▲ 경제부 최영준 기자

[토요경제 = 최영준 기자] 최근 몇 달 사이 국내 통신·금융·유통 업계를 가리지 않고 굵직한 해킹 사고가 연달아 터졌다. 초고속 인터넷 보급률과 AI 인프라에서 세계적 경쟁력을 자랑해 온 한국이지만 기본 보안망은 연이어 뚫리고 있다.

이제는 ‘대한민국에 과연 해킹 안전지대가 있을까’라는 물음이 단순한 수사가 아니라 현실적 질문으로 다가온다.

이달 롯데카드는 200GB에 달하는 고객 정보가 외부로 유출되는 초유의 사태를 맞았다. 카드 비밀번호와 CVC까지 포함된 민감한 데이터가 털렸지만, 초기 발표에서 유출 규모는 1.7GB로 축소됐다. 이에 더해 신고까지 상당한 시간이 걸리자 피해자들은 불안감에 떨었다.

금융사고는 단순한 데이터 침해에 그치지 않고 카드 부정 사용 등 2차 피해로 번질 수 있다는 점에서 파장은 점차 커졌다.

금융당국 조사 결과, 해커는 롯데카드의 온라인 결제 서버(WAS)에 웹셸을 심고 8월 14일부터 27일까지 지속적으로 데이터를 빼갔다.

고객 297만명의 개인정보가 유출됐고 이 중 28만명은 카드번호·유효기간·CVC 코드와 함께 카드 비밀번호까지 노출됐다. 간편결제 식별 코드, 가상 결제 코드 등 부가 정보도 대거 포함됐다. 초기엔 1.7GB만 빠져나간 것으로 알려졌으나 금융보안원의 포렌식 조사로 실제 유출량이 200GB에 달한다는 사실이 뒤늦게 밝혀졌다.

정부가 긴급 점검을 지시하고 카드 재발급·해외 결제 차단 등의 조치가 시행됐지만, 피해자들은 이미 온라인 거래에서 2차 피해 가능성에 노출됐다.

같은 달 KT에서도 가입자 단말 식별번호(IMSI)와 전화번호가 유출된 정황이 포착됐다. 일부 지역에서는 무단 소액결제 피해가 확인되며, 피해 건수는 당국 집계 기준 362건, 피해 금액은 약 2억4000만원으로 집계됐다. 사건의 원인은 불법 초소형 기지국을 통한 공격이었다.

과기정통부 조사 결과, 해커들은 불법 초소형 기지국을 설치해 휴대전화가 해당 기지국에 접속되도록 유도한 뒤, 인증 신호를 가로채 소액결제를 실행한 것으로 확인됐다.

과학기술정보통신부와 민·관 합동조사단이 전국 통신망을 점검하고 KT는 피해 고객 전액 보상을 약속했지만, 불법 기지국 장비가 확보되지 않아 침입 경로가 완전히 밝혀지지 않은 상태다.

SK텔레콤 역시 올해 상반기 일부 인증 서버가 악성코드에 감염돼 대규모 가입자 식별정보가 외부로 빠져나간 것으로 확인됐다. 조사단은 해킹 경로를 추적해 취약한 서버 관리 실태를 지적하며 SKT의 보안 체계가 근본적으로 허술했다고 평가했다.

금융권도 SGI서울보증, 웰컴금융그룹 계열사 등에서 해킹 침입 시도가 잇따르며 보험·자산운용 업계 전반의 취약성이 드러났다.

이러한 연쇄 사고 뒤에는 제도적 허점이 존재한다. 정보통신망법과 개인정보보호법 등 관련 법률이 마련돼 있지만 신고 의무나 제재 수위가 충분치 않다는 지적이 꾸준하다.

조사 권한이 제한적이고 징벌적 과징금 제도가 미비해 기업이 보안을 비용으로만 인식하는 분위기 때문이다. 감독기관 간 협력과 정보 공유 체계 역시 사건이 터질 때마다 부실하다는 평가가 나온다.

기술적 취약점은 더 근본적이다. 노후화된 운영체제와 서버 보안 미흡, 내부망 관리 부실 등 기본적 예방책이 지켜지지 않은 채 방치되는 경우가 적지 않다.

