망분리 규제 재검토 필요…“N2SF와 AI 활용 동시에 고려해야”
데이터 분리의 새로운 기준…파일이 아닌 셀 단위 분류가 필요

데일리시큐와 카스퍼스키가 공동 주최한 CISO 조찬세미나가 7월 30일 조선팰리스호텔에서 60여 명의 각 분야 CISO 및 보안부서장들이 참석한 가운데 성황리 개최됐다. 이날 고려대학교 정보보호대학원 김승주 교수는 ‘SKT 해킹 사례 및 최근 침해사고가 우리에게 주는 교훈’을 주제로 키노트 발표를 진행했다.
■ SKT 해킹, 우리 보안 패러다임의 구조적 결함을 드러낸 사건
김 교수는 SKT 해킹 사건을 분석하며 “이번 사고는 단순한 침해사고가 아니라, 우리 보안 패러다임의 구조적 결함을 그대로 드러낸 사건”이라고 지적했다. 특히 평문 저장, 망분리 오남용, 암호화 미비, 로그 부재 등 복합적인 요소가 중첩되어 있었음을 강조했다.
김 교수는 먼저 SKT 사건의 전말을 소개하며, 총 9.82GB 분량, 2,695만 7,749건의 유심(USIM) 정보가 유출됐다고 전했다. 유출된 정보에는 IMSI, 인증키(K), 전화번호, IMEI, 통화 상세 기록(CDR) 등 무려 25종의 민감 정보가 포함되어 있었다.
해커는 BPFDoor 계열의 백도어 27종을 포함한 33종의 악성코드를 이용해 28대의 서버를 감염시켰으며, 이 중 3대의 HSS 서버에서 유심정보가 외부로 유출됐다. 김 교수는 “해킹 시도는 최소 2023년 11월 30일부터 2025년 4월 21일까지 지속됐다”며, “사전 탐지가 미흡했던 이유는 로그 관리가 제대로 이루어지지 않았기 때문”이라고 지적했다.
■HSS·EIR·고객인증서버까지…망분리는 있었으나 실효성 없어
김 교수는 SKT 내부망 구조를 소개하며 보안관리의 책임 분산과 망분리의 실효성 부족을 지적했다. 고객관리망과 업무망은 CISO 관할이었지만, 시스템관리망과 코어망(HSS 포함)은 네트워크 부서 영역으로, 정보보호 부서의 관여가 어려운 구조였다.
특히 시스템관리망의 A서버에는 HSS를 포함한 여러 서버의 ID·비밀번호가 평문으로 저장돼 있었으며, 이는 해커가 손쉽게 다른 서버로 확산해 침투하는 통로가 됐다. 고객인증 임시서버 또한 일부 개인정보 및 IMEI가 평문 상태로 저장됐고, 이 또한 유출 여부 확인이 어려운 상태였다.
그는 “이처럼 ‘망이 나뉘어 있다’는 물리적 구분만으로 보안을 담보하기엔 부족하다”며 현실적인 통합 보안관제 체계가 부재했다고 지적했다.
■암호화 기준과 현실의 괴리…K값 암호화조차 일부 통신사만
SKT는 인증키(K) 값을 저장할 때 암호화를 하지 않았던 것으로 알려졌다. 김 교수는 “국내 통신사가 통신 중에는 암호화를 적용하지만 저장 시에는 암호화를 하지 않는 경우가 있다”고 지적했다. 반면 LG유플러스와 KT는 저장 시에도 K값을 암호화하고 있었으며, 이는 국제 이동통신 사업자협회(GSMA)의 권고 기준에 부합하는 방식이다.
또한 통화 상세 기록(CDR)의 경우도 마찬가지로 암호화 없이 저장된 것으로 나타났다. 김 교수는 “CDR은 사용자의 통화 위치, 통화 시간, 통화 대상, 단말기 정보 등 민감한 메타데이터의 집합”이라며, “국가 지원을 받는 해커라면 이 데이터를 통해 특정 인물의 행적까지 파악할 수 있다”고 경고했다.
■평문 저장과 로그 부재…기초 보안 원칙조차 지켜지지 않았다
SKT의 내부 서버 일부에서는 평문으로 민감 정보가 저장되어 있었고, 해당 정보가 외부로 유출됐는지조차 확인할 수 없을 만큼 로그가 미비했다. 김 교수는 “이처럼 기본적인 보안수칙이 지켜지지 않으면, 최신 보안 솔루션을 도입해도 무용지물”이라고 지적했다.
