[이슈] 잇따른 해킹 사고, 기업 보안 투자·제도적 한계 드러내

최근 통신사와 카드사 등 주요 기업에서 대규모 해킹 사고가 잇따라 발생하며 국내 정보보호 체계 전반에 대한 불신이 커지고 있다. SK텔레콤, KT, 롯데카드가 연이어 피해를 입은 가운데, 전문가들은 보안 투자의 절대적 부족과 제도의 실효성 한계를 지적하며 근본적 대응을 촉구하고 있다.

22일 업계에 따르면 SK텔레콤에서는 유심(USIM) 정보가 대거 유출되는 사고가 발생했다. 가입자식별번호(IMSI) 등 민감 정보가 외부로 빠져나가며, 이용자 개인정보 보호에 심각한 구멍이 뚫린 셈이다. 같은 시기 KT에서는 불법 초소형 기지국(펨토셀)이 차량에 설치돼 이동 중 주변 단말기의 신호를 가로채는 방식으로 불법 정보 수집이 이루어졌다. 이 과정에서 휴대폰 사용자 수만 명이 무단으로 기지국에 접속됐고, 일부는 소액결제 피해로 이어졌다.

롯데카드 역시 온라인 결제 서버가 해킹당해 약 200GB 분량의 데이터가 유출됐다. 주민등록번호와 연계정보(CI), 가상결제코드가 포함됐으며, 일부 고객의 경우 카드번호와 비밀번호, CVC까지 노출된 것으로 확인됐다. 실제 피해자들 사이에서는 “자고 일어나니 계좌에서 돈이 빠져나갔다”는 증언이 이어지고 있다.

공격 수법은 점점 지능화되고 있다. 불법 기지국을 이용한 네트워크 가로채기, 단말기 고유번호와 가입자식별번호 탈취, 카드 결제의 KEY IN 인증 취약점 등이 연쇄적으로 악용됐다. 더욱이 이러한 공격은 새벽 시간대 발생하거나 인증 문자가 도착하지 않는 방식으로 탐지가 지연돼 피해 확산을 키웠다. 기업들의 사고 통지 역시 늦어, 사용자 불안을 가중시키고 있다는 지적이 나온다.

문제는 국내 기업의 보안 투자가 턱없이 부족하다는 점이다. 한국인터넷진흥원에 따르면 국내 기업의 정보보호 투자는 전체 IT 투자 대비 6% 수준에 그친다. 미국과 유럽연합(EU)의 평균 25%와 비교하면 현저히 낮은 수치다. 특히 중소기업 상당수는 전담 인력조차 없는 경우가 많아 보안 사각지대가 넓게 형성돼 있다. 업계는 ISMS, ISMS-P 등 인증 제도가 확산돼 있지만, 인증 기업에서도 해킹 사고가 이어지고 있는 만큼 제도의 실효성에도 의문을 제기한다.

전문가들은 무엇보다 경영진의 보안 인식 전환이 필요하다고 강조한다. 보안은 비용이 아니라 기업 신뢰와 직결된 투자라는 점을 인식해야 한다는 것이다. 정부 역시 자율 예방 조치를 유도하는 인센티브 제공과 반복 사고 기업에 대한 징벌적 과징금 제도를 검토하고 있다. 과학기술정보통신부와 금융위원회는 최근 주요 기업 전산망과 보안 체계에 대한 긴급 점검에 착수했다.

보안 업계 한 관계자는 “현재와 같은 대응 중심의 방식으로는 공격을 막아내기 어렵다”며 “선제적 탐지, 내부자 관리 강화, 잠재 위험 요소 제거로 이어지는 체계적 방어 전략이 절실하다”고 말했다.

연이은 해킹 사태는 단순한 기술적 침해를 넘어 금융 피해, 개인정보 유출, 나아가 사회적 신뢰 손상으로까지 확산되고 있다. 전문가들은 해킹 수법이 더욱 정교해질 가능성이 높은 만큼, 기업과 정부가 빠른 속도로 방어 기술과 제도를 개선하지 않는다면 피해는 눈덩이처럼 불어날 수 있다고 경고한다.

[저작권자ⓒ 도시경제채널. 무단전재-재배포 금지]