사진 확대

내부 서버로 침투해 수년간 잠복하며 데이터를 빼가는 백도어 공격부터, 데이터를 잠그고 금전을 요구하는 랜섬웨어 공격까지 다양한 사이버 공격이 한국에서 빗발치고 있다. 통신3사부터 최대 이커머스 플랫폼인 쿠팡을 포함해 지난 2025년에는 크고 작은 피해 사례가 이어졌다. 약 2300만 명의 유심 정보가 탈취당한 SK텔레콤, 3300만 명 정보가 유출된 쿠팡 등 전 국민의 절반 가량이 영향권에 들었던 대형 사고도 여러 건 발생했다. 랜섬웨어에 당해 닷새간 서비스가 마비된 예스24,297만 명의 고객 정보가 새어 나간 롯데카드 등도 모두 지난해 발생했다.

이중 일부 사례는 지난해 최초 확인되었지만 수년 전부터 사이버 공격을 당하고 있었던 경우도 여럿 있었다. SKT 사례의 경우 지난해 피해 상황이 확인되었지만, 최초로 백도어 악성코드가 SKT 서버에 침투한 것은 무려 4년 전인 2021년으로 드러났다. KT도 마찬가지로 2022년부터 서버가 악성코드에 감염된 것으로 확인되기도 했다.

보안 전문가들은 한국의 사이버 보안 환경에는 이전부터 구조적인 약점이 존재해왔다고 보고 있다. 이를 파고드는 공격이 최근 들어서야 수면 위로 드러나고 있으며, 해가 지날수록 더 거세지는 추세라고 분석한다.

사진 확대

보안 기업 트렐릭스의 분석에 따르면 2025년 2·3분기 발생한 사이버 공격을 집계한 결과, 한국은 가장 많은 공격을 받은 국가중 미국(1위)에 이어 2위를 기록했다. 그동안 집계에서도 한국은 항상 10위 안에 들며 5위권을 차지했는데, 지난해 순위가 더욱 올라갔다.

전 세계 국가 중 사이버 공격 집단이 한국을 탐내는 이유는 공격이 성공했을 때 그만큼 많은 것을 얻을 수 있는 시장이 한국이기 때문이다.

한 화이트해커는 “공격자 입장에서 한국은 ROI(투자수익률)가 높은 시장”이라며 “일부 기업만 뚫으면 대규모 데이터를 확보할 수 있다”라고 설명했다.

한국은 대부분의 국민이 스마트폰을 사용하고 있는, 인터넷과 스마트폰 보급률이 세계 최고 수준인 국가다. 한국갤럽이 지난해 7월 진행한 설문조사에 따르면 2020년 93%를 기록했던 스마트폰 사용률은 지난해 99%로 상승했다. 70대 이상도 91%가 스마트폰을 사용할 정도다.

또한 스마트폰 하나로 온라인 뱅킹부터 공문서 발급, 의료 서비스를 이용할 수 있는 모든 것이 연결된 환경을 갖췄다. 이러한 환경은 이용자 입장에서는 큰 편리함으로 작용하지만, 사이버 보안 측면에서는 공격할 수 있는 지점이 더 많아지는 것으로 볼 수 있다. 특히 코로나19 팬데믹으로 비대면 업무 환경 등 비대면 기반 디지털 전환이 더욱 가속화되면서 이같은 공격 지점은 더욱 확대됐다.

이는 기업뿐만 아니라 개인 스마트폰을 해킹하기 위한 피싱 공격이 점차 증가하는 것도 같은 맥락이다.

문자 메시지로 금전 결제를 유도하거나 악성 앱을 설치하도록 하는 스미싱의 경우 2023년 50만 3300건에서 지난해 8월 기준 118만 9511건으로 급증했다.

스미싱은 장례식 안내 문자, 모바일청첩장, 과태료 안내 등 일반적인 문자처럼 위장하면서 이용자에게 개인정보 입력을 안내하거나, 링크를 누르면 악성 앱이 설치되도록 한다. 이를 깔게 되면 스마트폰 내 앱 제어 권한이 넘어가거나, 이용자 메신저를 통한 추가 악성코드 유포가 진행되면서 빠르게 피해가 확산될 수 있는 것이다.

