◇SKT 해킹사고에 정부와 국회는 일말의 책임이 없을까?
우리나라 대표 통신사업자에서 해킹사고가 발생한 이후, 다수 산학연 전문가들은 사이버안보의 중요성과 함께, 우려성 얘기를 많이 하고 있다. 현재 민·관 합동으로 사고조사와 경찰 수사도 진행 중이라 조심스럽기 하지만, 사고조사 중간발표를 통해 피해 서버와 악성코드가 추가로 확인되었다고 한다. 최종 조사결과에서 또 어떤 결과가 나올지 궁금해진다.
사고가 나면 공격의도와 사고원인보다 누구의 잘못인가를 따지고 책임을 물으려는 것에 무게를 두는 경향이 있다. '모든 보안의 책임은 해당 기관의 장에게 있다'라고 규정하고 있는 것처럼, 보안 부실로 해킹되어 피해가 발생했다면 책임은 당연 SK텔레콤이 져야 할 몫이다.
그러나 좀 더 확대해서 보면 사업자를 감독하는 정부, 사이버안보의 입법 주체인 국회에도 일말의 책임이 있다고 주장하면 잘못된 것일까?
최초 사고인지 후 조사가 장기화되면서 대응이 제대로 되고 있는지? 좀 더 기민하지 않고 느슨한 것은 아닌지? 하는 염려도 있다. 대선 정국으로 사이버안보 컨트롤타워의 기능이 발휘되지 않아서 그럴지 모른다는 얘기는 더욱 서글프게 했다. 어쨌든 앞으로는 국가배후 의심의 해킹조직에 의한 대형 사이버공격에는 부처 소관을 떠나 국가차원에서 접근하여 합동대응하는 모습을 취해야 할 것이다.
그리고 이번 사고로 우리는 어떤 교훈과 시사점을 갖는지 자문하고 답을 찾아야 한다. △공격 주체가 누구이며 공격목적이 무엇인가? △왜 2년이 지나도록 공격 사실을 몰랐는가? △다른 민간 기업들은 안전할까? △개인정보를 사용하지 않고 안전한 신분확인 방법은 없는가? △왜 아직도 사이버안보법이 제정되지 않았나? 등 궁금한 것이 한두개가 아니다.
◇선진국 위상에 맞게 사이버안보, 말이 아닌 행동으로 실행해야!
대형 사고가 발생하면 그 순간 야단법석을 떨다가도 조금만 시간이 지나면 정책과 제도 개선 의지는 이내 흐지부지되고 만다. 가끔씩 대규모 사이버공격으로 조직과 예산이 소폭 늘어나는 것은 다행이나 혁신적인 기대에는 크게 미치지 못한다. 이제는 국민 피해가 발생하기 전에 사전 대비할 수 있는 선견지명의 행동이 필요하다. 과학기술 역량이 곧 국가 경쟁력이며, 국가안보의 핵심요소가 되는 디지털패권 시대에 즈음하여 몇 가지 의견을 나누고자 한다.
첫째, 해킹사실을 조기 탐지(인지) 대응할 수 있도록 체계를 보강하면 좋겠다. 사이버보안을 자율적으로 수행하는 기관들은 외부 간섭이 없다 보니 보안이 소홀하거나 부주의 탓에 치명적인 사고로 이어지는 경향이 있다. 과거 국방망, 법원전산망 그리고 이번 SK텔레콤 해킹 등이 유사한 사례라 할 수 있다.
법원과 SK텔레콤의 경우, 최초 공격된 후 2년이 넘도록 사고를 인지하지 못했다. 공격 초기에 대응하지 못하면 미궁의 사고로 빠져들어 갈 수 확률이 매우 높다. 침투한 해커는 공격이 노출되지 않도록 악성코드를 은닉하거나 공격의 생존성을 지속 유지하기 위해 여타시스템에도 악성코드를 분산 은닉하는 경우가 많다. 피해 서버를 조치하였다고 절대 방심하면 안되며, 가능하면 모든 서버를 점검해야 할 것이다.
