검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'암호화'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

빗썸 사고가 촉발한 지분규제 폭풍…한국거래소는 생존 가능할까

안녕하세요, AMEET 기자입니다. 최근 가상자산 시장이 꽁꽁 얼어붙었습니다. 단순히 코인 가격 때문이 아닙니다. 더불어민주당 한정애 의원이 준비 중인 '디지털자산기본법' 때문이죠. 발단은 지난 2월 빗썸에서 발생한 비트코인 오지급 사고였습니다. 이 사고를 계기로 정치권에서는 “거래소 주인이 너무 강력한 권한을 쥐고 있어 문제가 생긴다”며 대주주 지분을 15~20%로 확 줄여버리겠다는 카드를 꺼내 들었습니다. 여기에 스테이블코인(가치 연동 코인)은 아예 은행이 주도해야 한다는 내용까지 담겼죠. 시장은 즉각 반발했습니다. “주인 없는 회사를 만들라는 거냐”, “혁신은 죽고 은행만 배 불린다”는 아우성이 터져 나왔죠. 과연 이 법안은 시장을 안정시키는 약일까요, 아니면 생태계를 망가뜨리는 독일까요? 저는 오늘 8명의 가상 AI 전문가들과 함께 이 뜨거운 감자를 해부해 봤습니다. 흥미로운 건, 토론이 진행될수록 무조건적인 '찬성'이나 '반대'가 아닌, 전혀 새로운 '제3의 길'이 보였다는 점입니다. 공포인가, 현실인가? 엇갈린 시선들 토론 시작부터 팽팽한 긴장감이 흘렀습니다. 당장 발등에 불이 떨어진 건 업계였죠. 'AI 국내 거래소 대표'는 “이건 갈라파고스 규제”라며 강하게 반발했습니다. 전 세계 어디에도 없는 규제로 국내 기업의 손발을 묶으면, 결국 글로벌 자본에 안방을 내주게 된다는 겁니다. 특히 “기술적 사고(오지급)를 지배구조 문제로 엮는 건 억지”라는 주장은 꽤 설득력이 있었습니다. 반면 'AI 금융규제 전문가'와 'AI 정책 결정 전문가'의 시선은 냉정했습니다. 그들은 이번 법안을 단순한 '규제 폭탄'이 아니라, 가상자산 시장이 제도권 금융으로 편입되는 과정에서 겪는 필연적인 진통으로 봤습니다. 정부가 이미 칼을 빼 든 이상, '무조건 반대'보다는 '어떻게 맞을 것인가'를 고민해야 한다는 현실론이었죠. [쟁점1] 거래소 대주주 지분 15~20% 제한, 타당한가 초기 충돌: 업계는 "경영권 박탈이자 위헌적 발상"이라며 결사 반대했습니다. 반면 규제 전문가는 "금융 인프라 투명성 확보를 위해 불가피하다"고 맞섰습니다. 논점의 이동: 'AI 기업 지배구조 전문가'가 중요한 지적을 했습니다. 일률적으로 지분을 줄이라고 강요하면, 시장에 매물이 쏟아지며 주가가 폭락하는 '오버행' 이슈가 발생하고, 결국 해외 투기 자본이 그 지분을 줍게 된다는 것이죠. 최종 합의 (솔루션): '규모별 차등 적용(Sliding Scale)'이 해법으로 제시됐습니다. 점유율이 높은 대형 거래소는 지배력을 분산하되, 생존이 급한 중소 거래소는 규제를 면제해 주자는 겁니다. 또한, 지분을 당장 파는 게 아니라 '의결권만 제한'하는 방식으로 경영 안정성을 보장하자는 디테일도 추가됐습니다. [쟁점2] 스테이블코인, 은행이 주도해야 하나 초기 충돌: 'AI 비판적 관점'은 "은행 주도는 디지털 쇄국정책"이라며 맹비난했습니다. 보수적인 은행이 혁신의 속도를 따라잡지 못할 것이란 우려였죠. 최종 합의 (솔루션): '소유와 운영의 분리'라는 절충안이 도출됐습니다. 돈(준비금)은 안전한 은행이 맡되, 서비스 개발과 운영은 민간 핀테크 기업이 전담하는 모델입니다. 은행의 신뢰와 민간의 기술력을 결합하자는 것이죠. 이번 토론에서 가장 인상 깊었던 변화는 '무조건 안 된다'던 주장들이 '조건부 수용'으로 바뀌어 가는 과정이었습니다. 특히 'AI 블록체인 전문가'와 'AI 원화 스테이블코인 정책 전문가'는 구체적인 수치까지 제시하며 타협점을 찾으려 애썼습니다. 예를 들어, “고객 예치금 1조 원 미만인 거래소는 놔두자”, “대형 거래소도 3년에서 5년 정도 시간을 주고 천천히 지분을 줄이게 하자”는 식이죠. 이는 규제가 산업을 죽이는 '벽'이 되지 않고, 건전한 기업만 넘을 수 있는 적절한 높이의 '문턱'이 되어야 한다는 공감대가 형성됐기 때문입니다. 물론 'AI 비판적 관점' 전문가는 끝까지 우려를 표했습니다. “주인 없는 회사가 투명하다는 증거는 어디에도 없다”는 그의 말은 뼈아픈 지적입니다. 실제로 주인이 명확한 기업이 책임 경영을 더 잘할 수도 있으니까요. 하지만 정치권의 입법 의지가 강력한 상황에서, 마냥 반대만 하다가는 더 나쁜 규제를 맞을 수 있다는 현실론이 토론을 지배했습니다. 인간의 지혜가 필요한 시간 토론을 지켜보며 느낀 점은 명확합니다. '지분 15% 제한'이라는 숫자 자체보다 중요한 것은 그 숫자가 시장에 미칠 파장을 섬세하게 조율하는 '디테일'이라는 사실입니다. AI 전문가들은 '차등 적용'과 '운영권 보장'이라는 묘수를 찾아냈지만, 이것을 실제 법안에 담아내는 것은 결국 국회와 금융당국, 그리고 우리 사회의 몫입니다. 규제는 양날의 검입니다. 잘 쓰면 투자자를 보호하고 시장을 키우지만, 잘못 휘두르면 싹을 틔우던 산업 자체를 베어버릴 수도 있습니다. 2026년의 대한민국 가상자산 시장, 과연 우리는 '규제'와 '혁신'이라는 두 마리 토끼를 모두 잡을 수 있을까요? 판단의 책임은 여전히 우리 인간에게 남아 있습니다. 지금까지 AMEET 기자였습니다. ▶ 해당 보고서 보기 https://ameet.zdnet.co.kr/uploads/2cc3f96a.html ▶ 이 기사는 리바랩스의 'AMEET'과의 제휴를 통해 제공됩니다. 더 많은 보고서를 보시려면 'AI의 눈' 서비스로 이동해주세요 (☞ 보고서 서비스 바로가기)

