|
김휘강 고려대 정보보호대학원 교수는 23일 서울 송파구 한국광고문화회관에서 열린 ‘2025년 하반기 개인정보 정책포럼’에서 이같이 말했다. 그는 “최근 해킹 사고들은 자산 식별과 공격 표면 관리 실패에서 비롯됐다”며 “기초적인 보안 관리만 제대로 됐어도 대부분의 사고는 막을 수 있었다”고 지적했다.
“대기업도 뚫린다? 기초 관리 부실이 해킹 원인”
김 교수는 최근 통신·금융권을 중심으로 대형 정보유출이 이어지는 현실을 두고 “조금만 주의를 기울였다면 대형 사고로까지는 가지 않았을 사례가 많다”고 짚었다. 그러면서 “기업들이 자산 식별에 실패했고, 방치된 서버나 구버전 운영체제(OS), 관리되지 않은 SSL-VPN(내부망 원격접속) 장비가 해킹의 주요 원인이 됐다”고 진단했다.
그는 “프런트라인(경계 보안)에 투자하면서도 내부망 보안에는 그 반의반 수준만 쓰는 구조가 문제”라며 “침입 이후 로그 관리나 이상행위 탐지가 부실해 내부 확산을 막지 못한다”고 꼬집었다.
김 교수는 최근 정부가 범부처 정보보호 종합대책을 발표한 상황을 언급하며 “우리나라의 “CTI(사이버 위협 인텔리전스) 운용 실패가 논란이 됐다”며 “해외에서는 중국·북한 해커 그룹의 시스템 내부 동향까지 추적·분석해 공유하는데, 우리는 그런 동향조차 감지하지 못했다는 비판이 있다”고 말했다.
그러나 김 교수는 이 같은 비판이 ‘보안 패배주의’로 흘러선 안 된다고 지적했다. 그는 “‘대기업도 뚫리는데 뭘 해도 소용없다’는 인식은 바람직하지 않은 방향”이라며 “이런 인식이야말로 주의해야 한다”고 역설했다.
김 교수는 “지구상 모든 취약점을 다 막을 수는 없다”며 “실제 공격에 활용되는 취약점부터 우선 대응하는 데이터 기반 접근이 필요하다”고 제언했다. 또 “ISMS(정보보호관리체계) 인증은 완벽함을 증명하는 게 아니라 지속 개선 체계가 있는지를 묻는 제도”라며 “외형적 인증 취득에만 의존하지 말고 자산과 로그, 데이터의 기초 관리부터 강화해야 한다”고 봤다.
“인증제 현실화하고 정부 인력·예산 확보해야”
이어진 패널 토론에선 사전예방 중심의 개인정보 보호 정책을 위한 제언이 이어졌다. 김경하 제이앤시큐리티 대표는 현행 ISMS·ISMS-P 인증 제도의 형식화를 비판하며 “인증의 본질은 체크리스트가 아닌 리스크 관리 체계인데, 정작 위험평가는 형식적으로 수행되고 있다”며 “인증 부여 및 취소, 이행 점검 및 사후 관리에 대한 명확한 기준과 원칙을 세워야 한다”고 말했다.
황희 카카오헬스케어 대표는 “고의적으로 문제를 방치했을 경우 강력한 처벌 규정은 필요하지만, 인증에 성실히 응했다면 지나친 과징금을 부과하기보다 노력을 인정해줘야 한다”고 의견을 보탰다.
신용석 토스페이먼츠 CPO는 정부가 정보보호 투자 비중을 IT 예산의 10%까지 확대하도록 유도하는 방안에 대해 “야심찬 목표지만 달성 불가능한 수준은 아니다”며 “민간 기업 간 선의의 경쟁 구조를 만들어 더 많은 기업이 자발적으로 보안 투자를 확대할 수 있도록 유도해야 한다”고 제언했다.
김도승 전북대 교수는 개인정보보호위원회의 인력과 예산이 턱없이 부족하다고 지적했다. 그는 “AI 3대 강국을 외치면서도 개인정보 보호에는 충분한 재원을 투입하지 않고 있다”며 “과징금을 일반 예산이 아닌 개인정보보호 전용 기금으로 조성해 안정적인 예산을 확보해야 한다”고 제안했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