이번 계기로 대기업 및 중요시설 대상 레드팀(공격기반)에 의한 연 1회 이상 침투방어훈련을 실시하고, 민관 사이버위협정보 공유 확대, 해킹사고 발생시 신속 신고 및 각 기업은 정기적으로 보안관리 상황을 이사회에 보고토록 하는 것 등을 의무화해야 한다.
둘째, 탈취된 정보로 추가공격이 없었다고 공격목적(유출정보)을 간과하지 않으면 좋겠다. SK텔레콤이 어떻게 공격을 인지하게 되었는지 모르지만, 외국 글로벌 회사에서 악성코드 유포경고와 함께, 한국의 통신사 피해를 언급한 것이 그 계기가 되지 않았을까 짐작을 한다. 2년간 쉽게 노출되지 않는 공격 세력인 점으로 볼 때, 공격주체를 섣불리 추정 해서는 안 되며, 그 공격목적과 탈취자료에 대해서도 다양하게 심층 검토할 필요가 있다.
개인정보를 탈취해 피싱공격 등에 악용하는 것은 낮은 단계의 목적이 될 수 있다. 이번 공격은 적성국에서 우리의 스마트폰 통신을 도청하거나, 문자메시지 절취 등을 위한 의도이거나, 시스템 전체를 장악하여 유사시 사회혼란 목적의 통신마비라는 거대한 목적이 있을 수도 있다. 우리 스스로 위협을 축소하여 더 큰 피해를 방치하는 우를 범하지 않으면 좋겠다. 따라서 다양한 가능성을 두고 후속 조치방안을 강구해야 할 것이다.
셋째, '모바일 신분증'을 활용한 본인 신분확인 방안을 적극 도입하면 좋겠다. 스마트폰으로 생활하는 오늘날에는 온라인 상으로 신분을 확인하는 것은 필수이나, 지금의 '유심 기반'인증 체계는 전화번호 등 이용자 정보를 통신社 서버에 집중 보관·관리해야 함으로써 통신사 해킹시 개인정보가 절취될 수 있는 취약성이 있다. 그리고 각종 일상 서비스에 신분확인 절차로 인한 개인정보 수집·저장이 많다보니 이또한 보안취약 요소라 하겠다.
반면, 블록체인 기반의 모바일 신분증은 통신사에 개인정보를 저장하지 않아 해킹 대응면에서 상대적으로 안전하다. 주민등록증, 운전면허증의 모바일 전환이 본격화되고 있는 만큼 이를 기반으로 한 신원 확인 체계를 구축하고, 민간 서비스에도 이를 적용할 수 있도록 제도적 기반을 마련해야 한다. 이용자 중심의 개인정보 보호는 디지털 시대의 기본 전제가 되어야 한다.
마지막으로, 사이버안보 역량이 우수한 우방국과 협력체계를 결성하는 것이다. 우리나라 대상 국가안보 위협 수준의 사이버공격은 북-중-러 등에 의한 공격이 대부분이다. 특히, 북한 경우에는 하루에 180만건의 공격을 시도하고 있는 것으로 발표된 바 있다. 글로벌 사이버공격은 시·공간적 한계를 초월해 이뤄지기 때문에 사이버안보 역량이 우수한 우방국과의 연합 대응이 절실하다 하겠다.
이에 사이버안보 역량이 우수한 미국·영국·독일·프랑스·일본·호주·이스라엘·싱가포르 등 국가들과 가칭 '사이버G7 플러스'동맹을 결성해, 글로벌 사이버공격에 공조 대응하는 연합 대응체계를 구축하면 좋겠다. 이러한 동맹국의 멤버로서 역할을 잘 수행하고 글로벌 리더십을 위해서는 사이버안보 법률이 조속히 제정돼야 할 것이다. 적성국 해킹조직 모니터링과 위협정보 선제 입수 등으로 국가경제와 국민생활이 피해받지 않도록 해야 할 것이다.
글로벌 디지털패권 시대의 사이버안보는 말이 아닌 행동으로 시작하고 검증되길 바란다.
백종욱 가천대 교수·前 국정원 3차장 baekjo2000@hanmail.net
![[기고] 국정원의 중요 역할은 ‘국가안보 파수꾼’](https://img.segye.com/content/image/2025/06/09/20250609516579.jpg)