SK텔레콤·KT·LG유플러스 등 이동통신 3사는 물론 쿠팡·신세계·롯데카드·신한카드·아시아나항공 등 업종과 규모에 상관없이 사이버 보안 사고가 잇따라 발생하고 있다. 보안점검과 장비 관리 미흡으로 외부 공격에 뚫리고 내부 통제 부실로 개인정보가 유출되는 등 내우외환에 빠진 형국이다.

29일 민관합동조사단에 따르면 KT는 불법 펨토셀이 내부망에 쉽게 접속할 수 있었다. 전반적으로 관리 체계가 취약한 것으로 확인됐다. 또 시스템 로그와 이벤트 분석 등 기본적 보안점검을 제대로 수행하지 않아 장기간에 걸친 해커 활동을 막지 못했다.

이통사가 외부 침입에 당했다면 쿠팡·신한카드 등은 내부 통제에 실패했다. 쿠팡과 신한카드는 내부 관리가 제대로 이뤄지지 않아 각각 3370만명 고객, 19만명 카드 가맹점주의 개인정보를 유출했다.

전문가들은 '아무것도 믿지 말고 계속 검증하라'는 제로 트러스트 보안 철학을 기반으로 보안 기본부터 다시 세워나가야 한다고 입을 모은다.

염흥열 순천향대 정보보호학과 명예교수는 “제로 트러스트 보안 원칙에 따라 최근 사이버 위협 환경을 분석하고 대응할 수 있는 보안 대책을 마련해야 한다”며 “이를 통해 기업의 정보보호 관리 체계를 수립·운영하고 지속적으로 개선할 필요성이 있다”고 말했다.

정보보호팀을 넘어 전사적으로 사이버 보안을 내재화하는 한편 내부 통제 강화 등 기본 보안 수칙을 준수해야 한다고 강조한다.

홍준호 성신여대 융합보안공학과 교수는 “최근 잇따라 발생한 사고 원인은 내부 보안 관리 미흡에 있다”며 내부 리스크 관리 체계를 전면적으로 점검하는 동시에 최고경영자(CEO)를 중심으로 개인정보를 다루는 모든 부서에 보안 인식을 제고해야 한다”고 말했다.

보안 생태계 강화를 위해 소프트웨어 자재명세서(SBOM) 기반 공유책임 모형으로 나아가야 한다는 제언도 나온다. 이번 KT 펨토셀 사례에서도 펨토셀 장비의 SBOM 부재와 현황 관리 부족 등 공급망 보안에서 허점이 드러났다.

최윤성 고려대 SW·AI융합대학원 교수는 “최근 글로벌 사이버 규제 동향의 핵심은 법적 책임성으로, 기업은 비즈니스 중단 위협에 맞서 조직의 방어력을 증명해야 한다“면서 ”기업의 내부 직원뿐만 아니라 외부 생태계 참여자까지 모든 참여자가 보안을 기본으로 수행하지 않으면 사이버 범죄에 대응하기 어려운 상황인데, 현재 정부의 대책은 최고정보보호책임자(CISO) 등 개인에 대한 책임만 강조하고 있어 포괄적인 대책으로 보긴 어렵다”고 말했다.

정부 조사단 권한을 강화해야 한다는 목소리도 커지고 있다. 이번 조사에서 LG유플러스 건은 서버 운용체계(OS) 재설치 또는 폐기 등으로 조사가 불가능했다. 조사단은 LG유플러스와 KT를 공무집행방해 등으로 경찰청에 수사 의뢰한 상태다.

'해커 출신 1호 교수'인 김휘강 고려대 정보보호대학원 교수는 “당국이 기업 신고 없이 조사할 수 없고, 조사에 나서도 압수 등을 못하고 요청해 제공받은 자료를 중심으로 이뤄지다 보니 기간만 길어지고 결과도 만족스럽지 못하다”며 “해커가 내부 시스템을 들락날락하는 상황에서 언론을 통해 조사·수사 현황을 실시간으로 확인하며 증거를 삭제하는 등 대응할 가능성이 높다”고 말했다.

그러면서 “사고가 발생하면 보안을 유지하면서 신속 정확하게 조사할 수 있도록 조사단에 권한을 부여해야 한다”고 덧붙였다.

조재학 기자 2jh@etnews.com

• 수출 7000억달러 돌파...세계 6번째, 반도체 필두로 제조업 강세
• [포토] 이혜훈 기획예산처 장관 후보자 출근
• [인사][에듀플러스]성균관대
• “폐업해도 실업급여 받는다”…자영업자 고용 보험료 최대 80% 지원
• [에듀플러스][인사]상명대