2026.02.11 13:19AMEET 기자

한싹 "SSL 가시성 확보 솔루션 '블루킨 VA', GS인증 1등급 획등"

한싹(대표 이주도)은 보안소켓계층(SSL) 가시성 솔루션 '블루킨 브이에이(BlueKeen VA)'가 한국정보통신기술협회(TTA)의 엄격한 심사를 통과해 GS(굿소프트웨어) 인증 1등급을 획득했다고 21일 밝혔다. GS인증은 ISO 국제표준 평가모델 기반의 국가 품질 인증제도로, 소프트웨어의 기능성 신뢰성 효율성 사용성 유지보수성을 종합 검증한다. 블루킨 VA는 암호화된 네트워크 트래픽의 가시성을 확보해 숨겨진 보안 위협을 찾아내고, 보안 사각지대를 최소화한다. 암호화된 트래픽을 복호화해 보안장비가 위협 요소를 정밀 분석할 수 있도록 돕고, 정상 판정된 트래픽만 재암호화하여 송·수신하는 방식으로 동작하는 것으로 알려졌다. 특히 방화벽, 침입방지시스템(IPS), 데이터유출방지(DLP), APT 대응시스템 등과 유기적인 연동을 통해 위협 탐지 대응력을 높여주며, 별도의 네트워크 구조 변경이나 장비 교체 없이 기존 인프라에 쉽게 연결되는 호환성과 구축 편의성을 갖췄다. 이 외에도 기업 기관 대부분의 통신이 SSL·TLS로 암호화되는 환경에서 가시성 체계가 부재하면 보안 장비가 내용을 제대로 들여다보지 못하는 분석 공백이 발생하는 한계를 극복했다. 블루킨 VA는 암호화 트래픽을 악용하는 악성코드 랜섬웨어 내부정보유출 등을 선제 차단하고, 기존 보안 시스템의 탐지 정확도와 대응 속도를 동시에 끌어올린다. 한싹은 "이번 성과로 블루킨 VA의 기술 완성도와 안정성이 공인됐으며, 한싹의 네트워크 보안 경쟁력도 한층 강화됐다"고 평가했다. 한싹은 이번 GS인증 획득을 발판삼아 6G 도입과 클라우드 전환 가속, 제로 트러스트 확산 등 인프라 변화로 암호화 트래픽 분석 수요는 지속 확대되는 추세에 맞춰 SSL 시장 공략을 본격화할 방침이다. 또한 망연계 분야에서 축적한 기술 자산과 대형 레퍼런스를 바탕으로 공공 금융 민간 전반의 SSL 트래픽 분석 대응 역량 고도화를 추진할 계획이다. 김영산 한싹 부사장은 "GS인증 1등급은 SSL 가시성 솔루션의 기술력과 안정성을 공식 확인한 의미 있는 성과"라며 "지속적인 R&D 투자를 통해 시장 요구에 최적화된 고품질 보안 솔루션과 서비스를 제공해 고객의 보안 사각지대를 해소하고 운영 효율을 높이겠다"고 말했다.

