검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안사고'통합검색 결과 입니다. (5건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"쿠팡, 미국 기업이라고 위법 행위 눈감아줄 수 없어"

"국정조사를 통해서라도 경영진을 국민 앞에 세워야 한다." "미국 기업이라고 해서, 외부 압력이 있다고 해서 위법 행위를 눈감아줄 수는 없다." 더불어민주당은 30일 쿠팡 개인정보 유출 사태와 불공정 거래, 노동환경 논란을 다룬 연석 청문회에서 김범석 쿠팡 의장과 강한승 전 대표 등 핵심 경영진 불출석을 강하게 질타하며 국정조사 추진 의지를 거듭 밝혔다. 쿠팡이 내놓은 소비자 보상안에 대해서도 “판촉성 꼼수”, “국민 기만”이라며 비판 수위를 높였다. 안호영 민주당 의원은 이날 국회에서 열린 '쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회'에서 “김범석 의장이 출석할 때까지 추가 출석을 요구하고, 고발을 포함한 모든 법적·절차적 조치를 단호히 취해야 한다”고 촉구했다. 이용우 의원도 “보상 수준이 낮은 것은 둘째 치고, 판촉 행위에 불과한 보상 방안으로 또다시 국민적 공분을 사고 있다”면서 “불출석 사유서 하나 제출한 뒤 반복적으로 청문회를 회피하는 행태를 도저히 이해할 수 없다. 국정조사를 통해서라도 경영진을 국민 앞에 세워야 한다”고 말했다. 김현정 의원 역시 “국정조사를 추진하고, 그 과정에서 반드시 동행명령 등 강제 조치를 검토해야 한다”며 “김범석 의장뿐 아니라 김유석(김범석 의장 동생)·강한승 전 대표에 대해서도 고발 조치가 필요하다”고 강조했다. 그는 “보상책을 내놓은 것 자체가 국민과 국회를 우롱하는 행위”라고 비판했다. 이에 최민희 국회 과학기술방송정보통신위원장은 “국정조사 요구서는 이미 정리해 원내에 전달했고, 현재 절차에 들어간 상태”라고 답했다. 개인정보 유출 규모를 둘러싼 의혹도 집중 제기됐다. 박홍배 의원은 “시간이 지나면 흐지부지될 사안이 아니라는 점을 쿠팡은 인식해야 한다”며 “미국 기업이라고 해서, 외부 압력이 있다고 해서 위법 행위를 눈감아줄 수는 없다. 미국 정부에 로비하고 한국 정부와 국회에 압력을 넣도록 판을 짠 정황까지 드러났다”고 주장했다. 김남근 의원은 쿠팡이 외부 유출 정보가 약 3천건에 불과하다고 발표한 데 대해 “피의자가 스스로 조사해 결과를 발표하는 경우는 극히 이례적”이라며 “책임을 은폐하려는 시도가 아닌지 철저한 조사가 필요하다”고 말했다. 이날 청문회에서는 산업재해 은폐 의혹과 과로사 논란 등 노동환경 문제도 도마에 올랐다. 염태영 의원은 “2020년 이후 쿠팡에서 일하다 숨진 노동자가 노동조합이 확인한 것만 30명에 이른다”며 “쿠팡에서 이어져 온 '죽음의 행진'을 이제는 멈춰 세워야 한다”고 지적했다. 최 위원장은 이재걸 쿠팡 법무담당 부사장을 상대로, 쿠팡 임원 다수가 특정 법무법인 출신이라는 점을 언급하며 “공정거래위원회가 불공정 행위를 하지 말라고 행정명령을 내리면 곧바로 행정소송으로 맞서는 구조를 고착화하려는 것 아니냐”고 따져 물었다. 이어 “산재 문제로 합의에 나서는 노동자들에게 법률가들이 가서 압박하고, 극한의 상황에 몰린 이들에게 소액을 주고 끝내는 것이 과연 합의인가”라고 비판했다. 해롤드 로저스 쿠팡 대표의 발언을 둘러싼 위증 논란도 쟁점으로 떠올랐다. 로저스 대표는 개인정보 유출 사태와 관련해 “국가정보원의 지시로 자체 조사를 실시했다”고 주장했으나, 국정원은 해당 발언이 사실과 다르다며 국회에 위증 고발을 요청한 상태다. 황정아 의원은 정부 관계자들을 향해 “과기부와 경찰청, 국정원 모두 조사한 바가 없다고 하는데도 쿠팡은 '지시했다고 이해했다'는 식으로 단어를 교묘히 비틀고 있다”면서 “로저스 대표의 말장난을 그대로 두고 봐선 안 된다”고 지적했다. 그는 로저스 대표를 향해 “위증을 멈추라. 거짓말로만 상황을 모면하려는 태도는 용납할 수 없다”고 강하게 비판했다. 청문회 과정에서는 로저스 대표의 통역 방식과 관련한 신경전도 벌어졌다. 최 위원장이 동시통역기 사용을 요구하자, 로저스 대표는 개인 통역사를 사용하겠다고 맞섰다. 이에 노종면 의원은 “증인은 국회에서 오가는 발언을 그대로 들을 의무가 있다”며 “개인 의사와 무관하게 따라야 한다”고 지적했다.

