[디지털데일리 김보민기자] SK텔레콤 해킹 사고에 따른 여파가 일파만파 퍼지고 있다. 최초 악성코드 시점이 2022년 6월이라는 점이 드러나면서, 오랜 기간 시스템에 침투해 머무는 '은밀한 공격'을 경계해야 한다는 경각심이 커지고 있다.

문제는 이러한 공격이 민간 만의 문제가 아니라는 점이다. 공공과 금융은 내부 업무망과 업무망을 획일적으로 분리하는 망분리 체계를 완화해 인공지능(AI)과 클라우드 사용률을 높이려 하고 있는 만큼, 철저한 보안 정책이 관건이 될 것으로 보인다.

개인정보보호위원회(이하 개인정보위)에 따르면, 2020년 47건이었던 개인정보 유출 신고 건수는 2021년 163건, 2022년 167건, 2023년 318건으로 증가하고 있다. 공공기관으로 좁혀보면 2020년 5건, 2023년 41건으로 신고 규모가 커지고 있다.

법령 개정의 영향도 있겠지만, 기관을 노린 대규모 공격은 최근 3년간 이어지고 있다. 지난해에는 북한 해킹조직으로 추정된 집단이 국내 법원 전산망을 침투해 2년여간 1014기가바이트(GB) 분량의 정보를 빼간 사실이 드러났고, 복자부 사회관계방서비스(SNS) 계정은 프로필 사진이 가상화폐 업체 사진으로 바뀌는 사태를 겪었다.

국가 차원에서 관리해야 하는 안전지대가 말처럼 '안전'하지 않다는 현실을 보여주는 사례다. 국가정보원(이하 국정원)은 공공 분야를 겨냥한 국가배후 혹은 국제 해킹조직의 공격 시도가 하루 평균(2023년 기준) 162만여건에 달했다는 조사 결과를 발표하기도 했다. 이 수치는 공공을 대상으로 한 분산서비스거부(DDoS·이하 디도스) 공격, 랜섬웨어, 네트워크 침투 등이 고도화되면서 늘어날 가능성이 있다.

금융도 마찬가지다. 시장조사업체 스태티스타에 따르면, 한국 등 글로벌 금융기관의 약 65%는 지난해 '랜섬웨어 공격을 경험했다'고 답했다. 금융권의 경우 고객 개인정보와 거래 정보를 다루기 때문에, 공격자 입장에서 '한 번 뚫으면 얻을 게 많다'는 영역으로 꼽힌다. 해당 정보를 탈취해 2·3차 피해를 입히는 경우도 포착되고 있다.

때문에 두 영역 모두 망분리 완화 흐름 속 보안 정책을 고도화하는 것이 관건이 될 전망이다. 망분리 완화로 공공은 대민 서비스와 업무 효율을 높이고 공공은 클라우드·AI 기술 활용 범위를 늘리되, 철저한 보안 정책을 전제 조건으로 삼아야 할 것으로 보인다.

먼저 공공 망분리 완화로 대두되는 국가망보안체계(N²SF)는 가이드 초안을 통해 기밀(C)·민감(S)·공개(O) 등 등급별 보안 원칙을 적용하도록 하고 있다. 가이드는 "정밀한 위협 식별을 위해 정보 서비스 사용 시나리오(유스케이스)를 세분화해, 분석할 필요가 있다"고 말했다. O 등급에 가장 낮은 수준의 보안 원칙을 적용하되, S와 C에 단계별로 원칙을 강화하는 방식이다. 해당 원칙은 정보를 생산하거나 저장할 때 적용된다.

금융당국은 생성형 AI 사용을 허용하고 클라우드 기반 SaaS 활용 범위를 확대하되, 전제 조건으로 별도 보안 대책을 수립할 것을 강조하고 있다. 외부 서비스나 기술을 도입했을 때 발생할 수 있는 위협을 사전에 차단하자는 취지다. 특히 예상 위협 요인(리스크)에 대한 보완 방안을 마련하고, 금융감독원 등 담당 기관과 점검 및 컨설팅을 받도록 하고 있다.

한편 국내 보안업계는 공공과 금융권의 망분리 완화 흐름에 따라 새로운 기회요인을 잡을 수 있을지 지켜보고 있다. 국내 보안업계 관계자는 "최근 몇년간 발생한 공공 사고는 물론, 민간에서 발생하고 있는 해킹 사고까지 포함해 공공과 금융 또한 보안 정책 수립에 신경을 쓰고 있다"며 "해커들의 놀이터가 될 수 없다는 의지는 같다"고 말했다.