2025.10.22 00:47김기찬 기자

러시아계 '정보협박범' 돌아왔다…기업 랜섬웨어 '주의보'

피해자에게 최대 1700만달러에 달하는 몸값을 요구하는 등 악질 '정보 협박범'이 활동을 재개한 것으로 나타났다. 8일 글로벌 사이버 보안 기업 카스퍼스키(지사장 이효은)에 따르면 카스퍼스키 위협 리서치팀은 올해 초 러시아어권 랜섬웨어(Ransomware) 그룹 '올드그렘린(OldGremlin)'의 새로운 공격을 식별해 주의가 필요하다고 강조했다. 올드그렘린은 과거 2020년에서 2022년까지 주로 활동한 랜섬웨어 그룹으로, 마지막으로 식별된 공격은 2024년이다. 단일 피해자에게 1700만달러에 육박하는 거액의 몸값을 요구하기도 하는 랜섬웨어 그룹으로 알려졌다. 카스퍼스키 위협 리서치팀은 이번에 식별한 공격 행위도 과거 전술과 일치한다고 밝혔다. 몸값 요구 문서와 파일 경로에 처음으로 공격자가 '올드그렘린'이라고 명시하기도 했다. 구체적으로 올해 사건을 올드그렘린과 연결지을 수 있는 단서로, 일관된 전술과 이전 캠페인에서 재사용된 암호화 공개키(Cryptographic Public Key)를 확인했다고 카스퍼스키는 설명했다. 올해 표적이 된 분야로는 제조, 기술, 리테일, 헬스케어 등 조직으로 올드그렘린은 과거 평균 약 49일 동안 내부에 잠복한 뒤 파일을 암호화하는 전략을 사용한 것으로 알려졌다. 또한 카스퍼스키는 올드그렘린의 명령 및 제어(C2) 서버가 퍼블릭 인터넷에서 접근 가능한 점도 확인했다. 최근에 확인된 올드그렘린의 공격 툴킷은 크게 ▲원격 접근 백도어 ▲패처(Patcher) ▲마스터 ▲클로즈더도어(Closethedoor) 등 네 가지 주요 구성 요소로 이뤄져 있다. 원격접근 백도어는 공격자가 감염된 컴퓨터를 원격으로 제어할 수 있는 툴킷이다. 패처는 합법적인 윈도우 드라이버의 취약점을 약용해 서명되지 않은 드라이버 차단 기능을 끄고, 그룹의 악성 드라이버를 로드해 보안 툴을 무력화하는 툴킷이다. 마스터는 파일 암호화 프로그램으로, 독립 시행 파일 또는 노드.js 애드온애드온(Node.js add-ons) 형태로 작동해 로컬 호스트(localhost:8010)에서 질의 시 현재 암호화 진행 상태를 보고하는 툴킷이다. 클로즈더도어는 데이터 암호화 과정 중 네트워크에서 디바이스를 격리하고, 몸값 요구 문서 등을 배포하고 흔적을 삭제하는 것을 말한다. 이처럼 올드그렘린은 합법적 툴과 악성 드라이버를 혼합해 공격을 고도화하고 있는 추세다. 이효은 카스퍼스키 한국지사장은 "한국의 빠른 기술 산업 발전은 사이버 공격의 주요 표적이 되고 있기 때문에 기업들은 역동적인 방어 체계를 반드시 구축해야 한다"며 "카스퍼스키 제품군은 이런 목적을 위해 설계된 확장 가능한 솔루션으로, 복잡한 사이버 환경에서 선제적 방어와 신속한 대응을 가능하게 지원한다"고 밝혔다. 한편 카스퍼스키는 기업이 랜섬웨어로부터 보호하기 위한 권장 사항으로 ▲소프트웨어 최신 상태 항시 유지 ▲외부로 나가는 트래픽에 주의를 기울여 사이버 범죄자의 네트워크 연결 탐지 ▲침입자가 조작할 수 없은 오프라인 백업 설정 ▲최신 인텔리전스 정보를 활용해 위협 행위자들이 실제로 사용하는 전술 및 기법을 사전에 파악하는 것 등을 꼽았다.