2025.12.31 00:08백봉삼

LGU+ 서버 폐기로 조사 불가능...경찰 수사 의뢰

정부가 한국인터넷진흥원(KISA)과 LG유플러스 보안 사고를 조사한 결과, 서버 목록 등 정보는 회사에서 유출된 것으로 확인했다. 자료가 유출된 서버는 운영체제(OS) 재설치와 폐기로 조사가 불가하다고 판단, 경찰청에 수사를 의뢰했다. 과학기술정보통신부는 29일 오후 2시 정부서울청사에서 브리핑을 열어 "LG유플러스의 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 뒤 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사의뢰했다"고 밝혔다. 과기정통부는 KISA는 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 입수하고, LG유플러스에 관련 사항을 공유하고 침해사고 신고를 안내했다. 또 자체 조사단을 구성해 지난 8월25일부터 현장 조사를 실시했고, 이후 LG유플러스가 지난 10월23일 KISA에 침해사고를 신고한 후 조사단을 구성했다. 조사 결과 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 서버 목록, 서버 계정 정보, 임직원 성명 등 정보는 LG유플러스에서 유출된 것으로 확인됐다. 실제 자료가 유출됐을 것으로 추정되는 APPM 서버는 운영체제 업그레이드 등 작업이 이뤄져 침해사고 흔적을 확인할 수 없게 됐다. 협력사 직원 노트북에서부터 LG유플러스의 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기돼 조사가 불가능한 상태였기 때문이다. 조사단은 LG유플러스 관련 서버 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황을 안내한 후 이루어진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다. 배경훈 부총리는 “이번 LG유플러스 침해사고는 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 말했다.

2025.12.29 14:10홍지후

쿠팡이 놓친 '세 개의 주머니'

