해커는 AI로 덤비는데…‘3600만 건 고객 정보 줄줄’ 기업 구멍 난 보안 실태

[일요신문] 외식·프랜차이즈 기업 파파존스·써브웨이, 인터넷 서점 YES(예스)24, 명품 브랜드 디올·티파니, 편의점 GS25, 홈쇼핑 GS샵… 올 상반기에 업종을 불문하고 다양한 기업에서 고객 개인정보 유출과 서비스 장애 사고가 발생했다. 지난 4월에는 SK텔레콤 해킹 사고로 고객들의 유심(USIM·가입자식별장치) 정보가 가입자 식별키(IMSI) 기준 약 2695만 건이 유출돼 사회적 파장이 컸다.

코로나19를 계기로 온라인 기반 활동이 급격히 늘면서 기업들이 자연스레 보유량을 늘린 고객 개인정보가 해커들의 먹잇감이 되고 있다. 해킹 관련 수법의 진화 속도도 점차 높아지고 있다. 반면 기업들의 개인정보 관리 방식이나 보안 수준은 이에 크게 못 미쳐 잇단 대규모 유출 사고를 초래하고 있다는 지적이 쏟아진다. 

한국인터넷진흥원(KISA)에 따르면 신고가 접수된 국내 사이버 침해 사고 건수는 2023년 기준 1277건에서 지난해 1887건으로 48% 증가했다. 개인정보보호위원회(개인정보위)가 발표한 ‘개인정보 유출 사고 현황’ 자료를 보면 2022~2024년 3년간 유출 신고 건수는 매년 약 300건 수준을 유지해왔으나 올해 1~4월 4개월 만에 총 113건이 신고되면서 급속히 증가하고 있는 것으로 나타났다. 같은 기간 유출 사고로 인한 개인정보 유출 건수는 SK텔레콤 사고를 포함해 약 3600만 건으로 집계됐다.

기업 웹사이트나 애플리케이션(앱) 등을 통한 개인 정보 유출 사고는 대부분 랜섬웨어 감염이나 해킹 피해로 인한 것으로 정리된다. 개인정보위가 발표한 2024년 정보보호 실태조사에 따르면 정보 침해사고를 경험한 기업들을 대상으로 설문한 결과(복수 응답) 랜섬웨어 감염이 51%로 가장 많았고, 외부로부터 침투한 비인가 접근(해킹)이 46.6%, 컴퓨터 바이러스·웜·트로이잔·APT(지능형 지속 공격)로 인한 IT시스템 마비가 33.8% 등으로 나타났다.

국내 한 기업의 정보보호 최고책임자(CISO)는 ‘일요신문i’에 “과거에는 단순히 데이터를 훔치거나 파괴하는 움직임을 보였다면 해킹 트렌드가 바뀌면서 악성코드를 심어두고 잠복하는 경우도 많아 수년이 지나서야 인지하게 되는 사례도 늘고 있다”며 “최근에 의도를 알 수 없는 해킹 시도나 서비스 취약 부분에 대한 스캐닝 활동 등 이상 수치가 늘어난 걸 느낀다”고 전했다.

해킹 수법은 지속적으로 진화, 고도화하는 반면 온라인 기반 서비스나 재택근무가 활성화하는 사이 오히려 개인 정보 보안은 취약해져 침해나 유출 사고가 증가했다. 박기웅 세종대 정보보호학과 교수는 ‘일요신문i’에 “비대면 온라인 서비스가 증가하면서 네트워크 통신을 기반으로 하는 거래가 많아졌다. 그만큼 정보량도 늘었고, 탈취한 개인 정보로 할 수 있는 일도 증가했다”고 설명했다. 

회사 사무실에서만 일할 때는 온프레미스(On-premises·기업이 자체 시설에서 서버와 인프라를 직접 소유·운영) 방식의 데이터 운용이 보안에 적합했지만 재택근무로 VPN(가상사설망·공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥의 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망) 사용이 일반화돼 취약점이 커진 것으로 진단된다.   