2025.09.08 09:55김기찬 기자

BTS 정국도, 유튜버도 당한 명의도용 피해, '아이디펜더' 하나면 걱정 끝

지난해 BTS 정국이 군 복무 중 명의도용으로 피해를 본 사실이 최근 알려진 데 이어 가상화폐 투자 관련 유튜버 인범TV도 최근 겪은 피해를 영상으로 공개하면서 '명의도용 범죄'의 심각성이 다시 한 번 수면 위로 떠올랐다. 정국 명의도용 사건은 해커가 본인 명의로 증권계좌를 불법 개설하고 하이브 주식 84억 원 규모를 무단으로 이전 당했다. 소속사 빅히트 뮤직이 이상 거래를 신속히 감지해 지급정지 요청을 걸어 실질적인 손실은 최소화할 수 있었다. 인범TV 사건은 통신사 해킹으로 인한 명의도용으로, 본인도 모르는 사이 휴대폰 회선이 추가로 개통돼 은행을 거쳐 빗썸 계정을 활용해 불법 거래 피해로 이어졌다. 에버스핀 관계자는 “정국과 인범TV 사례는 모두 사전에 탐지·차단할 수 있는 범죄였다”며 “이제는 피해 발생 후 수습이 아니라, 도용 시도 단계에서 걸러내는 기술적 대응이 필요하다”고 밝혔다. 에버스핀의 아이디펜더(IDFender)는 '사전 차단'을 가능하게 하는 솔루션이다. 페이크파인더의 이상 탐지 데이터를 기반으로, 국내 최대 신용평가사의 신용정보와 매칭해 '정상적인 본인 이용인지, 명의도용 시도인지'를 실시간으로 판별한다. 금융사나 통신사, 암호화폐 거래소 가입 단계에서 의심 패턴을 빠르게 탐지해, 피해자가 모르는 사이 계좌가 뚫리거나 회선이 개통되는 상황을 원천적으로 막을 수 있다. 에버스핀 측은 아이디펜더가 적용됐다면 정국과 인범TV 사례 모두 '범죄 시도 단계'에서 차단됐을 가능성이 높다고 설명했다. 에버스핀 관계자는 “유명인까지 피해자가 된 지금은 더 이상 미룰 수 없는 사회적 과제”라며 “아이디펜더 같은 선제적 보안 체계 도입이 시급하다”고 전했다.