제갈량은 익주로 들어가는 유비의 앞날에 세 번의 위기가 닥칠 것을 예견한다. 그래서 조운에게 세 개의 주머니를 건네며 “급할 때 하나씩 열되, 순서를 어기지 말라”고 말한다. 위기는 예고 없이 닥치지만, 대응은 미리 준비돼 있어야 한다는 뜻이다. 나관중 '삼국지연의'에 나오는 장면이다. 지난 한 달여 간 쿠팡 개인정보 유출 사태를 지켜보면서 위 장면이 교차돼 떠올랐다. 이번 쿠팡 보안 사고는 단순한 사고가 아니다. 위기 대응의 연속된 실패 사례에 가까워 보인다. 쿠팡은 여러 차례 위기를 피할 기회가 있었다. 하지만 그때마다 잘못된 선택으로 사태를 키웠다. 주머니를 손에 쥐고도 끝내 열어보지 않거나 외면한 모양새다. 쿠팡이 놓친 첫 번째 주머니는 사고 직후 초기 대응이다. 대규모 개인정보 유출은 기업의 신뢰를 뒤흔드는 중대 사안이다. 이때 가장 중요한 것은 사실관계의 투명한 공개와 책임 있는 사과다. 그러나 쿠팡의 초기 대응은 느렸고, 메시지는 모호했다. 이용자 안내도 한발 늦었다. 이용자들이 가장 궁금해하는 '어떤 조치를 취해야 하는지'에 대한 설명도 부족했다. 위기를 키우지 않기 위해 가장 먼저 열었어야 할 첫 번째 주머니를 쿠팡은 망설이다 놓쳤다. 두 번째는 국회 청문회와 공식 사과 자리였다. 이 때 쿠팡은 진정성 있는 태도만으로도 상황을 반전시킬 여지가 있었다. 그러나 쿠팡은 성실한 답변 대신 방어적인 태도로 일관했다. 국민적 의혹과 분노에 정면으로 응답하지 않았다. 급기야 한국 대표를 경질하고, 한국 사회의 정서와 규제 환경에 익숙하지 않은 미국 출신 인사를 임시 대표로 세우는 선택을 했다. 소통 부재 논란이 커지는 상황에서 '말이 더 안 통하는 구조'를 자초한 셈이다. 이는 위기를 관리하기는커녕, 오히려 새로운 불신의 불씨를 던진 결정이었다. 여기에 김범석 의장의 국회 청문회 출석 요구 불응은 결정타였다. 창업자이자 실질적 최고 책임자가 책임의 최전선에 서지 않겠다는 신호는 쿠팡이 이 사태를 어떻게 인식하고 있는지 그대로 드러냈다. 두 번째 주머니엔 '책임자 등판과 진정성 있는 사과'가 담겨 있어야 했다. 그러나 쿠팡은 이 역시 열지 않았다. 세 번째는 사태 수습의 마지막 카드, 즉 보상과 후속 조치였다. 하지만 이마저도 논란으로 이어졌다. 개인정보 유출 혐의자 발표를 정부와의 충분한 조율 없이 단독으로 진행하면서 또 다른 혼선을 낳았다. 보상안 역시 피해자들이 체감할 수 있는 수준과는 거리가 멀었다. 금액과 방식 모두에서 “이게 최선인가”라는 반응이 나왔고, 이용자들의 분노는 가라앉지 않았다. 마지막 주머니마저 허술하게 열어본 결과다. '삼국지연의'에서 제갈량이 건넨 주머니는 기적의 계책이 아니다. 상식적인 판단과 대응 순서 정도일 뿐이다. 처음에는 민심을 얻고, 그 다음 내부를 안정시키며, 마지막에는 물러날 줄 아는 선택. 쿠팡이 현명했다면, 혹은 곁에 냉정한 지략가 한 명만 있었더라도 이 사고는 지금과는 전혀 다른 국면이지 않았을까. 이번 개인정보 유출 사태는 불가항력적 재난이 아니었다. 위기를 조기에 관리할 수 있는 기회가 반복해서 주어졌고, 그때마다 쿠팡은 잘못된 판단을 내렸다. 그 결과, 단일 사고가 기업 문화와 책임 의식 전반을 묻는 문제로 확장됐다. 위기는 예견하지 못했더라도 대응만큼은 준비할 수 있었다.

2025.12.29 11:22백봉삼

쿠팡 "고객보상 방안 곧 발표...2차 피해 끝까지 막겠다"

