AI 3강의 꿈, '보안 사상누각' 위에 세울 순 없다
지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 인공지능(AI) 3대(G3) 강국. 정부가 내건 디지털 혁신의 종착지다. 정부는 지난달 AI 3강 도약을 위한 로드맵을 마련하고, 디지털 인프라 확충, 인재 양성, 디지털 격차 해소 등 핵심 과제를 내걸었다. 그러나 안전이 담보되지 않은 디지털 혁신은 사상누각에 불과하다. 지난해 우리나라 보안의 민낯이 드러났다. 기본을 지키지 않아 발생한 사고부터 휴먼 에러, 운영 부실, 취약점 방치, 공급망 공격, 내부자 유출, 국가 배후 세력의 공격 등 그 종류 또한 다양하다. 올해도 더욱 정교해진 사이버 공격 앞에 여전히 많은 기업들이 몸살을 앓고 있는 실정이다. AI 3대 강국을 위해선 '디지털 트러스트'가 담보돼야 한다. 투자 부족, 규제 중심의 보안 컴플라이언스, 미흡한 사이버 회복탄력성, 조직 구성원의 낮은 보안 인식 등 구조적 문제가 산재돼 있다. 다른 곳에서 털린 계정정보…GS리테일 침투에 악용됐다 2025년의 주요 침해사고 사례를 보면, 수십년간 쌓아온 IT강국이라는 인식에 대한 신뢰가 완전히 무너졌음을 알 수 있다. 5월을 제외하고 매달 굵직한 침해사고가 터졌다. 먼저 지난해 1월 GS리테일에서 약 158만건의 개인정보가 유출됐다. 원인은 '크리덴셜스터핑' 공격이다. 다른 사이트에서 유출된 계정정보나 다크웹 등을 통해 유통되는 계정정보를 악용해 다른 홈페이지나 웹사이트에 무차별적으로 로그인 시도를 하는 공격에 당했다. 당시 공격으로 약 9만명의 고객 정보가 유출된 것으로 GS리테일은 추정했다. 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 개인정보가 유출된 정황이 포착된 것이다. 이후 GS리테일은 운영 중인 사이트를 모두 조사했다. 그 결과 GS샵에서도 2024년 6월21일부터 지난해 2월13일 사이 약 158만건의 개인정보 유출 정황을 확인했다. 실제 불법 해킹 포럼 등 다크웹에서는 ID, 비밀번호, 이메일, 연락처 등이 담긴 개인정보를 헐값에 판매하는 것을 어렵지 않게 발견할 수 있다. 심지어 ID와 비밀번호 등을 함께 묶어 '콤보리스트(유출된 계정정보를 취합한 데이터베이스)' 형식으로 판매하기도 한다. 이렇게 유통된 계정정보는 더 정교한 피싱 공격에 악용하거나 GS리테일의 경우처럼 다른 웹사이트에 로그인 시도를 하는 등 크리덴셜 스터핑 공격으로 피해가 확산된다. 공격자의 내부 침입을 탐지하고 대응하는 역량뿐 아니라, 다단계 인증(MFA), 이상 로그인 탐지 등 계정 보안 강화의 중요성도 알 수 있는 대목이다. 인증키 방치가 부른 90억 원대 해킹…회사 존폐까지 갈랐다 지난해 2월 28일에는 위믹스에서 해킹으로 인해 가상자산이 탈취됐다. 당시 위믹스 재단은 '플레이 브릿지 볼트'에서 약 865만 개의 위믹스 코인이 탈취된 것을 확인했다. 플레이 브릿지 볼트는 가상자산을 보관하는 지갑이다. 유출된 코인은 해커에 의해 글로벌 가상자산 거래소를 통해 매도됐다. 피해액은 약 90억원이다. 내부 인증키 관리 소홀이 화근이었다. 전직 직원이 인증키를 공개된 공간에 올려놨고, 이를 악용한 해커의 비정상적인 접근을 막지 못했다. 이후 위믹스는 거래 유의 종목으로 지정된 뒤 최종 상장 폐지됐다. 2월 말 발생한 해킹 사실을 사흘 뒤 공지해 늑장 공지가 상장폐지 원인이 됐다. 사이버 보안은 공격자와 방어자 중에 공격자가 압도적으로 유리한 싸움이다. 방어자는 수십만, 수백만개에 달하는 자사 IT 자산, 인증키 하나하나 취약점을 관리하고 공격을 방어해내야 한다. 