한 기업의 정보보호 책임자는 “예전 레거시(정보 시스템에서 낡은 하드웨어나 소프트웨어를 통틀어 이르는 말) 온프레미스 환경에서 근무하던 때와 달리 외부에서 근무하는 과정에서 시스템이 노출되기도 하고, VPN도 예전에는 긴급 상황에서만 쓰이던 것이 지금은 일반화되면서 그만큼 보안 위험성이 증가했다”며 “재택근무 환경에 맞는 업무 도구나 솔루션을 제공하는 것은 쉽지만 보안을 그에 맞게 이동·변형하는 것은 어려운 일”이라고 설명했다. 

기본적인 보안 책무를 충족하지 않아 발생하는 개인정보 유출 사고도 여전히 많다. 최근 외식 프랜차이즈 기업 파파존스와 써브웨이는 일반인이 별도 인증절차 없이 다른 고객의 주문 정보 내역을 확인할 수 있는 것이 밝혀져 취약한 보안 관리 상황을 드러냈다. 개인정보위에 따르면 두 기업 모두 홈페이지 주소(URL) 뒤에 붙는 숫자를 바꾸면 다른 고객의 이름·전화번호 등 개인정보가 별도 인증절차 없이 확인 가능한 상태로 운영돼 왔다.

문광석 한국정보공학기술사회 미래융합기술원장은 “아주 초보적인 실수의 케이스로, 보안 투자가 거의 이뤄지지 않았다고 보는 게 맞다. 지속적인 보안 점검이 이뤄졌다면 일어날 수 없는 일”이라며 “정보통신망법에서 규정하고 있는 가장 기본적인 홈페이지 점검과 검증부터 충실히 행해져야 한다”고 지적했다.

기업 보안 기술이나 방식이 사실상 코로나19 이전 수준에 머물러 있다는 점이 근본적 문제로 지적된다. 보안 전문기업 아스트론시큐리티 조근석 대표는 “기업들의 보안 관련 예산 규모는 늘 제자리걸음으로 고정적인 자원으로는 새로운 (보안) 솔루션을 도입하기 어렵다”며 “이렇게 되면 정보 유출뿐 아니라 비즈니스 연속성 보장에도 어려움을 겪을 수 있다”고 지적했다.

박기웅 교수는 “정보보안 전문가를 데려오기보다 여러 보직을 거친 관리직을 정보보안 담당자로 앉히거나 작은 규모의 기업은 외주에 맡기는 일이 비일비재하다”며 “지속적으로 (해킹) 공격 기법이 빠르게 바뀌는 상황에 기업은 이렇게 대응하고 있어 그 격차가 허점으로 드러난 것”이라고 지적했다.

개인정보위의 2024년 정보보호 실태조사에 따르면 기업체의 정보보호 조직 보유율은 32.6%, 이 중 겸임조직이 29.1%로 전담 조직 보유율은 3%에 불과했다. 정보보호 관련 책임자(CIO) 임명 비율도 55.9%로 절반 수준, 정보보호최고책임자(CISO) 임명 비율은 18.1%에 그쳤다.

보안업계 한 관계자는 “IT기반 비즈니스 구조를 가진 기업들이 많아졌음에도 핵심 인력은 여전히 경영·마케팅 등을 중심으로 운영되기 때문에 기업 보안이 얼마나 중요한지 인지하지 못하는 것 같다”며 “SK텔레콤 사태만 보더라도 그룹 계열사인 SK하이닉스의 해외 수출에 영향을 미칠 수 있는 일이다. 수출로 먹고 사는 나라에서 보안이 뚫린 기업의 제품을 누가 믿고 사겠나. 단순히 (보안을 위한 인력·인프라를 구축하는 것을) 비용이 나가는 일로 생각해선 안 된다”고 꼬집었다.

박기웅 교수는 “보안을 비용적인 측면에서만 생각했던 기업들이 SK텔레콤 사태를 보고 보안이 뚫렸을 때 기업의 운명이 좌지우지될 만큼 손해가 클 수 있다는 것을 깨닫게 됐을 것”이라며 “ISMS-P(개인정보보호 관리체계)를 최소한의 기준으로 삼고 보안에 진심인 기업 문화가 생겨나야 할 것”이라고 제언했다. 

김정아 기자 ja.kim@ilyo.co.kr