쿠팡이 최근 발생한 개인정보 유출 사태 관련 용의자인 유출자를 특정했다면서, 고객 보상 방안을 조만간 별도로 발표하겠다고 약속했다. 이어 고객들에게 다시 한 번 고개를 숙였다. 쿠팡은 25일 “이번 개인정보 유출로 고객 여러분께 큰 걱정과 불편을 끼쳐드린 점에 대해 책임을 통감한다”면서 “사태 수습과 재발 방지를 위해 모든 역량을 동원하고 있으며, 고객 보상 방안도 곧 공식 안내할 예정”이라고 밝혔다. 이어 “정부기관 조사에 성실히 협조하는 한편, 2차 피해가 발생하지 않도록 끝까지 책임 있는 조치를 이어가겠다”며 “이번 사태를 계기로 개인정보 보호 체계를 전면 재점검하고 재발 방지 대책을 강구하겠다”고 강조했다. 아울러 “수많은 고객과 국민들께 심려를 끼쳐드린 점에 대해 다시 한 번 진심으로 사과드린다”고 거듭 사과했다. 유출자 특정·정보 회수 완료…“외부 전송 없어” 쿠팡에 따르면, 회사는 디지털 지문(digital fingerprints) 등 포렌식 증거를 토대로 고객 정보를 유출한 전직 직원을 특정, 유출에 사용된 모든 장치와 저장매체를 회수해 확보했다. 현재까지 조사 결과에 따르면 유출자는 단독으로 범행을 저질렀으며, 탈취한 내부 보안 키를 이용해 약 3천300만 명 고객 계정의 기본 정보에 접근했다. 다만 실제로 저장한 정보는 약 3천개 계정에 한정됐고, 해당 정보는 모두 삭제한 것으로 확인됐다. 저장된 정보에는 이름·이메일·전화번호·주소·일부 주문 정보가 포함됐으며, 공동현관 출입번호는 2천609개가 포함된 것으로 파악됐다. 결제정보·로그인 정보·개인통관고유번호 등 민감 정보는 접근·유출되지 않았고, 제3자에게 외부 전송된 사실도 없는 것으로 조사됐다. 쿠팡은 사건 초기부터 맨디언트·팔로알토 네트웍스·언스트앤영 등 글로벌 보안업체 세곳에 포렌식 조사를 의뢰해 조사를 진행했다. 회사 측은 “외부 전문기관의 분석 결과 역시 유출자의 진술과 일치하며, 추가 유출 정황은 발견되지 않았다”고 설명했다. 유출자는 개인 데스크톱 PC와 맥북에어 노트북을 사용해 고객 정보에 접근한 것으로 조사됐으며, 해당 PC와 하드디스크는 모두 제출돼 분석이 완료됐다. 맥북에어 노트북의 경우 증거 인멸을 시도해 하천에 투기했으나, 수색을 통해 회수됐고 일련번호도 유출자의 계정 정보와 일치한 것으로 확인됐다. 이번 쿠팡 발표와 관련, 과학기술정보통신부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다. 과기정통부는 "현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항"이라면서 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 덧붙였다.

