"투자 확대로 보안 수준 끌어올려야"
올해 SK텔레콤과 KT, 롯데카드 등에서 연이어 불거진 해킹 사고로 국내 기업의 정보보안 수준에 대한 지적이 이어지고 있다. 민감한 정보를 다루는 금융사와 통신사를 중심으로 정보보안 분야에 대한 투자를 확대하고, 정부·당국에선 보안 전문인력 양성을 확대해 줘야 한다는 목소리가 나온다.
◆KT 무단 소액결제 사건 대응 미흡
KT는 이용자 무단 소액결제 사건 직후 대응이 미흡했다는 지적을 사면서 뭇매를 맞고 있다. 이번 사건에 이용된 초소형 기지국 '펨토셀'의 보안 취약성이 이미 13년 전 연구에서 지적된 바 있다는 주장도 제기됐다.
23일 국회 과학기술정보방송통신위원회 소속 이상휘 국민의힘 의원에 따르면 한국인터넷진흥원(KISA)은 2012년 수행한 '펨토셀 및 GRX 보안 취약점에 대한 연구'에서 펨토셀이 가질 수 있는 보안 위협 29가지를 제시했다.
여기에는 KT 소액결제 피해의 원인으로 지목되는 사용자 인증 토큰 복제나 통신을 주고받는 두 주체 사이 공격자가 몰래 개입해 정보를 가로채거나 조작하는 중간자(MITM) 공격 가능성 등이 포함됐다. 당시 SKT는 펨토셀 상용화에 착수했고 KT는 초고속 인터넷이 결합된 펨토셀 도입을 검토하고 있었다.
◆롯데카드 정보보호 투자 예산 축소
회원 297만명의 정보 유출사고가 터진 롯데카드는 정보보호 투자 관련 예산 비중을 줄여 온 것으로 조사됐다. 강민국 국민의힘 의원실이 금융감독원에서 제출받은 자료에 따르면 롯데카드의 올해 정보보호(인건비 제외) 예산은 96억5천600만원으로 정보기술(IT) 예산인 1천78억4천400만원의 9.0%로 집계됐다. 2020년 IT 대비 정보보호 예산 비중인 14.2%에서 5.2%포인트(p) 급감한 것이다.
롯데카드의 정보보호 예산 비중 하락 폭은 8개 전업 카드사 가운데 가장 컸다. 같은 기간 국민카드는 14.9%로 4.6%p, 현대카드 10.2%로 2.1%p, 하나카드 10.7%로 0.4%p 정보보호 예산 비중을 각각 늘렸다. 우리카드(-4.4%p), 삼성카드(-3.0%p), 비씨카드(-1.3%p), 신한카드(-0.7%p) 등의 하락 폭보다도 크다.
롯데카드가 지난 2017년 발견된 온라인 결제서버 취약점에 보안 패치를 적용하지 않은 것이 이번 해킹 사고의 결정적 원인이라는 지적도 제기된 상태다. 조좌진 롯데카드 사장은 최근 기자간담회에서 "보안 패치 업데이트 안내가 2017년 내려왔는데 이를 놓쳤다"고 말한 바 있다.
◆보안 인식 부족…인력·투자 확대해야
보안 인식도 부족한 수준이다. 과학기술정보통신부와 한국정보보호산업협회가 발표한 '2024 정보보호 실태조사'에 따르면 침해사고를 경험한 기업 가운데 '별다른 대응 활동을 하지 않았다'는 응답이 67%로 나타났다.
대응에 나선 경우는 '보안 솔루션 구축·고도화'(11.7%), '위탁관리 업체에 피해 보상 요구'(11.3%), '내부 정책 수립·수정'(9.3%) 수준에 그쳤고, 전문기관 자문을 받은 경우는 1.5%에 불과했다.
관련 업계에선 정보보안 투자 확대와 함께 정부 차원의 전문인력 양성이 필요하다는 목소리가 크다. 산업 다양화에 따라 사이버 공격 수법이 점차 정교해지고 있는 만큼 범부처 차원의 통합 사이버보안 컨트롤타워를 만들 필요성도 제기된다.
보안업계 관계자는 "기업 등의 IT·보안 인력에 대한 투자는 지난 2020년 이후 제자리걸음을 하고 있다. 다수 중소기업에선 소수의 담당자에 보안을 의존 중인 상황"이라며 "국가적 차원에서 인재 육성 프로그램을 체계화하고 보안 인력 양성을 유도할 필요가 있다"고 강조했다.
