[분석&진단] 뚫린 공공망·털린 민간 정보… 지능화된 사이버 위협에 ‘방어체계’ 비상

[시큐리티팩트=김상규 기자] 대한민국 공공과 민간의 보안 체계가 동시 다발적인 위협에 노출됐다는 결과가 나왔다. 국가 행정 인프라의 개인정보 관리 실태는 화이트 해커의 공격에 힘없이 무너졌다. 민간 영역에서는 국민 생활 밀접 서비스를 겨냥한 해킹 사고가 급증하며 국민적 불안감이 높아졌다.

감사원이 27일 공개한 ‘개인정보 보호 및 관리실태’ 감사 결과에 따르면 우리 공공부문의 보안 관리는 외부 침입에 상당히 취약한 것으로 드러났다. 2021년부터 2024년까지 발생한 공공부문의 개인정보 유출 사고 중 95.5%가 외부 해킹에 의한 것이었다. 내부 직원의 고의적 유출은 0.1%에 불과했다. 하지만 책임 기관인 개인정보보호위원회는 2022년 대책 수립 당시 외부 해킹에 대한 충분한 방안을 마련하지 않았다고 감사원은 지적했다.

실제 취약점 확인을 위해 화이트 해커 11명을 투입해 개인정보 보유량이 많은 7개 공공시스템을 선정해 모의 해킹을 실시한 결과는 참혹했다. 7개 시스템 모두에서 개인정보 탈취가 가능한 것으로 확인됐다.

구체적인 해킹 사례를 보면 보안 시스템의 허점이 고스란히 드러난다. 한 시스템의 경우 접속에 필요한 중요 정보가 암호화되지 않아 해커가 관리자 권한을 획득할 시 13만 명의 주민등록번호를 탈취할 수 있었다. 또한 개인정보를 조회할 때 이름이나 주민번호 등 입력값의 유효성을 검증하는 체계가 허술해 해커가 제한 없이 조회를 반복 시도할 경우 무려 5000만 명의 주민등록번호 조회가 가능한 시스템도 존재했다.

또 다른 시스템은 개통 당시 필수적인 취약점 점검을 누락한 채 운영되다 외부의 비정상적인 조회를 차단하지 못해 단 20분 만에 1000만 명의 회원 정보를 빼돌릴 수 있는 상태였던 것으로 드러났다. 이 밖에도 고객 조회 정보를 조작해 3000명의 주민번호를 확인하는 등 기초적인 보안 로직의 부재가 곳곳에서 발견됐다. 아울러 감사원은 경기도교육청 교육행정정보시스템, 4대사회보험정보연계시스템, 사회보장정보시스템, 지역보건의료정보시스템 등에서 퇴직 직원의 접근 권한 말소를 누락하는 등 관리상의 허점도 다수 확인했다고 밝혔다.

민간 부문의 침해사고 역시 위험 수위를 넘어서고 있다. 이날 과학기술정보통신부와 한국인터넷진흥원(KISA)은 국내외 정보보안 전문가 네트워크와 협력하여 ‘2025년 사이버 위협 동향과 2026년 사이버 위협 전망 보고서’를 발표했다.

이번 분석에는 국내의 안랩, 지니언스, 이글루코퍼레이션, NSHC, S2W, SK쉴더스, 플레인비트 등 7개 사와 해외의 Cisco Talos, Google, Microsoft, Trend Micro, Zscaler 등 5개 사를 포함한 총 12개 전문 기업이 참여해 공신력을 높였다.

보고서에 따르면 2025년 침해사고 신고 건수는 2383건으로 2024년(1887건) 대비 약 26.3% 급증했다. 특히 4월 발생한 ‘SKT 해킹’으로 유심 정보 2700만 건이 탈취된 사고를 비롯해 예스24의 반복된 랜섬웨어 장애, KT와 롯데카드까지 겨냥한 해킹 시도 등 생활 밀접 인프라에 대한 공격이 두드러졌다. 또한 오픈소스 플랫폼(NPM, PyPI)을 통한 공급망 공격이 심각해지고 있다. FBI가 경고한 BADBOX 2.0 악성코드 감염 기기 역시 100만 대를 넘어선 것으로 나타났다.

정부와 12개 참여 기업 전문가들은 2026년에 더욱 지능화된 4대 사이버 위협이 기승을 부릴 것으로 전망했다. 우선 AI 기반 사이버 위협이 본격화된다. 생성형 AI를 활용한 딥페이크 음성·영상 피싱이 실시간 화상회의까지 확대되어 신뢰 체계를 직접 위협하고 보안 AI 자체를 오작동하게 만드는 데이터 주입 공격도 가시화될 전망이다.

또한 Windows 10 지원 종료(EOS) 등 방치된 미사용 시스템이 해킹의 통로로 악용될 우려가 크다. 클라우드 환경 내 취약점을 인공지능이 자동 탐지해 공격하는 형태도 현실화될 것으로 보인다. 가장 우려되는 지점은 유출된 개인정보를 악용한 2차 위협이다. 2025년 대규모로 유출된 정보들이 다양한 경로로 수집·결합될 경우 보이스피싱이나 스미싱 등 보다 지능화된 공격으로 피해자를 다시 위협할 수 있기 때문이다.

이처럼 고도화되는 위협 속에서 정보의 주체인 국민 개개인의 주의도 그 어느 때보다 중요하다. 전문가들은 "이미 개인정보가 공공재가 되었다"는 무력감에 빠지기보다 추가적인 2차 피해를 막기 위한 능동적인 대처를 당부했다.

비밀번호의 주기적 변경과 다중 인증(MFA)은 필수다. 타인이 유추하기 어려운 영문·숫자·특수문자 조합의 비밀번호를 사용하고 가능한 모든 서비스에 2차 인증을 설정해야 한다. 출처가 불분명한 링크는 클릭을 금지해야 한다. AI를 활용한 정교한 스미싱이 늘고 있는 만큼 택배나 공공기관을 사칭한 문자 내 URL 클릭에 각별히 유의해야 한다. 개인정보보호위원회에서 운영하는 ‘털린 내 정보 찾기’ 서비스를 통해 자신의 정보가 다크웹 등에 유출되었는지 정기적으로 확인하고 조치하는 습관이 필요하다. 보안이 취약한 공용 네트워크에서는 로그인이 필요한 서비스나 결제 업무를 피해야 한다.

최우혁 과기정통부 정보보호 네트워크정책실장은 “향후 인공지능(AI)을 활용한 공격이 현실화하고, 클라우드 환경 취약점을 악용한 공격 등 사이버 위협이 더욱 지능화·고도화될 것으로 전망된다”며, “기업의 책임 있는 정보보호 강화를 당부하는 한편 정부 또한 인공지능 기반의 예방·대응체계를 운영하고 보안 사각지대를 선제적으로 관리하여 국민이 안심할 수 있는 사이버 환경을 조성해 나가겠다”고 밝혔다.