2025.09.04 10:35주문정 기자

"5년간 1조 투자"…KT, 글로벌 최고 수준 보안체계 구축

KT가 국내 최고 수준의 정보보호 투자를 통해 강력한 보안 체계를 구축했다. 통신사로서 고객 정보보호를 최우선 가치로 두고, 현재의 보안 수준을 글로벌 최고 수준으로 끌어올릴 방침이다. KT는 15일 오전 서울 광화문 센터포인트 빌딩에서 'KT 고객 안전·안심 브리핑'을 열고 KT의 정보보호 현황 및 향후 계획을 밝혔다. 황태선 KT 정보보안실장은 “KT는 체계적인 기술적·관리적 정보보호 활동을 통해 업계 최고 수준의 정보 보호 태세를 유지하고 있다”며 “정보보호는 단순히 기술 도입으로 끝나는 것이 아니다”고 말했다. 이어 “KT는 K-시큐리티 프레임워크를 고유의 보안 철학으로 생각하고 있으며, 보안의 전 영역에서 정교하고 유기적인 대응 체계로 운영하고 있다”고 설명했다. 'K-시큐리티 프레임워크'는 공격과 방어, 두 축으로 구성돼 있다. 먼저, 'K-오펜스'는 공격자 관점에서 회사 취약점을 탐색·평가하면서 보안 수준을 높이는 공격 시뮬레이션 체계다. 이와 반대로, 'K-디펜스'는 해킹 시나리오를 기반으로 한 실제 공격을 적시에 탐지하는 것을 목표로 방어 체계를 지속해서 개선하는 체계다. KT는 30명 이상의 화이트 해커와의 반복적인 훈련·점검을 통해 사전 예방 중심의 보안 프레임워크를 실시하고 있으며, 이를 통해 보안 영역에 정교하면서 유기적인 대응 체계를 마련했다. 정부 점검 및 내부 자체 진단 결과 '이상 無'…기본에 충실한 보안 점검 덕분 KT는 지난 4월에 발생한 SK텔레콤 유심 해킹 사고 이후, 정부와의 합동 점검과 내부 자체 진단을 진행했다. 그 결과, 서버·인프라·통제 체계 등 핵심 영역에서 어떠한 이상 징후나 특이사항 없이 KT의 보안 체계가 정상적으로 운영되고 있음을 확인했다. 황 정보보안실장은 이에 대해 “지속적이고 체계적인 보안 관리 활동을 통해 보안 체계를 고도화해 온 결과”라며 “KT의 보안 체계는 양파와 같이 다계층 구조로 이뤄져 있다”고 밝혔다. 이어 그는 암호화의 중요성도 거듭 강조했다. 황 정보보안실장은 “암호화는 베이직(기본적인) 보안으로 생각하고 있다”며, 고도화된 통제 이전에 기본 원칙이 우선이라는 철학을 분명히 했다. 암호화, 계정 관리, 접근 제어는 양보할 수 없는 핵심 항목으로, 내부 직원들에게도 반복적으로 그 중요성을 강조하고 있다고 밝혔다. 현재 KT는 법적으로 의무화된 고객 정보 항목(9개)에 대해 모두 암호화를 완료한 상태다. 여기에 더해, 법적 의무 대상이 아니지만 보호가 필요하다고 판단되는 정보까지 자율적으로 암호화 범위를 확대해왔다. 특히, 단순 마스킹 수준이 아닌, 고도화된 암호 알고리즘을 적용해 실질적인 보안 효과를 지속했다고 설명했다. KT는 향후 5년간 정보보호 분야에만 1조원 이상의 투자를 추진할 계획이다. 먼저 글로벌 협력을 통해 보안 기술력을 끌어올리고 이를 내재화할 예정이다. 또한 제로트러스트 기반의 보안 체계를 고도화하는데 약 3천400억원 수준의 대규모 투자를 계획하고 있다. 보안 인력 확충도 핵심 전략 중 하나다. 현재 KT는 보안 전담 인력으로 162명을 운용 중이며, 향후 5년 내 300명 수준까지 확대할 방침이다. 황 정보보안실장은 “이러한 5개년 계획을 통해 지금보다 더 강하고 정교하며 투명한 보안 체계로 도약할 것”이라고 밝혔다.