반면 공격자는 단 하나의 취약점만 가지고도 내부 시스템을 장악하거나, 내부 데이터는 물론 위믹스의 사례처럼 실제 금전적인 피해까지 입힐 수 있다. 관리 소홀이 침해사고로 직결되고, 이런 침해사고가 회사의 존폐까지 위태롭게 하는 중요한 사례다. 또 침해사고 이후에도 침해 사실을 뒤늦게 알림으로써 시장에서 신뢰를 완전히 잃어버리는 상황까지 치달을 수 있음을 확인할 수 있다. 협력사가 '해킹 통로'…GA 해킹 사태로 본 공급망 보안 중소기업이나 외부 협력사가 만든 소프트웨어(SW)를 회사가 도입해 사용하고 있는 경우, 중소기업이나 외부 SW가 해킹 '통로'가 되기도 한다. 이른바 '공급망 공격'이다. 지난해 3월에는 법인보험대리점(GA)의 전산 해킹 사고가 발생했다. 대형 GA 유퍼스트보험마케팅 고객 및 임직원 등 908명과 하나금융파인드 고객 199명의 개인(신용)정보가 유출된 것이다. 이번 공격은 보험 영업지원 IT업체인 '지넥슨'에서 비롯됐다. 지넥슨은 GA 통합관리솔루션을 공급하는 기업이다. 지넥슨이 해킹을 당했는데, 지넥슨의 솔루션을 사용하는 GA로까지 피해가 번졌다. 협력사, 외주 SW 업체 등에서 나아가 공급망 전반에 걸친 보안 역량 강화, 소프트웨어자재명세서(SBOM) 등을 통한 보안 강화 등 공급망 보안의 중요성이 강조된 사례다. 취약점 방치가 부른 SKT '유심 대란' 지난해 4월에는 해킹 대재앙이 발생했다. SK텔레콤에서 대규모 개인정보 유출 사태가 터지면서 유심 교체를 위해 통신사 대리점 앞에 길게 줄이 늘어서는 등 그야말로 대란이 빚어졌다. 과학기술정보통신부(과기정통부)에 따르면 지난해 4월18일 오후 11시20분 SK텔레콤은 침해사고 정황을 발견하고 한국인터넷진흥원(KISA) 등 관계기관에 신고했다. 사고 경위는 이렇다. SK텔레콤 28대의 서버에 총 33종의 악성코드가 삽입됐고, 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종 등 9.82GB 규모의 데이터가 빠져나갔다. IMSI 기준 약 2696만 건이다. 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속한 후 2021년부터 공격을 준비했다. 해당 서버에 저장된 계정정보를 활용해 해커는 다른 서버로 추가적인 접근을 시도했고, 이 서버에는 코어망 내 음성통화인증(HSS) 관리서버의 계정정보가 평문으로 저장된 것을 확인했다. 이후 공격자는 이 계정정보를 활용해 HSS 관리서버에 접속 후 음성통화인증 서버에 'BPF도어'를 설치했다. BPF도어는 리눅스 시스템의 커널 내 BPF(Berkeley Packet Filter) 기술을 악용해, 방화벽을 우회하고 원격 명령을 수행하는 고도화된 스텔스 백도어 악성코드다. 이어 해커는 초기 침투 과정에서 확보한 계정정보를 활용해 여러 시스템관리망 내 서버에 2023년 11월부터 30일까지 2025년 4월21일까지 악성코드를 설치했다. 이후 다른 서버를 통해 HSS 서버에 저장된 유심 정보를 유출했다. 개인정보보호위원회(개인정보위) 등에 따르면 해커는 BPF도어 설치에 '더티카우(DirtyCow)' 취약점을 활용한 것으로 알려졌다. 더티카우 취약점은 이미 2016년에 보안 경보가 발령되고 패치가 업로드된 취약점이다. 10년 가까이 해당 취약점이 패치되지 않은 채 방치되고 있었던 것이다. SK텔레콤은 이 침해사고로 개인정보보호위원회로부터 1347억9100만원의 과징금과 과태료 960만원을 부과받았다. 취약점 관리 소홀, 유심 인증키 값을 암호화하지 않은 점 등 보안 조치를 완료하지 않은 결과다. 해커 협상·거짓 해명…예스24 '대응 실패' 지난해 6월에는 예스24가 랜섬웨어 공격을 당했다. 