진승헌 ETRI 인공지능데이터보안연구실 책임연구원

2025년은 대한민국 사이버 보안 역사에 있어 수많은 도전과 과제를 남긴 한 해였다. 연초부터 주요 인프라 전반에서 대형 개인정보 유출 사고가 매달 잇따랐다. 해커의 공격이 고도화된 것은 사실이나, 본질적인 문제는 기술 격차가 아닌 지켜지지 않은 '보안의 기본'에 있었다. 디지털 신뢰의 근간이 방치된 기초 위에서 흔들린 것이다. "내 정보는 이미 공공재"라는 사람들의 자조 섞인 탄식은 정부와 기업의 위기 대응 체계가 한계에 봉착했음을 보여주는 서글픈 증거다. 사고의 양상은 제각각이었으나, 그 근본 원인은 놀라울 만큼 단순하고 동일했다. '설마'라는 안일함, 누적된 기술 부채, 그리고 관리의 사각지대였다. 2025년의 사건들은 해커가 얼마나 정교해졌는지를 보여줌과 동시에, 우리가 얼마나 기본을 놓치고 있었는지를 적나라하게 보여주었다.

특히 '국가 신경망'인 통신 분야의 사고는 이러한 총체적 난국을 보여주었다. 통신사 A는 핵심 시스템의 비밀번호를 평문으로 저장하는 등 초보적인 관리 수칙조차 무시해 침투를 허용했다. 통신사 B는 수많은 펨토셀 장비가 사실상 만능키나 다름없는 '단일 인증서'에 의존하는 설계상의 안일함이 드러났다. 기초적인 키 관리 원칙만 지켰어도 막을 수 있었던 구조적 결함이었다. 통신사 C의 경우, 사고 자체보다 불투명한 대응이 도마 위에 올랐다. 불투명한 소통과 증거 보전 실패는 기술적 피해를 넘어 경영적 신뢰를 무너뜨렸다. 결국 통신 인프라는 인증 실패와 은폐라는 '기본기 부재' 탓에 뿌리째 흔들렸다. 금융과 전자상거래 분야도 예외는 아니었다. 금융권은 이미 알려진 취약점 패치를 미루는 등 기초적인 '보안 수칙'을 방치해 화를 키웠다. 전자상거래 분야에서는 퇴직자의 서명키(Signing Key) 회수 절차에 허점이 드러나, 방치된 내부 권한이 외부 공격의 교두보로 악용되었다. 이는 최신 솔루션 도입보다 취약점과 계정을 빈틈없이 통제하는 '철저한 운영 관리'가 선행돼야 함을 시사한다.

보안이 기술과 관리의 문제라면, 사고 대응은 기업의 '태도와 신뢰'를 보여주는 거울이다. 지난 1년간 대중이 진정으로 분노한 것은 해킹 피해 그 자체가 아니었다. 오히려 사고를 축소하거나 뒤늦게 알리며 책임을 피하려던 일부 조직의 무책임한 모습이었다. 결국 위기 앞에서의 은폐는 단순한 실수가 아니라, 돌이킬 수 없는 경영상의 재앙이 된다.

무너진 디지털 신뢰를 다시 세우기 위해, 필자는 2026년 기업 경영진과 보안 조직이 '다시 기본으로(Back to Basics)' 돌아가 즉각 실행해야 할 'A.C.T 전략'을 제안한다.

첫째, Authentication Integrity(인증 무결성)다. 한 번의 침투로 망 전체가 위태로워지는 취약한 공용 키 방식에서 벗어나야 한다. 기기와 사용자별 고유 식별 체계를 구축하고, 접속 시마다 신원을 재검증하는 '제로 트러스트' 모델을 보안의 새로운 상식으로 확립해야 한다. 둘째, Comprehensive Visibility(포괄적 가시성)다. 지켜야 할 자산을 모르면 어떤 방어 전략도 무용지물이다. 경계 보안을 넘어 코어망, 단말, 클라우드 등 전 영역의 자산 현황을 실시간 파악하고, 모든 이벤트를 통합 분석하는 강력한 '보안의 눈'을 갖추는 것이 급선무다. 셋째, Transparency & Traceability(투명성과 추적성)다. 위기 시 정보 공유는 도덕적 의무를 넘어 기업의 핵심 생존 전략이다. 위변조가 불가능한 기록 관리와 신속하고 정직한 정보 공개만이 무너진 신뢰를 회복하고 지속 가능한 안전을 보장하는 유일한 길이다.

해커의 창은 인공지능으로 무장해 날로 정교해지는데, 우리의 방패는 기본조차 갖추지 못한 채 위태롭게 서 있다. 2025년의 사고가 단순한 비용 처리가 아닌 미래를 위한 투자가 되려면, 지금 필요한 것은 화려한 구호가 아니다. 안일한 관행을 도려내는 처절한 혁신과 기본의 회복, 그리고 생존을 위한 즉각적이고 결단력 있는 행동(ACT)뿐이다. 진승헌 ETRI 인공지능데이터보안연구실 책임연구원

중도일보(www.joongdo.co.kr), 무단전재 및 수집, 재배포 금지