일각에서는 보안 점검이 형식적으로 그치거나 하청업체에만 의존하는 관행이 위험을 키운다고 비판한다. 전문가들은 주기적 보안 점검과 민관 공동대응 체계를 강화하지 않는다면 대규모 정보 유출은 언제든 반복될 수 있다고 경고한다.

여러 차례 피해를 직접 겪은 국민의 불안은 점점 더 깊어지고 있다. 개인정보 유출이 단순한 정보 유실에 그치지 않고 금융 범죄, 스미싱, 계정 탈취 등으로 이어질 수 있기 때문이다.

기업의 축소 발표와 늑장 대응이 신뢰를 갉아먹으면서 사회 전반의 디지털 서비스 의존도에도 악영향을 끼칠 가능성 역시 제기된다. 데이터가 곧 자산이 되는 시대에 정보보안의 부실은 곧 국가 경쟁력의 약화로 직결된다고 볼 수 있다.

반면 해외에서는 미국의 CISA, 영국의 NCSC처럼 정부 주도로 민관이 긴밀히 협력하는 사이버보안 컨트롤타워가 자리 잡아가고 있다.

CISA는 단순히 사이버 위협을 경고하는 것을 넘어, 연방정부 기관에 대해 ‘바인딩 오퍼레이셔널 디렉티브(BOD)’를 발동해 취약점 개선을 법적·행정적으로 강제할 수 있으며, 연방 네트워크 전체의 이상 트래픽을 실시간으로 모니터링하는 시스템을 운영한다.

제품·소프트웨어의 공급망을 점검하고, IoT·에지 장치의 기본 보안 설정과 로그 및 포렌식 기능을 필수 조건으로 권고하거나 요구하는 가이드라인을 정기적으로 제정하기도 한다.

NCSC 역시 마찬가지다. 정부 부처·공공기관들을 대상으로 정기적인 보안감사와 평가를 수행하고, 그 평가 결과를 공개함으로써 책임성을 강화한다.

제품이나 서비스 설계 단계에서부터 보안을 고려하는 설계 단계 보안 내재화, 기본 설정 보안 우선을 법제 및 정책으로 지원하고, 제조사들이 혹은 서비스 제공자들이 이를 따르지 않을 경우 감독 또는 제재를 할 수 있는 구조가 존재한다.

이러한 체계가 있기에 미국·영국 등에서는 해킹 사고가 발생했을 때, 피해 규모가 작던 크던 사고 축소 혹은 은폐 논란이 상대적으로 적고, 사후 보상 및 개선 조치가 비교적 신속히 이루어진다.

반면 한국에서는 앞서 본 롯데카드·KT 사례처럼 유출 규모가 뒤늦게 밝혀지고 발표가 축소되었다가 정정되는 경우가 반복된다. 또한 피해자 보호보다 기업의 이미지 관리 쪽에 우선순위가 기울어졌다는 비판이 나오고 있다.

전문가들은 국내에서도 조사 권한 강화, 징벌적 과징금 도입, 기업 CISO(최고정보보호책임자) 권한 확대 등 제도적 장치를 촘촘히 마련해야 한다고 조언한다. 해킹 피해를 보험처럼 보상하는 제도적 장치, 피해자 보호를 위한 신속한 공시 의무도 필요하다는 목소리가 높다.

한국은 정보통신 강국이라는 명성을 자랑하지만 최근 연쇄 해킹 사태는 그 자부심이 허술한 보안망 위에 세워져 있었음을 드러냈다.

해킹 안전지대는 스스로 이뤄야 할 목표지 그냥 주어진 타이틀이 아니다. 정부는 조사 권한과 제재 수단을 강화하고, 기업은 보안을 비용이 아닌 필수 인프라로 받아들여야 한다. 지금의 연쇄 해킹은 한국이 진정한 ‘디지털 선진국’으로 남기 위해 반드시 극복해야 할 과제다.

토요경제 / 최영준 기자 cyj@sateconomy.co.kr 

[저작권자ⓒ 토요경제. 무단전재-재배포 금지]