서비스가 아예 마비됐으며, 주요 데이터를 백업해놓지 않아 빠른 정상화도 난항을 겪었다. 결국 예스24는 해커에게 암호화폐를 지불하고 서비스를 정상화한 것으로 알려졌다. 심지어 지난해 8월 두 달 만에 다시 한 번 랜섬웨어 공격을 당했다. 랜섬웨어 공격은 공격자가 내부 데이터를 암호화하고 이를 풀어주는 조건으로 금전 등을 요구하는 일종의 '사이버 협박' 범죄다. 예스24는 다른 침해사고 사례와 달리 눈살을 찌푸리게 만드는 점이 많다. 우선 해커와 협상했다는 점, 시스템 점검으로 인한 서비스 장애라고 당초 침해 사실을 숨기려 했던 점, KISA의 기술지원도 거부했던 점 등이다. 앞서 랜섬웨어 피해 당시 예스24는 KISA에 적극 협조하고 있다고 주장했지만, KISA의 기술지원을 거부했던 사실이 뒤늦게 밝혀져 비난을 샀다.아울러 두 번째 랜섬웨어 공격을 당함으로써 첫 침해사고 이후 사후 조치에 미흡했다는 점 등이 아쉬움을 남긴다. 예스24의 정확한 유출 경위는 아직 조사 중이기 때문에 명확히 파악되지 않았다. SK텔레콤 해킹 사태와 더불어 지난해 12월 발생한 쿠팡 사태 등으로 조사가 지연된 탓이다. 다만 보안업계 전문가들은 오래된 운영체제(OS) 사용 등을 원인으로 지목하고 있다. 금융권 노린 랜섬웨어 기승…'이중 협박' 당한 SGI서울보증 예스24 이후 금융기관·기업도 연달아 랜섬웨어 공격에 속수무책으로 무너졌다. 지난해 7월 SGI서울보증은 랜섬웨어 조직 '건라(Gunra)'로부터 랜섬웨어 공격을 받았다. 사흘간 시스템이 마비됐다. 다행히 금융보안원을 통해 SGI서울보증은 랜섬웨어를 풀 수 있었다. 보안업계 관계자는 "금융보안원이 SGI서울보증을 공격한 랜섬웨어 그룹의 실수라고 볼 수 있는 악성코드 결함을 찾아내 복호화 키를 추출했고, 이를 통해 서비스를 재개한 것으로 알고 있다"고 밝혔다. 그러나 협박은 끝나지 않았다. SGI서울보증을 공격한 건라는 SGI서울보증이 서비스를 정상화한 이후 자신들의 다크웹 유출 전용 사이트(DLS)에 "'건라' 해킹 그룹이 SGI서울보증 사이버 공격이 자신들의 소행이고 13.2TB의 오라클 데이터베이스를 갖고 있다"는 게시글을 업로드했다. 복호화키를 찾아내 해킹을 풀었을지언정 탈취한 데이터를 다크웹에 공개해버리겠다는 또 다른 협박이다. 또 다크웹에 이런 게시글을 올림으로써 데이터를 판매하겠다는 의도도 엿보인다. 이후 건라는 다크웹에 방대한 데이터를 갖고 있으나, 이를 분석할 인적 여력이 부족하다는 게시글을 올렸다. 그러다 돌연 SGI서울보증 관련 게시글을 내림으로써 실제 건라가 데이터를 확보하고 있는지 여부는 알 수 없게 됐다. SGI서울보증 이후 8월 웰컴금융그룹도 랜섬웨어 공격을 당했다. 범인은 랜섬웨어 조직 '킬린(Qilin)'으로, 지난해부터 가장 많은 랜섬웨어 활동을 벌인 그룹이었다. 웰컴금융그룹 계열사인 웰릭스에프앤아이대부가 킬린으로부터 랜섬웨어 공격을 당했다. 당시 킬린은 "웰컴금융그룹 모든 고객의 데이터베이스를 갖고 있다. 회사는 정보보호에 소홀했다"며 "여기에는 고객 이름, 생년월일, 자택·사무실 주소, 계좌, 이메일 등 수많은 정보가 포함돼 있다"고 주장했다. 그러면서 실제 내부 문서로 보이는 일부 자료도 샘플로 게시했다. 사소한 방심이 297만 명 유출…롯데카드가 치른 보안 대가 금융권에 대한 공격은 계속됐다. 특히 롯데카드에서 지난해 9월 외부 해킹으로 인해 297만명의 고객 정보가 유출됐다. 유출된 데이터 중 28만명의 경우는 카드 번호와 CVC번호, 주민등록번호 등 민감한 개인신용정보까지 유출됐다. 원인은 취약점 패치 누락이다. 