#산업

역대 최악의 사이버 보안 침해 사고로 기록될 것으로 보인다. 2022년 6월 15일 해커가 SK텔레콤의 홈 가입자 서버(HSS)를 비롯한 여러 서버 시스템에 침입하여 악성코드를 설치한 것으로 파악되며, 국민의 사태 인지와 대대적인 언론보도는 2025년 4월경에 이루어졌다. 유출 정보는 SK텔레콤 가입자들의 유심(USIM) 관련 정보로 한국 인구의 절반을 넘는 2,696만 명의 가입자 식별키가 해킹당한 것으로 확인됐다.

이 사건을 계기로 통신사를 비롯한 국내 기업들의 정보보호 투자 상황과 개인정보보호 체계 전반에 대한 점검이 급격히 요구되고 있다. 개인정보보호위원회의 발표에 따르면 2024년 1월부터 4월까지 국내에서 유출된 개인정보 규모가 전년 대비 3배 가까이 증가했을 정도로 개인정보 유출은 현대 사회의 매우 심각한 문제이다. 뿐만 아니라 보안 사고는 단순히 개인이나 기업의 피해를 넘어 국가 안보에 위협을 가하는 형태로도 발전하고 있다.

아직까지는 국내 기업들의 정보보호(보안) 분야에 대한 투자가 매우 적은 것이 현실이다. 국내 기업들의 정보보호 투자 비율은 전체 정보기술(IT) 투자 대비 평균 6%에 불과하다. 미국과 유럽의 평균 투자 비율인 25%에 크게 못 미치는 수준이다. 지난해 SKT가 정보보호 분야에 투자한 금액은 본사(600억 원) 외 자회사 SK브로드밴드(267억 원)으로 총 867억 원이었는데, 경쟁사인 KT(1218억 원), LGU+(631억 원)에 비해 적은 금액이었다.

정보보호 관리체계 인증(ISMS)의 실효성도 함께 검토해 볼 만한 사안이다. 일반적으로 기업들이 활용하는 정부의 정보보호 인증은 ISMS(정보보호 관리체계 인증) 2개와 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 1개 등 모두 3개다. ISMS 인증은 정보자산을 안전하게 관리하기 위한 위험 관리, 사고 예방 및 대응, 복구 등 80개 기준을 통과한 기업에 부여한다. 다만, ISMS 인증 기업이 신고한 정보침해 사고 건수는 2020년 0건에서 2021년 6건, 2022년 13건, 2023년 101건, 2024년에도 96건으로 급속도로 늘어나고 있으며, 이번 사태가 있었던 SKT 역시 보안 인증 심사를 받은 지 불과 6개월 후에 해킹 사태를 겪었다. 따라서 인증 기준을 빠르게 현행화 시켜야 하며, 인증 기준에는 없더라도 시시각각 고도화되는 사이버 해킹에 대응할 수 있도록 기업의 자체 보안 역량을 계속 강화해야 할 것이다. 특히 국가 안보, 공무상 기밀 등 민감한 개인정보를 다루고 있는 국가 정보기관 및 공공기관의 경우 더욱 강력한 보안체계를 구축해야만 할 것이다. 구체적으로 보면 1) 침입 차단-탐지-대응-복구 등 다계층 방어 체계의 구축, 2) 보안 취약점 상시 점검 및 개선, 3) 국내외 유관기관과의 정보 공유 및 공조 체계 구축 등을 통해 이중~삼중으로 보안을 단속해야만 한다.

한편 최근 AI를 활용한 사이버 공격의 위험성이 증대되고 있는 가운데, 오히려 AI를 활용해 사이버 공격을 방어해낼 수 있다는 희망도 생겼다. 사이버 보안을 강화하는데 AI기술이 활용된 대표적인 예가 ‘AI 기반 보안 관제’이다. 한 사람이 하루에 수백만 건에 달하는 보안 위협을 분석하는 일은 불가능하지만, AI 기술 덕에 사람의 개입 없이 보안사고로 이어질 가능성이 큰 보안 위협을 찾아내고 위협의 원인과 추후 공격 양상 그리고 잠재적인 공격자 등을 식별해 고객의 주요 자산을 보호할 수 있게 됐다.

우리가 살고 있는 현대의 디지털 사회는 하나의 네트워크로 사회, 경제 등 모두가 연결되는 ‘초연결 구조’이다. 말 그대로 사고가 일어나는 순간 사회, 경제 활동 시스템이 전부 마비될 수도 있다는 의미이다. 따라서 우리가 현관문을 잠그고 외출하는 것이 당연한 일상인 것처럼, 사이버 공간에서의 보안 역시 매우 중요하고 필수적인 일로 인식될 수 있도록 사회적 분위기가 조성되어야만 한다. 아직까지는 정부와 기업, 국민 모두 정보보안 의식이 매우 부족한 상황이지만, 이번 대규모 개인정보 유출 사태로 겪은 혼란을 잊지 않고 계속해서 정보보안 및 개인정보보호 체계를 획기적인 방식으로 개선해 나가야 할 것이다.