2025.12.25 18:00백봉삼

"기술이 뚫려도 제도가 막았어야"...유심 해킹 민낯

해킹을 완벽히 막을 수 없다면, 피해 확산을 막는 제도와 기술이 기본값이 돼야 한다. SK텔레콤 유심 해킹 사고는 통신 인프라의 구조적 취약성과 함께, 사후 대응과 이용자 보호 시스템의 한계를 드러냈다. 초기 대응부터 인증 정보 암호화와 정보보호 최고책임자(CISO) 제도도 실효성에 의문이 제기됐다. 즉 기술뿐 아니라 대응과 제도까지 포함한 시스템 전체의 문제를 보여주며 근본적인 재정비가 불가피하다는 지적이다. 유심보호서비스, 왜 처음부터 자동가입 못했나 유심보호서비스는 통신 3사 모두 무료로 제공하는 부가서비스다. 유심 무단 변경을 막는 기능을 갖추고 있지만 이용자 스스로 직접 가입해야 하는 형태다. 해킹에 따른 피해를 사전에 차단하기보다는 사후에 유심 변경을 제한하는 보조적 조치에 가깝다. 침해사고 직후 SK텔레콤은 유심보호서비스 가입을 적극 권장했으나 일시적으로 가입 신청이 몰리며 T월드 앱 서비스의 접속 폭주로 고객 불만이 빗발쳤다. 아울러 로밍 요금제와 동시 가입이 불가능한 탓에 해외 체류자나 여행객의 불안감을 더욱 키웠다. SK텔레콤은 T월드 앱에서 원터치 가입이 가능하도록 개선하고, 이용 약관 개정 신고를 통해 자동가입 절차를 뒤늦게 시행했다. 로밍요금제와 동시 이용이 가능한 업그레이드 버전도 선보였으나 사고 이후 유심보호서비스를 기본값으로 제공하지 않았다는 비판이 거세게 나왔다. 국회 청문 과정에서 "이용자가 알지 못하면 보호받지 못하는 구조"라는 비판과 함께 유심 교체 이후 보호서비스 자동 연동이 이뤄지지 않은 점도 지적을 받았다. 박진호 동국대 컴퓨터•AI학부 교수는 "유심보호서비스는 유심을 사용하는 모든 이용자에게 기본값으로 자동 적용돼야 한다"며 "몇백 원 절감하겠다고 이용자에게 수동 설정을 요구할 게 아니라, 보호 기능을 끄는 선택지만 남기는 구조로 바꿔야 한다"고 강조했다. 정부 차원의 통합 보안 가이드라인 부재도 구조적 허점으로 지목됐다. 더불어민주당의 이정헌 의원은 청문에서 "금융 앱은 생체인증 같은 기본 보안장치를 기본값으로 제공하는데, 유심같이 중요한 영역은 왜 기본 방어체계조차 제공하지 않는지 따져볼 필요가 있다"고 지적했다. 가짜뉴스 방치…"정보 공백이 더 큰 피해 낳았다" 침해사고 직후 일부 온라인 커뮤니티와 SNS에서는 “해킹되면 계좌의 모든 돈이 빠져나간다”는 식의 확인되지 않은 주장과 과장된 정보가 빠르게 확산됐다. 불안에 휩싸인 일부 이용자들은 모바일 뱅킹 앱을 삭제하거나 위약금을 내고 다른 통신사로 번호이동 사례도 나타났다. 이 과정에서 정부나 침해사고 당사자인 SK텔레콤이 국민의 우려를 불식시키는 노력이 부족했다는 지적을 피하기 어렵다. 염흥열 순천향대 정보보호학과 교수는 “유심 정보 유출만으로 금융 피해로 직결되기는 어렵다”며 “복제폰 제작, 금융 앱 접근 정보 탈취 등 여러 단계의 추가 수단이 필요해 현실적으로 가능성은 낮다”고 설명했다. 그는 또 “IMEI 유출 가능성이 제기된 만큼, 초기 단계부터 정보의 위험성과 해명 내용을 명확히 전달했어야 했다”며 “유심 교체 방침을 발표할 당시 수급 상황을 고려하지 않은 점도 문제였다”고 지적했다. 국회 입법조사처는 최근 발표한 '통신사 해킹 사고 사후 대응의 문제점과 입법과제' 보고서에서 "사고 직후 정부와 통신사가 허위 정보 확산에 효과적으로 대응하지 못했고, 이용자에게 신뢰를 줄 수 있는 조기 안내 체계도 부재했다"며 "초기 단계부터 투명한 정보 공개와 허위 정보 대응 매뉴얼을 갖추는 것이 제도적 과제"라고 밝혔다. 박진호 교수는 "SK텔레콤과 같은 대기업이라면 매뉴얼 자체가 없었을 리는 없지만, 디테일이 부족했다"며 "예고된 공격에도 선제 대응이 미흡했고, 사후 조치에서도 홍보·안내 체계가 부족했다"고 지적했다. 이어 "이심(eSIM)은 실물 유심 탈취 위험이 없어 해킹 저항성이 더 높다"며 "통신사는 이심 전환과 관련한 가이드와 보호 옵션 안내를 더욱 명확히 해야 한다"고 덧붙였다. 유심 정보 암호화, 이제는 '의무'로 SK텔레콤의 침해사고 계기로 통신망에 저장되거나 전송되는 유심 관련 인증 정보의 암호화 저장 필요성이 본격적으로 제기됐다. 