오라클 웹로직 취약점을 통해 해커가 내부 시스템에 침입했는데, 해당 취약점은 이미 8년 전에 패치가 완료됐다. 오래된 취약점 하나를 패치하지 않았다가 300만 명에 달하는 개인정보가 유출되는 사태를 빚은 것이다. 이로 인해 롯데카드는 조좌진 롯데카드 대표이사가 유출사고에 대한 책임을 지고 지난해 12월을 마지막으로 공식 사임했다. 롯데카드는 해당 해킹 사태로 과징금 96억2000만 원 및 과태료 480만 원을 부과받았다. 취약점 하나라도 결코 지나쳐서는 안 된다는 점을 명확히 보여준 사례다. 사소한 취약점 하나를 패치하지 않았다가 고객 신뢰는 물론 회사 경영진까지 물러났다. 보안 기업도 '휴먼에러'에 무방비 크리덴셜 스터핑(GS리테일), 키 관리 미흡(위믹스), 공급망 공격(GA), 취약점 방치(SK텔레콤, 롯데카드), 랜섬웨어 등 다양한 경위로 기업의 보안이 뚫리면서 얼마나 보안 인식이 낮았는지 엿볼 수 있었다. 하지만 이는 모두 외부에서 공격을 받은 사례다. 지난해에는 외부 침입으로 인한 침해사고는 물론 내부에서부터 공격이 시작되거나, 직원의 실수로 내부 정보가 빠져나가는 해킹도 빈번했다. 먼저 사이버보안, 물리보안을 포함해 국내 최대 보안업체인 SK쉴더스는 직원의 실수로 내부 데이터가 유출되는 수모를 겪었다. 일부 보안 기업들은 해커들의 공격 기법 등을 파악하기 위해 가상 서버, 즉 '허니팟(Honeypot)이라는 '덫'을 깔아놓는다. SK쉴더스도 이런 허니팟을 운영했다. 신생 랜섬웨어 조직 '블랙쉬란택(Blackshrantac)'은 지난해 10월 SK쉴더스를 공격해 데이터를 탈취했다며 DLS에 게시글을 업로드했다. 고객사 관리자 계정, 계정정보, 보안 네트워크 시스템 정보, 인물사진 등이 포함됐다. 당시 SK쉴더스는 해커가 탈취한 데이터는 모두 '허니팟'에 있는 데이터이며, 내부 데이터가 빠져나가지는 않았다는 입장이었다. 그러나 한 직원이 허니팟에 실제 이메일을 로그인했고, 해커가 이를 통해 내부 데이터를 탈취할 수 있던 것으로 알려졌다. 일부 고객사 데이터도 포함됐다. SK쉴더스는 보안 기업임에도 '휴먼 에러'로 해킹을 당했다. 조직 구성원의 보안 인식 강화가 중요한 이유다. 쿠팡, 기본 중의 기본도 안 지켰다…'내부자 위협'에 3000만 명 유출 지난해 11월에는 약 3370만 명의 고객 개인정보가 유출되는 역대급 보안 사고가 터졌다. 이용객 대부분의 개인정보가 유출되는 유례없는 해킹 사태였다. 해킹의 시발점은 내부 통제 실패. 기본 중의 기본을 지키지 않아 빚어진 '인재(人災)'였다. 직원이 퇴사하면 퇴사자에 대한 권한을 회수하고, 내부 시스템에 접근할 수 없도록 차단하는 것이 당연하다. 그러나 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자로 근무했던 쿠팡의 중국인 전 직원에 대한 권한은 퇴사 이후에도 유지됐고, 이 직원은 퇴사 이후 대규모로 쿠팡에서 개인정보를 유출했다. 구체적으로 전직 개발자의 내부 인증키 탈취와 허술한 퇴사자 권한 관리로 인해 5개월 동안 데이터가 대규모로 빠져나갔다. 특히 주소, 위치정보, 공동현관 비밀번호 등 국민의 실생활 안전과 직결된 정보가 포함돼 국민 일상에 불안을 더하고 있다. 이같은 공격은 보안업계에서는 '내부자 위협'으로 분류한다. 내부자가 외부 해커와 결탁하거나, 악의를 스스로 품고 회사의 중요 데이터를 유출하는 공격이다. 쿠팡의 경우 퇴사자가 정상 사용자로 위장해 공격을 시도했고, 이를 사전에 탐지하거나 차단 혹은 최소화하지 못했다는 지적이 나온다. 지난해 말에도 내부자 위협으로 인한 침해사고가 또 다시 발생했다. 내부 직원의 일탈로 신한카드에서 19만2천건의 가맹점 대표자 휴대전화번호가 유출된 것이다. 