먹잇감 많은데 담장은 허술, 해커 무법지대 된 대한민국

뻥 뚫린 카드·통신사의 보안시스템
해커들의 먹잇감으로 전락
곳곳 뚫리는데, 보안 인력은 ‘태부족’

대한민국의 보안 난맥상이 연일 터져 나오고 있다. 무려 2,300만 명의 개인 정보가 유출된 SK텔레콤 해킹 사태에 이어 KT 무단 소액결제 피해까지 발생하면서 통신사들이 해킹 공포에 휩싸였다. 뿐만 아니라 롯데카드, 예스24 등 주요 기업도 해킹 피해에 시달리는 등 우리 기업들이 해커들의 놀잇감으로 전락한 모양새다.

KT 해킹 ‘끝이 없다’

23일 국회 과학기술정보방송통신위원회 소속 국민의힘 김장겸 의원실이 KT로부터 제출받은 자료에 따르면 소액결제 피해자 362명 가운데 20년 이상 장기 가입자도 10명 포함된 것으로 나타났다. 연도별로는 1999년 가입자 3명, 2000년 2명, 2002년 1명, 2004년 4명 등이다. 가장 최근 피해자는 올해 7월 7일 KT에 신규 가입한 고객으로 확인됐다. 현재까지 집계된 피해자 362명 중에는 KT 고객이 아닌 KT 망을 이용하는 알뜰폰 가입자도 59명 포함됐다. 연령별로는 40대가 95명으로 가장 많았고, 30대와 50대가 각각 90명이었다. 20대 피해자는 36명, 60대 이상은 51명으로 전 세대에 걸쳐 피해가 발생했다.

피해 지역 역시 당초 알려진 서울 서남권·경기 일부 지역을 넘어 서울 서초·동작구, 경기 고양시 일산동구 등에서도 일어난 것으로 드러났다. 공격자들이 범인들이 불법 초소형 기지국(펨토셀)을 승합차에 싣고 다니면서 범행한 만큼, 피해 지역이 추가로 드러날 가능성도 있다. KT가 파악한 소액결제 피해 건수 또한 1차 발표 당시 527건에서 764건으로 늘었고, 피해액은 2억4,000만원 선이다. 그러나 아직 피해 사실을 인지하지 못한 사람들이 있을 수도 있어 소액결제 피해 규모는 더 커질 것으로 관측된다.

이번 사태에서 KT의 말은 계속 바뀌었다. 사건 초기 “개인정보 해킹 정황은 없다”고 단언했지만, 이후 입장을 연이어 수정했다. 11일 열린 첫 브리핑에서는 펨토셀 2개를 통해 1만9,000여 명이 신호를 수신했고, 이 중 5,561명의 국제이동가입자식별번호(IMSI)가 유출된 정황을 확인했다고 발표했다. 당시 피해자는 278명, 피해액은 1억7,000만원이었다. 그러나 18일 열린 2차 브리핑에서는 범행에 동원된 펨토셀 수가 4개로 늘었다. 총 2만30명이 신호를 수신했고, IMSI뿐 아니라 국제단말기식별번호(IMEI)와 휴대폰 번호까지 유출됐다고 정정했다.

국내 보안 인프라 전반 위기

최근 국내 해킹 사고는 꼬리를 물고 이어지고 있다. 4월 SK텔레콤의 유심 정보 대량 유출에 이어 국내 체류 중국인 범죄자가 불법 이동식 기지국을 이용해 KT의 전파를 가로채 소액결제에 악용한 신종 수법이 등장했고, 롯데카드에선 280만 명의 신용카드 비밀번호, 유효기간, 세 자릿수 보안코드(CVC)가 유출돼 후속 범죄 가능성까지 제기된다. 우리 사회의 높은 디지털화 수준이 해킹 범죄 앞에서 오히려 취약점이 되고 있는 셈이다.

전문가들은 일련의 사건들을 단순 해킹 피해가 아니라 국내 보안 인프라 전반의 위기로 보고 있다. 한국인터넷진흥원(KISA)에 따르면 2002년부터 이달 14일까지 접수된 사이버 침해신고 건수는 7,198건으로 집계됐다. 금융위원회 소관 금융회사 해킹 사례까지 포함된 수치다. 연도별로는 2020년과 2021년 각 603건, 640건 정도였는데 2022년 1,142건으로 급증했다. 이후 2023년 1,277건, 지난해 1,887건으로 매년 늘어나는 추세다. 올해는 이달 중순까지만 해도 1,649건으로 지난해 연간 건수에 근접했다.

