”이라며 “KT, LG유플러스는 암호화를 적용했지만 SK텔레콤은 하지 않아 업계 기준을 따르지 않은 셈”이라고 밝혔다. 이어 “민감 정보 저장 시 암호화를 의무화하는 법적 규제가 필요하다. 개인정보보호법이나 정보통신망법 개정을 통해 이를 보완해야 한다”고 강조했다. CISO 제도, '명문화'에서 '내실화'로 현행 정보통신망법에 따르면, 매출 1천500억원 이상이거나 일평균 이용자 수 100만 명 이상인 정보통신서비스 사업자는 정보보호최고책임자(CISO)를 지정해 신고해야 한다. 과거 대규모 정보 유출 사건을 계기로, 기업 내 보안 책임자 제도화를 통해 정보보호 역량을 강화하겠다는 취지로 도입됐다. 법적으로 CISO는 정보보호 정책 수립, 보안 예산 및 인력 운영, 사고 대응 총괄 등의 역할을 맡지만, 현실에서는 제도의 명문화와 실질 운영 사이 간극이 크다는 지적이 꾸준히 제기돼 왔다. 많은 기업이 CISO를 CTO, CIO 등과 겸직시키고 있으며, 독립적인 예산 편성과 정책 집행 권한도 제한적인 경우가 많다. 특히 CISO가 CEO에게 직접 보고하지 못하고, IT 부서 산하 실무 조직에 편입되는 경우가 많아, 보안 이슈가 경영 전략이나 예산 결정에서 후순위로 밀리는 구조적 문제가 반복되고 있다. 명목상 직책은 있지만 책임과 권한이 분산돼 실질적 대응력은 떨어질 수밖에 없다. 이번 SK텔레콤 유심 해킹 사고에서도 이러한 한계가 여실히 드러났다. SK텔레콤의 정보보호실은 AT·DT센터 산하 5개 실 중 하나로, 정보보호실장이 CISO를 겸직하고 있다. 정보보호실장은 사내 임원급 인사이지만 등기임원은 아니며, 사업보고서 상 주요 경영진 명단에도 포함돼 있지 않다. 이로 인해 보안 의사결정에서 전략적 독립성과 대응력 확보에 한계가 있었다는 지적이 나온다. 전문가들은 단순히 법령상 CISO를 지정하는 것만으로는 실질적인 보안 책임이 확보되기 어렵다며, 제도의 실효성 강화를 위한 보완이 시급하다고 입을 모은다. SK텔레콤 침해사고에서 CISO 제도가 '형식적으로 존재하는 것'과 '실제 작동하는 것'은 다르다는 점을 분명히 보여줬다는 것이다. 업계 한 관계자는 "많은 기업들이 여전히 CISO를 CTO나 CIO 등과 겸직시키고 있으며, CEO에게 직접 보고하는 체계도 부족해 보안 의사결정에서 배제되기 쉽다"면서 "독립적인 보안 예산과 인력 운영 권한을 부여하고, 사고 발생 시 책임 주체가 명확해지도록 제도적 보완이 필요하다"고 말했다. 다른 관계자는 "사이버 공격 자체를 100% 막을 수는 없다. 하지만 사고 이후 책임 구조가 명확하고, 투명하게 대응할 수 있는 시스템이 구축돼 있었는가가 기업 신뢰의 기준이 된다"며 "다음 사고를 피할 수 없다면, 피해를 줄이는 체계와 책임지는 구조라도 갖춰야 한다"고 강조했다. 염흥열 교수는 "침해사고는 결국 기업 내부에 취약점이 있었다는 의미"라면서 "상시적인 취약점 제거 체계와 함께, 외부 기관에 의한 정기적인 모의 해킹 테스트도 필요하다"고 했다.

2025.05.21 09:24최이담 기자