2025년 상반기 침해사고 1034건... 서버해킹·DDoS가 75% 차지
ISMS-P 제도 개선으로 고위험 기업 모의해킹 의무화... 규제 중심 '실전 검증'으로 전환
제로트러스트·SOC·6단계 통합 프로토콜... 예방부터 복구까지 '총체적 방어체계' 구축 필수
 |
ⓒTech42 |
한국의 사이버 보안 환경이 근본적 전환점을 맞았다. SKT·예스24·KT·쿠팡으로 이어진 대형 침해사고는 단순한 개별 사건이 아니라, 정기 점검과 인증 중심의 '형식적 보안'이 더 이상 작동하지 않는다는 신호탄이다. 보안 업계는 이제 "언제 침투당할 것인가"가 아니라 "침투 후 얼마나 빨리 탐지하고 대응할 수 있는가"를 핵심 과제로 삼고 있다.
이에 테크42는 최근 사이버 침해 사례를 되짚어보며, 실전형 모의해킹이 포함된 6단계 보안 프로토콜에 대해 알아봤다.
숫자로 본 위기의 실체
-정보통신업 390건으로 최다... 업종별 침해사고 현황
 |
ⓒTech42 |
작년 한 해, 국내 사이버 침해사고는 경보 수준을 넘어섰다. 한국인터넷진흥원 집계 결과, 신고 건수가 1,887건에 달하며 전년 동기 대비 거의 절반 가까이 급증했다. 이는 단순 증가세가 아니다. 2022년 1142건에서 시작된 상승 곡선이 해마다 가팔라지고 있으며, 특히 서버 대상 공격과 디도스(DDoS)가 전체의 4분의 3을 차지하는 구조적 취약성을 드러냈다.
더욱 우려스러운 점은 공격의 '질적 변화'다. 과거처럼 외부 경계를 뚫는 단순 침투가 아니라, 내부 시스템에 장기간 잠복하며 핵심 데이터를 탈취하는 APT(지능형 지속 위협) 양상으로 진화하고 있다. SKT의 경우 28대 서버에서 33종의 악성코드가 발견됐고, KT는 무려 94대 서버에서 103종이 검출되는 등 감염 범위가 광범위했다.
업종별로는 정보통신 분야가 가장 큰 타격을 입었지만, 주목할 점은 협회·단체·개인서비스업 등 보안 투자가 상대적으로 부족한 중소 조직의 피해가 전년 대비 66%나 폭증했다는 사실이다. 랜섬웨어 피해 기업의 94%가 중소기업이라는 통계는, 한국 사이버 보안이 '규모의 양극화'를 겪고 있음을 보여준다.
-인증 받은 기업도 뚫렸다... 제도의 한계 노출
 |
ⓒTech42 |
더 심각한 문제는 ISMS-P(정보보호·개인정보보호 관리체계) 인증을 보유한 대기업들조차 속수무책으로 당했다는 점이다. SKT, KT, 쿠팡 모두 정부 인증을 받았음에도 대규모 침해사고를 막지 못했다. 이는 '서류 중심 심사'와 '일회성 점검'의 한계를 적나라하게 드러낸 사례다.
현행 인증 제도는 심사 시점의 보안 상태를 평가하지만, 하루가 다르게 진화하는 사이버 위협을 상시 관리하는 데는 구조적 한계가 있다. 인증 취득 후 1년이 지나면 새로운 취약점과 공격 기법이 속속 등장하는데, 이를 즉각 반영할 메커니즘이 없었던 것이다.
정부도 문제의식을 공유하고 있다. 지난 12월 개인정보보호위원회와 과학기술정보통신부는 ISMS-P 제도를 전면 개편한다고 밝혔다. 핵심은 '실전 검증'이다. 고위험 기업이나 사고 이력이 있는 조직에 대해서는 예비심사 단계부터 모의해킹을 의무화하고, 중대 사고 발생 시 즉시 인증을 취소할 수 있도록 강화했다. 형식보다 실질, 점검보다 검증을 우선하는 패러다임 전환이다.
-공격자 관점에서 본 취약점... 실전형 모의해킹의 등장
 |
ⓒTech42 |
이런 변화 속에서 보안 업계는 '공격자의 시선'으로 조직을 바라보는 새로운 접근법을 제시하고 있다. 단순히 시스템에 어떤 취약점이 있는지 나열하는 게 아니라, "공격자라면 어디를 먼저 공략할 것인가", "어떤 경로로 핵심 자산에 도달할 것인가"를 시뮬레이션하는 방식이다.
사이버위협 인텔리전스 전문기업 S2W가 제시하는 모델이 대표적이다. 이들은 외부에 노출된 공격 표면(Attack Surface)을 먼저 식별한 뒤, 다크웹에 유출된 계정 정보와 공개된 취약점 데이터베이스를 교차 분석해 '실제 악용 가능성'을 기준으로 위험도를 산정한다.
S2W 오펜시브연구팀은 "자동화 스캐닝 툴이 찾아낸 수백 개의 취약점 중 실제로 공격에 활용될 수 있는 것은 일부에 불과하다"며, "조직은 모든 취약점을 동시에 해결할 수 없기에, 공격자가 진짜 노릴 지점부터 우선 대응해야 한다"고 강조한다. 이는 기존의 '완벽한 방어' 중심 사고에서 '전략적 대응'으로의 전환을 의미한다.
6단계 통합 방어 전략... 예방에서 복구까지
전문가들이 제시하는 차세대 보안 체계는 6개 층위로 구성된다.