구체적으로 신한카드 일부 직원들은 신규 카드 모집을 위해 가맹점 대표자 정보를 유출했다. 이들은 시스템 감시를 피하기 위해 모니터 화면을 촬영하거나 수기로 기록하는 등의 수법을 사용했다. 신한카드는 약3년간 유출 사실을 인지하지 못하다가 공익 제보 등을 통해 사태를 파악하고 개인정보위 등에 신고했다. 국가 기관 노리는 APT 해킹 세력 기업뿐 아니라 한국 정부도 국가 배후 지능형 지속 공격(APT) 세력의 지속적인 공격을 받아 온 것으로 나타났다. 지난해 8월경 미국의 해킹 잡지 프랙을 통해 이같은 정황이 낱낱이 드러났다. 또 한국은 지정학적으로 북한, 중국 등 APT 그룹이 많은 국가와 밀접한 관련이 있고, IT 기술이 빠르게 발전해 공격자가 노리기에 유의미한 데이터가 많은 국가라는 특징이 있다. 국내 보안 기업 엔에스에이치씨(NSHC)의 위협분석연구소(TR랩)에 따르면 지난해 전 세계 정부 기관을 겨냥한 사이버 공격 중 한국은 미국에 이어 두 번째로 공격을 많이 받은 국가로 집계됐다. 실제 프랙이 발간한 'APT Down: The North Korea Files' 보고서에 따르면 북한의 해커 조직 '김수키(Kimsuky)'로 추정되는 세력이 공무원 업무시스템인 '온나라시스템'을 공격하기도 했으며, 외교부, 대검찰청 등 기관에 로그인 시도와 피싱 기록도 확인됐다. 방첩사령부를 대상으로도 피싱 공격을 시도했으며, 국내 통신사, 언론사를 타깃으로도 공격을 일삼았다는 사실이 드러났다. AI 강국 도약보다 앞서야 할 '사이버 복원력' 제고 이 외에도 인하대, 아시아나항공 등 비교적 규모가 작은 침해사고도 잇따랐다. 과기정통부에 따르면 지난해 침해사고 신고 건수는 2383건으로 전년 대비 26.3% 증가했다. 올해 1분기에도 공격은 계속되고 있다. 1월에는 교원그룹이 랜섬웨어 공격을 당했고, 다크웹 등에서 국민 생활과 밀접한 소규모 웹사이트의 연쇄 해킹, 공공자전거 따릉이, 율곡, 성우, 아주약품 등 많은 기업과 기관, 중소기업까지 사이버 공격을 당했다. AI 혁신에는 원활한 데이터 활용이 전제돼야 한다. 데이터가 원활하게 오고가고 외부 접점이 많아지기 시작할수록 보안은 반비례하기 마련이다. 따라서 선제적인 보안 강화가 AI 혁신까지 연결될 수 있도록 침해사고를 줄여나가는 것이 절실하다. 하지만 공격자가 압도적으로 유리한 환경에서 사이버 공격은 피할 수 없는 현실이다. 그렇다면 디지털 트러스트 구축을 위해서는 침해사고를 당하더라도 빠르게 회복하고, 유출을 최소화하는 방향으로 나아가야 한다. 즉 회복탄력적인 디지털 환경 구축이 필요한 때다. 또한 최초 침투부터 정보 유출까지 모든 구간에 대한 제로트러스트(ZeroTrust) 기반의 방어 체계 구축을 통해 침해로 인한 피해를 최소화할 수 있어야 한다. 염흥열 순천향대 정보보호학과 명예교수는 "취약점 면적이 너무 넓어졌기 때문에 모든 공격을 완벽히 막을 수 없다. 이에 사이버 레질리언스(복원력)이라는 개념이 부상했다"며 "일단은 해킹이 됐다고 가정을 하고 얼만큼 빨리 원래 상태로 되돌릴 수 있는지가 관건"이라고 설명했다. 박기웅 세종대 정보보호학과 교수는 "예산은 한정돼 있는데 방어해야 할 자산이 늘어나고 복잡해지다 보니 리스크가 많아졌다"며 "이 리스크를 얼마나 효율적으로 관리하고, 시스템을 설계할지 방향성을 잡아가는 과정이 사이버 레질리언스를 제고해 나가는 방향과 일치한다"고 밝혔다. 이용준 극동대 해킹보안학과 교수는 "끊임없는 의심을 통한 침해사고 사전 예방 취지의 제로트러스트, 침해 이후에 국방, 금융 등 연속성이 중요한 부문에 대한 빠른 복구 취지의 사이버 레질리언스가 오버랩돼야 한다"고 강조했다.