또한 초기 악성코드 침투 시점을 분석한 결과, 공격자는 A서버에 저장된 ID·PW를 이용해 장기간에 걸쳐 다른 서버로 확산하며 공격 범위를 넓혀갔다. 특히 유심정보가 저장된 HSS 서버 3대가 공격받은 시점은 2025년 4월 18일로, 다단계 침투의 최종 목적지가 중요 정보 서버였음이 확인됐다.
■망분리 규제 재검토 필요…“N2SF와 AI 활용 동시에 고려해야”
이어 김 교수는 한국이 2006년부터 시행해온 ‘망분리’ 정책이 시대에 맞지 않는다고 지적했다. 그는 “지금은 AI, 클라우드, 데이터 활용이 필수인 시대”라며, “이런 환경에서 기존 망분리 규제가 기업의 보안 강화를 방해하는 도구가 되어선 안 된다”고 말했다.
그 대안으로 김 교수는 국가 네트워크 보안 프레임워크(N2SF)와 제로트러스트(Zero Trust) 개념의 도입을 제안했다. N2SF(National Network Security Framework) 가이드라인은 데이터를 보안등급에 따라 Classified, Sensitive, Open으로 나누고, 이를 기반으로 망을 구성해 활용과 보호를 동시에 달성하자는 개념이다.
그는 “해외처럼 인터넷, 인트라넷, 클라우드망에 대해 ‘활용과 보호’라는 이중 목표를 실현할 수 있도록 보안정책을 정교화할 필요가 있다”고 강조했다.

■데이터 분리의 새로운 기준…파일이 아닌 셀 단위 분류가 필요
더불어 김 교수는 기존의 망분리 정책뿐 아니라, 데이터 분류 및 보호 체계 전반의 혁신 필요성을 강조했다. 그는 “현재 한국은 파일 단위 분류에 머물러 있지만, 앞으로는 데이터베이스의 셀 단위까지 중요도를 부여하는 방식으로 전환해야 한다”고 강조했다.
그는 미국 팔란티어(Palantir)를 예로들며 “팔란티어는 데이터베이스의 각 셀에 보안 등급을 매긴 후 AI 기반 자동 분류를 통해 제로트러스트 기반 보안 모델을 실현한다”고 소개했다. 그는 이어 “우리나라에도 이와 같은 ‘데이터 클래시피케이션 마켓’이 필수적으로 도입되어야 하며, 보안 담당자들은 이를 선제적으로 준비해야 한다”고 말했다.
데이터 클래시피케이션 마켓(Data Classification Market)이란, 조직이 보유한 데이터를 중요도나 민감도에 따라 분류하고 관리하는 데 필요한 기술, 솔루션, 서비스들을 제공하는 산업 시장을 의미한다. 이 시장은 보안, 개인정보 보호, 규제 준수, 효율적인 데이터 활용을 위해 빠르게 성장하고 있는 분야다.
이와 관련해 김 교수는 “지금 우리가 고민해야 할 것은 마이크로 세그멘테이션”이라며 “AI와 클라우드 활용이 필수인 시대에 물리적 망분리는 시대착오적일 수 있다”고 경고했다.
오픈 데이터는 인터넷과 연결된 영역에서 활용하고, 민감정보는 분리된 망에서 처리하되, 이 모든 것을 논리적으로 연결해 활용과 통제를 병행해야 한다는 것. 기존의 ‘모든 것은 폐쇄망에 넣으면 안전하다’는 사고는 이제 바뀌어야 한다고 강조했다.
■기업 보안, 세 부류로 나뉠 것…“변화하지 않으면 해킹 당한다”
김 교수는 마지막으로 “앞으로 기업은 세 가지 유형으로 나뉠 것”이라고 말했다. 첫째는 망분리 개선과 AI·클라우드 활용을 동시에 잘하는 기업, 둘째는 기존 망분리 체계를 유지한 채 비공식적으로 AI를 도입하다 해킹을 당하는 기업, 셋째는 아무것도 하지 않고 제도 탓만 하는 기업이다.
그는 “제도가 없어서 보안을 못하는 것이 아니라, 제도가 바뀌어도 내부 의지와 인식이 없으면 아무것도 달라지지 않는다”며, “이번 SKT 사건은 모든 보안담당자들에게 강력한 경고 메시지를 던진 것”이라고 말했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★