현재 인증 절차에 사용되는 유심 고유번호, 인증 토큰 등 일부 식별 정보는 통신사 시스템 내에서 평문으로 저장되거나 암호화되지 않은 채 전송되는 구조가 여전히 존재해 해킹 시 탈취 위험이 남아있다는 것이다. 기술적 조치 수준에서도 통신 3사 간 격차가 존재한다. KT는 2021년부터 IMSI 암호화 기능이 적용된 5G USIM을 도입했고, LG유플러스는 PUF(물리적 복제 불가능 함수) 기반의 고보안 유심을 상용화했다. 반면 SK텔레콤은 이번 사고 시점까지 암호화 조치를 적용하지 않았고, 사건 이후에야 관련 체계 강화에 착수했다. 국제 표준도 이와 관련한 최소한의 보안을 요구하고 있다. 5G SA 환경에서는 가입자 식별정보(SUPI)를 암호화된 형태(SUCI)로 전송해야 한다는 규정이 3GPP TS 33.501 표준에 명시돼 있다. 이는 LTE 시절 IMSI가 평문으로 전송되던 보안 취약점을 개선하기 위한 조치다. 국내에서 5G SA 상용화가 아직 이뤄지지 않았고 한국을 포함한 다수 국가에서는 해당 표준이 법제화로 이어지지 않았다. 이에 대해 전문가들은 “기술적으로는 사실상 의무인데, 제도적으로는 방치되고 있는 전형적인 보안 사각지대”라고 지적한다. 염흥열 교수는 “5G SA 환경에서는 전송 구간 암호화는 표준상 필수지만, 저장은 통신사 자율에 맡겨진 상황”이라며 “KT, LG유플러스는 암호화를 적용했지만 SK텔레콤은 하지 않아 업계 기준을 따르지 않은 셈”이라고 밝혔다. 이어 “민감 정보 저장 시 암호화를 의무화하는 법적 규제가 필요하다. 개인정보보호법이나 정보통신망법 개정을 통해 이를 보완해야 한다”고 강조했다. CISO 제도, '명문화'에서 '내실화'로 현행 정보통신망법에 따르면, 매출 1천500억원 이상이거나 일평균 이용자 수 100만 명 이상인 정보통신서비스 사업자는 정보보호최고책임자(CISO)를 지정해 신고해야 한다. 과거 대규모 정보 유출 사건을 계기로, 기업 내 보안 책임자 제도화를 통해 정보보호 역량을 강화하겠다는 취지로 도입됐다. 법적으로 CISO는 정보보호 정책 수립, 보안 예산 및 인력 운영, 사고 대응 총괄 등의 역할을 맡지만, 현실에서는 제도의 명문화와 실질 운영 사이 간극이 크다는 지적이 꾸준히 제기돼 왔다. 많은 기업이 CISO를 CTO, CIO 등과 겸직시키고 있으며, 독립적인 예산 편성과 정책 집행 권한도 제한적인 경우가 많다. 특히 CISO가 CEO에게 직접 보고하지 못하고, IT 부서 산하 실무 조직에 편입되는 경우가 많아, 보안 이슈가 경영 전략이나 예산 결정에서 후순위로 밀리는 구조적 문제가 반복되고 있다. 명목상 직책은 있지만 책임과 권한이 분산돼 실질적 대응력은 떨어질 수밖에 없다. 이번 SK텔레콤 유심 해킹 사고에서도 이러한 한계가 여실히 드러났다. SK텔레콤의 정보보호실은 AT·DT센터 산하 5개 실 중 하나로, 정보보호실장이 CISO를 겸직하고 있다. 정보보호실장은 사내 임원급 인사이지만 등기임원은 아니며, 사업보고서 상 주요 경영진 명단에도 포함돼 있지 않다. 이로 인해 보안 의사결정에서 전략적 독립성과 대응력 확보에 한계가 있었다는 지적이 나온다. 전문가들은 단순히 법령상 CISO를 지정하는 것만으로는 실질적인 보안 책임이 확보되기 어렵다며, 제도의 실효성 강화를 위한 보완이 시급하다고 입을 모은다. SK텔레콤 침해사고에서 CISO 제도가 '형식적으로 존재하는 것'과 '실제 작동하는 것'은 다르다는 점을 분명히 보여줬다는 것이다. 업계 한 관계자는 "많은 기업들이 여전히 CISO를 CTO나 CIO 등과 겸직시키고 있으며, CEO에게 직접 보고하는 체계도 부족해 보안 의사결정에서 배제되기 쉽다"면서 "독립적인 보안 예산과 인력 운영 권한을 부여하고, 사고 발생 시 책임 주체가 명확해지도록 제도적 보완이 필요하다"고 말했다. 다른 관계자는 "사이버 공격 자체를 100% 막을 수는 없다. 하지만 사고 이후 책임 구조가 명확하고, 투명하게 대응할 수 있는 시스템이 구축돼 있었는가가 기업 신뢰의 기준이 된다"며 "다음 사고를 피할 수 없다면, 피해를 줄이는 체계와 책임지는 구조라도 갖춰야 한다"고 강조했다. 염흥열 교수는 "침해사고는 결국 기업 내부에 취약점이 있었다는 의미"라면서 "상시적인 취약점 제거 체계와 함께, 외부 기관에 의한 정기적인 모의 해킹 테스트도 필요하다"고 했다.

2025.05.21 09:24최이담