또한 한국의 특수한 지점은 이처럼 잘 갖춰진 디지털 인프라를 기반으로 소수의 대기업과 정부, 공공 기관에 상당한 양의 데이터가 집중되어 있다는 것이다.

SKT나 쿠팡 사례에서도 볼 수 있듯 한국은 시장 구조상 소수 기업이 다수 이용자를 확보하고 있는 경우가 많아, 한 곳의 기업 침투에 성공한다면 수천만 명의 정보를 캐낼 수 있는 환경이다. 다량의 민감정보를 확보하고 있는 통신사, 금융사, 정부 등에 대형 공격이 집중되고 있는 것도 같은 배경이다.

사진 확대

경제 성장과 디지털 인프라 확충은 빠르게 이루어졌지만, 이를 지키는 보안 수준은 따라오지 못하고 있는 것도 잇따른 해킹 사태의 배경으로 꼽힌다.

과학기술정보통신부가 국내 기업체를 조사해 지난해 발표한 ‘2024년 정보보호 실태조사’에 따르면 정보보호 예산을 사용하지 않는 기업이 50.1%에 달했으며, 정보보호 예산을 사용하는 기업 중에서도 75.8%가 ‘예산 총액이 500만원 미만’이라고 답했다. 이를 추산해보면 약 87.9%의 기업이 정보보호 예산에 아예 투자하지 않거나, 500만원 미만으로 쓰고 있는 것이다.

보안업계 관계자는 “한국 조직은 빠른 서비스 출시나 사업 성장을 우선시하는 반면 보안 투자는 후순위로 두는 경향이 많다”라고 설명했다.

연 매출액 3000억원 이상, 이용자 100만 명 이상 사업자 등 중견기업 이상의 큰 규모 사업체의 보안 투자를 집계하는 ‘정보보호 공시’를 살펴봐도, 이들의 평균 정보기술(IT) 투자 대비 정보보호 투자 비중은 6.29%에 그쳤다. 미국 기업의 보안 투자 비율(13.2%)의 절반에도 못 미치는 수준이다.

특히 많은 침해 사고가 고도화된 공격에 따른 불가항력인 경우도 있겠지만, 기본적인 보안 준수 사항을 지키지 않아 피해가 커진 경우도 많다.

지난해 서버 해킹 정황이 드러난 LG유플러스의 경우 시스템 소스코드에 백도어에 접속할 수 있는 비밀번호, 계정 관리에 필요한 비밀번호 등을 암호화하지 않은 채 평문으로 노출한 것으로 파악됐다. 또한 불법 초소형 기지국(펨토셀)을 활용한 무단 소액결제 사고가 발생했던 KT의 경우 KT 펨토셀이 아니더라도 KT 인증서만 있으면 불법 펨토셀도 KT 망에 접속할 수 있는 상태였던 것으로 드러나기도 했다. 또한 모든 펨토셀이 동일한 인증서를 사용하고 있어, 하나의 펨토셀만 구해 인증서를 복사하면 이를 KT 펨토셀처럼 사용할 수 있는 상황이었다.

사진 확대

다른 기업 사례에서도 주요 관리자 계정이나 서버 비밀번호를 ‘1111’ ‘1234’ 등 단순한 패턴으로 만들어 사용해 탈취에 취약한 상태로 운영한 경우가 많았다.

잇따른 공격에서 이같은 취약한 보안이 확인된 만큼 공격 집단은 한국에 대한 공격 수위를 올리는 것이다.

내부에 침투해 모든 데이터를 암호화한 다음, 데이터 복구를 원할 경우 금전을 요구하는 랜섬웨어 공격이 한국에서 급증하고 있다는 점도 비슷한 맥락이다. AI 보안 기업 S2W에 따르면 2025년 한국 랜섬웨어 피해 건수는 60건으로 2024년(6건) 대비 10배 뛰었다.

예스24의 경우 지난해 6월 랜섬웨어 피해를 입으며 웹사이트 등 서비스가 닷새간 먹통이 됐는데, 이후 8월에 추가로 랜섬웨어 공격을 당하기도 했다. 랜섬웨어 급증의 배경에는 국내 환경이 공격자 입장에서 매력적인 이유도 있겠지만, 기업의 낮은 복원력과 미흡한 사고 대응 관행이 영향을 줬다는 분석도 나온다.