2025.07.15 13:42진성우 기자

미국 정부 '양자 내성 암호' 전환 서둘러…기업들도 줄줄이 대응

인터넷 뱅킹, 공공 인증, 전자 서명을 포함한 암호 시스템 전반이 해킹 위협에 노출될 수 있다는 우려가 커지고 있다. 구글이 양자컴퓨터를 활용해 이전보다 훨씬 적은 자원으로 암호화 알고리즘을 해독할 수 있다는 연구 결과를 공개하면서다. 27일 디크립트 등 외신에 따르면, 구글 양자 AI팀은 양자컴퓨터 시뮬레이션을 통해 2천48비트 RSA 암호를 해독하는 데 필요한 자원을 기존 대비 20분의 1 수준으로 줄였다고 밝혔다. RSA는 인터넷 뱅킹, 공공 인증, 전자 서명 등 다양한 분야에서 활용되는 핵심 암호 기술이다. 기존에는 양자컴퓨터로 이 암호를 깨기 위해 약 2천만 개의 큐비트가 필요하다고 알려졌지만, 구글 연구에 따르면 약 100만 개의 큐비트만으로도 해독이 가능하다는 분석이 나왔다. 다만 현재 상용화된 양자컴퓨터는 1천개 규모의 불안정한 큐비트를 처리하는 데 그치고 있다. 따라서 100만 개 수준의 안정적인 큐비트를 갖춘 양자컴퓨터가 현실화되기까진 아직 수년 이상이 걸릴 것으로 보인다. 하지만 필요한 자원이 줄어들고 있다는 사실 자체를 주목해야 한다는 것이 업계의 반응이다. 특히 양자컴퓨터 개발 속도가 예상보다 빠르게 진전되고 있는 만큼 해킹 위협이 현실화되는 시점도 앞당겨질 수 있다는 경계심이 커지고 있다. 이 같은 배경 속에서 미국 국립표준기술연구소(NIST)는 양자 내성 암호(PQC) 표준을 제정하고, 민간과 정부기관에 빠른 전환을 권고하고 있다. 구글, 마이크로소프트, IBM 등 주요 기업들도 자사 제품군에 PQC 알고리즘을 도입 중이며, 일부 블록체인 프로젝트들도 양자 안전 서명 기술을 시험적으로 적용하고 있다. 구글의 크레이그 기드니(Craig Gidney) 양자 연구 과학자는 "수십 년 동안 양자 및 보안 커뮤니티는 대규모 양자컴퓨터가 언젠가는 RSA 같은 암호화 알고리즘을 해독할 수 있을 것이라는 사실을 알고 있었다"고 말했다. 이어 "구글은 오랫동안 미국 국립표준기술원(NIST)을 비롯한 정부, 산업계, 학계와 협력해 PQC를 개발하고 전환해 왔다"며 "양자컴퓨팅 기술이 계속 발전함에 따라 지속적인 다자간 협력과 조치가 매우 중요하다"고 강조했다.

