김승주 고려대 정보보호대학원 교수는 이데일리TV ‘이지혜경제쇼YO’ 인터뷰에서 “대형 사고 이후 보안 점검이 강화되면서 과거 침해 사례가 연쇄적으로 확인되고 있다”며 “이미 침투됐던 공격이 시간이 지난 뒤 드러나는 구조”라고 설명했다.
실제로 지난해에는 SK텔레콤(017670)·KT(030200) 등 통신사를 비롯해 롯데카드, 예스24, 정부 온나라 시스템, 쿠팡까지 주요 기업과 공공 시스템 전반에서 해킹 사고가 잇따라 드러났다. 상당수는 침투 시점과 발견 시점이 수년 이상 어긋난 사례로, 국내 보안 취약이 장기간 누적돼 왔다는 점을 보여줬다.
김 교수는 최근 보안 사고의 배경으로 망 분리 중심 보안 체계의 한계를 꼽았다. 재택근무 확산과 AI 활용 증가로 내부망과 인터넷 연결이 불가피해졌다는 설명이다. 그는 “AI 정책은 생존과 직결된 만큼, 인터넷에 연결된 환경에서도 안전을 확보하는 방향으로 보안 체계를 바꿔야 한다”고 강조했다.
보안 위협의 성격도 달라지고 있다고 진단했다. 김 교수는 “최근 통신·정부 시스템 침해는 금전 목적의 민간 해커를 넘어 국가 행위자 가능성까지 함께 봐야 한다”며 “이제는 돈보다 통화 기록, 관계·동선 데이터 같은 정보 자체가 표적이 되는 시대”라고 말했다.
그는 SK텔레콤과 KT 사례를 같은 맥락에서 설명했다. 김 교수는 “SK텔레콤은 침투 시점이 2021년으로 거슬러 올라갈 가능성이 제기됐고, 장기간 잠복한 정황이 확인됐다”며 “KT 해킹 역시 이론적으로는 문자·통화 감청까지 가능한 사안이었지만, 해커가 실제로 챙긴 금전적 이득은 약 2억4300만원 수준에 그쳤다”고 말했다. 두 사례 모두 투입 대비 금전적 이득이 크지 않다는 점에서 단순 범죄 해킹으로만 보기는 어렵다는 설명이다.
해외 사례도 이를 뒷받침한다. 김 교수는 “미국에서도 다수 통신사가 해킹을 당했을 당시, 통신사는 금융기관과 달리 통화상세기록(CDR) 등 첩보 가치가 높은 데이터가 많다는 분석이 나왔다”며 “통신망 해킹은 스파이 행위 관점에서 접근할 필요가 있다”고 했다.
차세대 보안 해법으로는 인터넷 연결 환경에서도 국가망 보안을 유지하는 N2SF, 내부망까지 포함해 모든 접속을 검증하는 제로 트러스트, AI 기반 자동 방어가 제시됐다. 김 교수는 “앞으로는 연결을 전제로 한 환경에서 접속 단계마다 검증하고 AI로 상시 대응하는 보안 체계가 기준이 될 것”이라고 말했다.
투자 관점에서 보안 기업을 평가하는 기준도 분명히 했다. 김 교수는 “보안 기업 평가는 인재 구성과 글로벌 솔루션 경쟁력, 실제 레퍼런스를 함께 봐야 한다”며 “정부의 클라우드 퍼스트 기조 속에서 민간 클라우드 사업자와 연계된 보안 기업들이 중장기적으로 주목받을 수 있다”고 밝혔다.
상장사 가운데 SGA솔루션즈(184230)와 지니언스(263860)가 접속 보안과 네트워크 침입 대응 분야에서 경쟁력을 갖춘 기업으로 거론됐다. 비상장사로는 국산 기술 기반의 내부 업무 보안 솔루션을 보유한 소만사와 AI를 활용한 사전 해킹 점검 기술을 갖춘 티오리가 언급됐다.
쿠팡 사태에 대해서는 신중한 접근을 주문했다. 김 교수는 “자료 제출이 충분하지 않은 상황에서 기업 발표를 그대로 신뢰하기는 어렵다”며 “민관 합동조사단의 최종 발표가 나올 때까지는 사용을 자제하는 것이 바람직하다”고 말했다. 그는 “개인정보는 한 번 유출되면 되돌릴 수 없는 만큼 국민과 투자자 모두 경각심을 가져야 한다”고 강조했다.
이데일리TV '이지혜경제쇼YO' 방송 화면 캡처