기업 규모별로 살펴보면 중소기업이 5,907건(82%)으로 가장 많았다. 그다음 중견기업 592건, 대기업 242건 순이다. 비영리기업도 457건이다. 대기업은 상대적으로 해킹 건수가 적지만 기업수 자체가 적은 영향도 있다. 다수의 고객 정보를 보유한 대기업은 해킹 피해가 발생하면 파급력 역시 클 수 밖에 없다.

유형별로는 시스템 해킹이 4,354건(60.5%)으로 가장 많았다. 또 악성코드 감염·유포 1,502건(20.9%), 디도스 공격 1,342건(18.6%)이 뒤따랐다. 특히 시스템 해킹은 2020년 250건으로 그 해 발생한 침해사고 603건 중 41.4%였으나 지난해는 1,887건 중 1,373건으로 비중이 72.8%까지 증가했다. 지난 2023년 시스템 해킹신고가 764건이었던 것과 비교하면 1년 사이 2배가량 뛴 수치다. 올해도 전체 1,649건 중 1,011건(61.3%)이 시스템 해킹으로 집계됐다.

정부 지원 보안 인재 양성, 年 40명 불과

이런 상황 속 이번 KT 소액 결제 해킹 사고는 향후 금융권에 대한 경종을 울리는 신호탄 격으로 평가된다. 오래된 백신 소프트웨어에만 의존하다간 대형 금융 사고로 이어질 수도 있는 상황이기 때문이다. 전문 보안 인력이 부족한 중소기업의 경우 해킹 공격 자체를 인식하지 못하는 사례도 비일비재하다. 결국 해킹을 막으려면 보안 투자를 늘리는 수밖에 없다. 고객 3분의 1에 해당하는 정보가 유출된 롯데카드의 경우 10년 전 해킹을 당하고도 보안패치를 설치하지 않은 게 원인이었다.

하지만 보안 투자와 인력풀은 태부족한 상황이다. KISA 정보보호 공시 종합 포털이 집계한 국내 773개 기업의 2024년 IT 부문 투자 대비 정보보호 부문 투자 비중은 6.29%로, 2021년 이후 4년째 6%대 초반에 머물고 있다. 미국의 사이버 보안 예산 비중과 비교해 절반에 불과하다. 최근 1년 내 보안 인력을 채용한 기업도 7.6%에 불과했으며, 향후 1년 내 채용 계획을 세운 기업도 33.2%에 그쳤다. 기업들이 채용 계획을 마련하지 못한 가장 큰 이유로는 ‘적합한 수준의 보안 인력을 구하기 어렵다’는 점이 꼽혔다.

국내 기업 중 일부는 사이버 보안 인력을 아예 채용조차 않는 경우도 있다. 한국정보보호산업협회(KISIA)가 발간한 ‘2024년 사이버 보안 인력 수급 실태조사’에 따르면 사이버 보안 인력이 없는 기업 비율이 24%에 달했다. 정보보호 분야를 당장의 매출에 도움이 되지 않는 ‘보험성 투자’라 생각하는 경향이 강하기 때문으로 풀이된다. 조영철 한국정보보호산업협회장은 “보안 분야는 즉각적인 매출이나 성과가 가시화되지 않기 때문에 단기 실적 중심 기업 의사 결정에서 후순위로 밀리는 경우가 적지 않다”고 말했다.

정부 지원으로 양성되는 대학 보안 인력도 턱없이 부족하다. 과학기술정보통신부에 따르면 정부의 '융합보안 핵심 인재 양성 지원사업'을 통해 고려대·성균관대·강원대 등 8개 대학에서 배출되는 인력 규모는 2019년부터 올해까지 325명으로 집계됐다. 1년에 40.6명꼴이다. 해당 사업은 대학에 산학 연계 프로젝트·실습장 구축 등을 포함해 6년간 총 60억원가량을 지원한다. 아직 초창기인 '정보보호 특성화대학교 지원사업'의 졸업생이 2개 대학의 28명에 그치고 있어 현재까진 보안 인력 양성의 주력 창구 역할을 하고 있다. 하지만 해킹 사태가 심화하는 사이 사업 예산이 깎이면서 인력이 더 배출되지 못한 것으로 파악됐다.

이렇다 보니 현장에선 인력이 너무 적어 보안 대응력이 떨어질 수 있다는 위기감이 커지고 있다. 과기정통부에 따르면 지난해 8월 기준 국내 기업 중 겸업 형태로 보안 업무를 담당하는 인력은 5만1,012명에 달했다. 전체 보안 담당자(7만9,963명)의 63.8% 수준이다. 반면 전업 담당자는 2만2,747명(28.4%)에 불과했다. 신입 사이버 보안 인력 확보가 어려운 이유를 묻자 응답한 5,709개 기업 중 28.4%(1,621개) 기업이 '해당 분야 인력풀 부족'을 1순위로 꼽았다.