2025.05.27 09:59남혁우 기자

"기술이 뚫려도 제도가 막았어야"...유심 해킹 민낯

해킹을 완벽히 막을 수 없다면, 피해 확산을 막는 제도와 기술이 기본값이 돼야 한다. SK텔레콤 유심 해킹 사고는 통신 인프라의 구조적 취약성과 함께, 사후 대응과 이용자 보호 시스템의 한계를 드러냈다. 초기 대응부터 인증 정보 암호화와 정보보호 최고책임자(CISO) 제도도 실효성에 의문이 제기됐다. 즉 기술뿐 아니라 대응과 제도까지 포함한 시스템 전체의 문제를 보여주며 근본적인 재정비가 불가피하다는 지적이다. 유심보호서비스, 왜 처음부터 자동가입 못했나 유심보호서비스는 통신 3사 모두 무료로 제공하는 부가서비스다. 유심 무단 변경을 막는 기능을 갖추고 있지만 이용자 스스로 직접 가입해야 하는 형태다. 해킹에 따른 피해를 사전에 차단하기보다는 사후에 유심 변경을 제한하는 보조적 조치에 가깝다. 침해사고 직후 SK텔레콤은 유심보호서비스 가입을 적극 권장했으나 일시적으로 가입 신청이 몰리며 T월드 앱 서비스의 접속 폭주로 고객 불만이 빗발쳤다. 아울러 로밍 요금제와 동시 가입이 불가능한 탓에 해외 체류자나 여행객의 불안감을 더욱 키웠다. SK텔레콤은 T월드 앱에서 원터치 가입이 가능하도록 개선하고, 이용 약관 개정 신고를 통해 자동가입 절차를 뒤늦게 시행했다. 로밍요금제와 동시 이용이 가능한 업그레이드 버전도 선보였으나 사고 이후 유심보호서비스를 기본값으로 제공하지 않았다는 비판이 거세게 나왔다. 국회 청문 과정에서 "이용자가 알지 못하면 보호받지 못하는 구조"라는 비판과 함께 유심 교체 이후 보호서비스 자동 연동이 이뤄지지 않은 점도 지적을 받았다. 박진호 동국대 컴퓨터•AI학부 교수는 "유심보호서비스는 유심을 사용하는 모든 이용자에게 기본값으로 자동 적용돼야 한다"며 "몇백 원 절감하겠다고 이용자에게 수동 설정을 요구할 게 아니라, 보호 기능을 끄는 선택지만 남기는 구조로 바꿔야 한다"고 강조했다. 정부 차원의 통합 보안 가이드라인 부재도 구조적 허점으로 지목됐다. 더불어민주당의 이정헌 의원은 청문에서 "금융 앱은 생체인증 같은 기본 보안장치를 기본값으로 제공하는데, 유심같이 중요한 영역은 왜 기본 방어체계조차 제공하지 않는지 따져볼 필요가 있다"고 지적했다. 가짜뉴스 방치…"정보 공백이 더 큰 피해 낳았다" 침해사고 직후 일부 온라인 커뮤니티와 SNS에서는 “해킹되면 계좌의 모든 돈이 빠져나간다”는 식의 확인되지 않은 주장과 과장된 정보가 빠르게 확산됐다. 불안에 휩싸인 일부 이용자들은 모바일 뱅킹 앱을 삭제하거나 위약금을 내고 다른 통신사로 번호이동 사례도 나타났다. 이 과정에서 정부나 침해사고 당사자인 SK텔레콤이 국민의 우려를 불식시키는 노력이 부족했다는 지적을 피하기 어렵다. 염흥열 순천향대 정보보호학과 교수는 “유심 정보 유출만으로 금융 피해로 직결되기는 어렵다”며 “복제폰 제작, 금융 앱 접근 정보 탈취 등 여러 단계의 추가 수단이 필요해 현실적으로 가능성은 낮다”고 설명했다. 그는 또 “IMEI 유출 가능성이 제기된 만큼, 초기 단계부터 정보의 위험성과 해명 내용을 명확히 전달했어야 했다”며 “유심 교체 방침을 발표할 당시 수급 상황을 고려하지 않은 점도 문제였다”고 지적했다. 국회 입법조사처는 최근 발표한 '통신사 해킹 사고 사후 대응의 문제점과 입법과제' 보고서에서 "사고 직후 정부와 통신사가 허위 정보 확산에 효과적으로 대응하지 못했고, 이용자에게 신뢰를 줄 수 있는 조기 안내 체계도 부재했다"며 "초기 단계부터 투명한 정보 공개와 허위 정보 대응 매뉴얼을 갖추는 것이 제도적 과제"라고 밝혔다. 박진호 교수는 "SK텔레콤과 같은 대기업이라면 매뉴얼 자체가 없었을 리는 없지만, 디테일이 부족했다"며 "예고된 공격에도 선제 대응이 미흡했고, 사후 조치에서도 홍보·안내 체계가 부족했다"고 지적했다. 이어 "이심(eSIM)은 실물 유심 탈취 위험이 없어 해킹 저항성이 더 높다"며 "통신사는 이심 전환과 관련한 가이드와 보호 옵션 안내를 더욱 명확히 해야 한다"고 덧붙였다. 유심 정보 암호화, 이제는 '의무'로 SK텔레콤의 침해사고 계기로 통신망에 저장되거나 전송되는 유심 관련 인증 정보의 암호화 저장 필요성이 본격적으로 제기됐다. 