1단계는 제로트러스트(Zero Trust) 기반 예방 체계다. "내부망이라고 믿지 말라"는 원칙 아래, 모든 접근 요청에 지속적 인증을 요구하고 최소 권한만 부여하는 구조다. ID 관리부터 엔드포인트 보안, 네트워크 분할, 데이터 암호화까지 5대 요소를 통합 운영한다. SKT 사고에서 드러난 서버 계정 관리 부실은 이 원칙을 적용했다면 예방 가능했다.
2단계는 실전형 모의해킹이다. 블랙박스·그레이박스·화이트박스 방식으로 공격 시나리오를 구현하고, 레드팀(공격)과 블루팀(방어)의 대결 구도에서 실제 방어 수준을 검증한다. 최근에는 CART(지속적 자동화 레드팀) 같은 시스템으로 공개 취약점을 상시 테스트하는 단계로 진화하고 있다.
3단계는 SOC(보안관제센터) 중심 24/7 감시 체계다. SIEM, EDR, XDR 등 탐지 툴을 통합 운영하며, Tier 1(모니터링) → Tier 2(심층 분석) → Tier 3(포렌식)의 3단계 대응 체계를 구축한다. 크리덴셜 스터핑, DNS 플러딩, 웹셸 삽입 등 공격 패턴을 실시간 탐지하는 것이 핵심이다.
4단계는 NIST 프레임워크 기반 신속 대응이다. 미국 국립표준기술연구소가 제시한 식별→보호→탐지→대응→복구 5단계 프로세스를 준용한다. 특히 랜섬웨어 대응에서는 즉시 격리, 오프사이트 백업 확인, 포렌식 분석 순서가 생사를 가른다. 예스24 사례는 오프사이트 백업 부재로 결국 협상에 응했다는 점에서 반면교사다.
5단계는 ISMS-P 인증과 거버넌스 체계다. 개선된 제도하에서는 102개 인증기준 준수뿐 아니라, 고위험 기업 대상 모의해킹 의무화와 사고 시 즉시 인증 취소 규정이 적용된다. 보안 인력 교육도 필수로, 전 직원 연 4회, 개발자 시큐어 코딩, 보안 담당자 침해사고 대응 훈련이 권장된다.
6단계는 지속적 개선과 위협 인텔리전스 활용이다. 제로트러스트 성숙도를 Traditional→Initial→Advanced→Optimal→Transformational 5단계로 평가하며, 분기별 보안 지표 점검, 반기별 위험 재평가, 연간 전사 감사를 통해 성숙도를 높인다. KISA 보호나라, MITRE ATT&CK, 다크웹 모니터링, 업계 ISAC 등에서 위협 정보를 실시간 수집해 선제 대응하는 CTEM(지속적 위협 노출 관리) 체계가 최종 목표다.
한편 이 외에도 지난해에는 KT와 쿠팡의 침해사고가 업계에 큰 충격을 안겼다. 9월 발생한 KT 사고는 불법 펨토셀(초소형 기지국)을 이용한 물리적 공격과 사이버 공격이 결합된 신종 복합 위협으로, 94대 서버에서 103종의 악성코드가 발견돼 SKT(28대 서버, 33종)보다 감염 범위가 더 광범위했다. 핵심 문제는 KT가 19만대의 펨토셀을 단일 제조사 인증서로 관리해, 인증서 하나만 복사하면 전국 어디서나 내부망에 접속할 수 있는 구조적 설계 결함이었다. 더욱이 2024년부터 서버 43대의 악성코드 감염을 인지하고도 1년간 신고하지 않아 은폐 의혹까지 받았다.
11월 발생한 쿠팡 사고는 외부 해킹이 아닌 내부자 위협의 전형적 사례였다. 인증 업무를 담당했던 중국인 전직 개발자가 퇴사 후에도 폐기되지 않은 액세스 토큰 서명키를 이용해 중국 현지에서 147일간 3,370만 계정 정보를 무단으로 탈취했다. 쿠팡은 이 기간 동안 대량의 데이터 조회를 이상 징후로 감지하지 못했으며, 퇴사자 권한 회수 프로세스가 작동하지 않았다는 점에서 내부 통제 시스템 부재가 드러났다.
이 두 사례는 기존 외부 해킹 대응 중심의 보안 전략만으로는 막을 수 없는 새로운 유형의 위협을 보여준다. KT 사례는 IoT 기기 등 물리적 장비에 대한 사이버 보안 적용과 개별 장비별 고유 인증서 발급의 중요성을, 쿠팡 사례는 제로트러스트의 "내부자도 신뢰하지 않는다"는 원칙이 실제로 얼마나 중요한지를 일깨운다. 특히 쿠팡 사례는 퇴사자 권한 자동 회수 시스템, 인증키 유효기간 관리, 사용자 행위 분석(UEBA) 도입 등 내부자 위협 대응 체계 구축이 시급함을 보여주는 대표적 사례로 평가된다.
한국 사이버 보안은 이제 갈림길에 섰다. 형식적 인증과 정기 점검으로는 진화하는 위협을 막을 수 없다는 게 명백해졌다. 필요한 것은 공격자 관점의 실전 검증, 침투 전제의 탐지 체계, 신속 대응과 복구 능력, 그리고 무엇보다 '보안은 지속적 프로세스'라는 인식 전환이다.
평균 탐지 시간(MTTD)과 평균 대응 시간(MTTR)을 단축하고, 보안 패치 적용률을 95% 이상 유지하며, 전 직원 보안 교육 이수율을 100%로 끌어올리는 것이 핵심 성과 지표다. 숫자가 아니라 조직 문화의 문제다.
황정호 기자
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.