특히 예스24는 피해 복구 과정에서 공격 집단에 몸값(랜섬)을 지불한 것으로 알려졌는데, 백업 데이터가 없어 협상이 불가피한 상황에서는 몸값 지불이 최후의 수단으로 사용될 수 있으나 권장되지 않는다. 김재기 S2W 위협인 텔리전스센터장은 “몸값을 지불한 기업은 공격자들 사이에서 ‘지불 의사가 있는 표적’으로 인식되어 반복적인 공격에 노출되는 악순환에 빠질 가능성이 높다”라고 설명했다.

또한 백업 시스템을 갖춘 경우에도, 백업 데이터까지 암호화되거나 삭제되는 상황에 대한 대책이나 복구 시나리오가 미비하다는 점도 국내 기업들의 약점으로 꼽힌다. 2026년 새해에도 구몬학습과 빨간펜 등을 운영하는 교원그룹이 랜섬웨어 공격을 당했다. 지난해 9월 국가정보자원관리원 대전센터 화재로 인해 국가전산망이 마비됐던 사례도 한국의 미흡한 사이버 복원력을 여실히 보여준다. 당시 대전센터 전산실에서 발생한 화재로 인해 주민등록등본 발급과 같은 작업부터 공무원 업무 시스템까지 709개의 행정정보시스템이 장애를 겪었다. 완전 복구되기까지는 95일이 걸렸다.

사진 확대

정부도 지난해 잇따라 해킹이 발생한 이후 같은 해 10월 “현 상황을 국가비상사태에 준하는 위기 상황으로 받아들이고 있다”라며 범부처 정보보호 종합대책을 발표했다. 당시 나왔던 범부처 대책의 핵심 중 하나는 정보보호공시 의무 대상을 전체 상장사로 확대하는 것이다. 일정 규모 이상의 기업에만 부과하던 공시 의무를 유가증권시장, 코스닥의 모든 상장사로 확대해 이들이 정보보호 투자 현황을 매년 공개하도록 함으로써 기업들의 보안 투자를 이끌어낸다는 계획이다.

1월 과학기술정보통신부는 해당 안 추진을 위한 정보보호산업법 시행령 개정안을 입법예고했으며, 후속 절차를 거쳐 2027년 정보보호 공시부터 적용되도록 진행하고 있다. 국내 기업들은 그동안 보안 영역을 비용으로 간주하고 소극적으로 투자를 진행해왔는데, 이러한 접근법을 전환하기 위함이다.

반복적인 개인 정보 유출 발생 시 처벌 수위를 높이는 것도 추진하고 있다. 개인정보보호위원회는 기업에서 반복적이고 중대한 유출 사고에 대해서는 매출액의 최대 10%까지 징벌적 과징금을 부과하는 방안을 도입할 예정이다. 또한 기업 최고경영자(CEO)의 책임 원칙을 강화하도록 해당 책임을 법령상 명문화하는 방안도 추진하고, 기존에는 기업이 침해 사실을 신고해야 정부가 조사에 나설 수 있었던 제도를 보완해 침해 정황이 확인되면 기업 신고 없이도 먼저 조사할 수 있도록 정부의 조사 권한을 확대한다.

다만 과징금 상향과 의무 강화로 기업 부담이 커질 전망인 가운데, 실질적으로 기업의 자발적인 노력을 유도하고 신고를 끌어내기 위해서는 인센티브까지 고려한 정책이 필요하다는 이야기도 나온다. 유출 사실이 공개될 경우 기업은 이미지 타격과 함께 과징금 대상이 되기에, 해킹 피해를 입어도 쉬쉬하고 사실을 신고하지 않는 경우도 많기 때문이다. 2024년 정보보호 실태조사에 따르면, 침해사고를 경험한 기업체 중 당국에 침해사고를 신고하지 않은 비율은 무려 80.4%에 달했다.

정부는 추가로 중장기 정보보호 대책을 담은 ‘국가 사이버안보 전략’ 마련에도 착수한 상태이며, 지난해 공개 목표였으나 다소 지연되고 있는 상황이다.

[정호준 기자]