현재 인증 절차에 사용되는 유심 고유번호, 인증 토큰 등 일부 식별 정보는 통신사 시스템 내에서 평문으로 저장되거나 암호화되지 않은 채 전송되는 구조가 여전히 존재해 해킹 시 탈취 위험이 남아있다는 것이다. 기술적 조치 수준에서도 통신 3사 간 격차가 존재한다. KT는 2021년부터 IMSI 암호화 기능이 적용된 5G USIM을 도입했고, LG유플러스는 PUF(물리적 복제 불가능 함수) 기반의 고보안 유심을 상용화했다. 반면 SK텔레콤은 이번 사고 시점까지 암호화 조치를 적용하지 않았고, 사건 이후에야 관련 체계 강화에 착수했다. 국제 표준도 이와 관련한 최소한의 보안을 요구하고 있다. 5G SA 환경에서는 가입자 식별정보(SUPI)를 암호화된 형태(SUCI)로 전송해야 한다는 규정이 3GPP TS 33.501 표준에 명시돼 있다. 이는 LTE 시절 IMSI가 평문으로 전송되던 보안 취약점을 개선하기 위한 조치다. 국내에서 5G SA 상용화가 아직 이뤄지지 않았고 한국을 포함한 다수 국가에서는 해당 표준이 법제화로 이어지지 않았다. 이에 대해 전문가들은 “기술적으로는 사실상 의무인데, 제도적으로는 방치되고 있는 전형적인 보안 사각지대”라고 지적한다. 염흥열 교수는 “5G SA 환경에서는 전송 구간 암호화는 표준상 필수지만, 저장은 통신사 자율에 맡겨진 상황”이라며 “KT, LG유플러스는 암호화를 적용했지만 SK텔레콤은 하지 않아 업계 기준을 따르지 않은 셈”이라고 밝혔다. 이어 “민감 정보 저장 시 암호화를 의무화하는 법적 규제가 필요하다. 개인정보보호법이나 정보통신망법 개정을 통해 이를 보완해야 한다”고 강조했다. CISO 제도, '명문화'에서 '내실화'로 현행 정보통신망법에 따르면, 매출 1천500억원 이상이거나 일평균 이용자 수 100만 명 이상인 정보통신서비스 사업자는 정보보호최고책임자(CISO)를 지정해 신고해야 한다. 과거 대규모 정보 유출 사건을 계기로, 기업 내 보안 책임자 제도화를 통해 정보보호 역량을 강화하겠다는 취지로 도입됐다. 법적으로 CISO는 정보보호 정책 수립, 보안 예산 및 인력 운영, 사고 대응 총괄 등의 역할을 맡지만, 현실에서는 제도의 명문화와 실질 운영 사이 간극이 크다는 지적이 꾸준히 제기돼 왔다. 많은 기업이 CISO를 CTO, CIO 등과 겸직시키고 있으며, 독립적인 예산 편성과 정책 집행 권한도 제한적인 경우가 많다. 특히 CISO가 CEO에게 직접 보고하지 못하고, IT 부서 산하 실무 조직에 편입되는 경우가 많아, 보안 이슈가 경영 전략이나 예산 결정에서 후순위로 밀리는 구조적 문제가 반복되고 있다. 명목상 직책은 있지만 책임과 권한이 분산돼 실질적 대응력은 떨어질 수밖에 없다. 이번 SK텔레콤 유심 해킹 사고에서도 이러한 한계가 여실히 드러났다. SK텔레콤의 정보보호실은 AT·DT센터 산하 5개 실 중 하나로, 정보보호실장이 CISO를 겸직하고 있다. 정보보호실장은 사내 임원급 인사이지만 등기임원은 아니며, 사업보고서 상 주요 경영진 명단에도 포함돼 있지 않다. 이로 인해 보안 의사결정에서 전략적 독립성과 대응력 확보에 한계가 있었다는 지적이 나온다. 전문가들은 단순히 법령상 CISO를 지정하는 것만으로는 실질적인 보안 책임이 확보되기 어렵다며, 제도의 실효성 강화를 위한 보완이 시급하다고 입을 모은다. SK텔레콤 침해사고에서 CISO 제도가 '형식적으로 존재하는 것'과 '실제 작동하는 것'은 다르다는 점을 분명히 보여줬다는 것이다. 업계 한 관계자는 "많은 기업들이 여전히 CISO를 CTO나 CIO 등과 겸직시키고 있으며, CEO에게 직접 보고하는 체계도 부족해 보안 의사결정에서 배제되기 쉽다"면서 "독립적인 보안 예산과 인력 운영 권한을 부여하고, 사고 발생 시 책임 주체가 명확해지도록 제도적 보완이 필요하다"고 말했다. 다른 관계자는 "사이버 공격 자체를 100% 막을 수는 없다. 하지만 사고 이후 책임 구조가 명확하고, 투명하게 대응할 수 있는 시스템이 구축돼 있었는가가 기업 신뢰의 기준이 된다"며 "다음 사고를 피할 수 없다면, 피해를 줄이는 체계와 책임지는 구조라도 갖춰야 한다"고 강조했다. 염흥열 교수는 "침해사고는 결국 기업 내부에 취약점이 있었다는 의미"라면서 "상시적인 취약점 제거 체계와 함께, 외부 기관에 의한 정기적인 모의 해킹 테스트도 필요하다"고 했다.

2025.05.21 09:24최이담 기자