CloudPNG

ºC

logo
IT/바이오

"KT 해킹 조사 연내 마무리"…정부, 쿠팡 사이버사고 분석도 속도전

최영민 기자
입력

대형 통신사와 이커머스 플랫폼에서 연이어 발생한 개인정보 유출과 사이버 침해사고가 국내 데이터 보안 체계를 시험대에 올리고 있다. 정부는 연말까지 KT 개인정보 유출 사건에 대한 민관 합동 조사 결과를 먼저 확정 발표한 뒤, 축적된 분석 인력을 쿠팡 사이버 침해사고 조사에 집중 투입하는 투트랙 전략을 예고했다. 통신 인프라와 유통 플랫폼을 동시에 겨냥한 사이버 공격은 클라우드 기반 서비스, 대규모 고객 데이터, 복잡해진 내부망 구조를 아우르는 새로운 보안 기준을 요구하고 있어 산업계 전반의 파장이 주목된다.

 

배경훈 부총리 겸 과학기술정보통신부 장관은 17일 국회 과학기술정보방송통신위원회 쿠팡 침해사고 청문회에서 KT 해킹 민관 합동 조사 최종 결과를 이달 안에 발표하겠다고 밝혔다. KT 사건 분석을 마무리한 뒤 해당 조사 인력을 쿠팡 침해사고 조사에 대거 전환 배치하겠다는 구상도 함께 내놨다. KT 해킹 조사 인원은 현재 30명 수준이며, 쿠팡 조사에는 8명이 투입돼 있다고 설명했다.

KT 개인정보 유출 조사는 통신 핵심망과 고객 관리 시스템 구간을 아우르는 복합 분석 방식으로 진행돼 왔다. 해커의 최초 침입 경로, 내부 권한 상승 과정, 데이터베이스 접근 로그, 암호화 적용 여부 등 기술적 지표를 종합적으로 추적하며 재발 방지 대책 수립에 초점이 맞춰졌다. 특히 통신망과 업무망 분리 수준, 보안 장비 설정 오류 여부, 외주 시스템 연계 구간 취약점 등 기존 통신사 보안 체계가 취약한 지점을 검증하는 데 상당한 조사 역량이 집중된 것으로 알려졌다.

 

쿠팡 침해사고 조사에서는 데이터 규모와 구조가 또 다른 난제로 부상했다. 배 부총리는 청문회에서 쿠팡 내부 조사 대상 데이터가 500테라바이트에 달하며, 최대 1페타바이트까지 늘어날 수 있다고 설명했다. 페타바이트 단위 데이터 분석은 개별 서버 로그를 단순 수집하는 수준이 아니라, 분산 저장된 로그와 애플리케이션 기록, 네트워크 패킷 데이터까지 통합해 상관관계를 추적하는 고난도 디지털 포렌식 기법을 요구한다.

 

정부 조사단은 쿠팡이 정보통신망법과 개인정보보호법이 규정한 안전 조치 의무를 제대로 이행했는지 살펴보고 있다. 방화벽과 침입 차단 시스템 설정, 접근 통제 정책, 계정 및 비밀번호 관리 수준, 암호화 적용 범위, 이상 징후 탐지 및 대응 절차 등 기술적 보호 조치 전반이 점검 대상이다. 쿠팡이 사전에 실시한 모의해킹 결과 보고서도 확보해, 사전에 파악된 취약점과 실제 침해 경로가 맞물렸는지 추가 분석에 들어간 상태다.

 

배 부총리는 현재까지 쿠팡 침해사고로 인한 2차 피해는 확인되지 않았다고 밝혔다. 개인정보 불법 유통, 스미싱과 계정 탈취 공격 확대, 금융사기 연계 등 후속 피해 징후가 관찰되지 않았다는 의미다. 다만 사고 초기 단계에서 피해 규모와 유출 정보의 성격이 변동될 수 있는 만큼, 당국은 모니터링을 강화하고 있다. 실제로 최근 글로벌 공격 사례에서는 침입 후 수개월 이상 잠복하다가 암호화폐 지갑 탈취나 내부 거래 정보 악용으로 이어지는 지연형 피해가 반복된 바 있다.

 

이번 조사에는 개인정보보호위원회도 직접 참여하고 있다. 송경희 개인정보보호위원장은 개보위가 11월 21일부터 14명 규모 조사 인력을 현장에 투입해 쿠팡에 대한 동시 조사를 진행 중이라고 밝혔다. 개보위는 데이터 최소 수집 원칙 준수 여부, 이용자 동의 절차, 개인정보 보관 기간과 파기 기준, 개인정보 처리 위탁 관리 등 법령 준수 관점에서 세부 사항을 들여다보고 있다. 과기정통부가 정보통신망 안정성과 기술적 보안 조치를 보는 만큼, 양 기관의 합동 조사가 최종 제재 수위와 개선 권고 기준을 좌우할 전망이다.

 

국내에서 통신사와 이커머스 기업이 연이어 대형 사고를 겪으면서 산업계 전반에는 인프라 보안 투자와 데이터 거버넌스 재정비 요구가 커지고 있다. 특히 클라우드 전환이 가속화된 기업일수록 내부망 경계가 모호해지고, 마이크로서비스 아키텍처와 다수의 서드파티 연계가 혼재되면서 단일 보안 장비로는 방어가 어려워졌다. 미국과 유럽에서는 이미 제로 트러스트 아키텍처, 지속적인 보안 모니터링, 침해 가정 기반 위협 헌팅 체계가 대형 플랫폼의 기본 요건으로 자리 잡는 추세다.

 

전문가들은 이번 KT와 쿠팡 사례가 국내 데이터 보안 규제와 인증 체계에도 변화를 촉진할 수 있다고 보고 있다. 통신망과 온라인 플랫폼 모두에서 대규모 침해가 반복되면, 정부와 국회가 정보통신망법, 개인정보보호법, 전자금융거래 관련 규정의 안전 조치 기준을 한층 세분화하고 상향 조정할 가능성도 있다. 기업 입장에서는 의무 수준이 높아지는 만큼, 로그 가시성 확보, 이상 징후 조기 탐지, 보안 운영센터 기능 내재화 등 구조적 투자를 요구받을 수밖에 없다.

 

배 부총리는 KT 해킹 사건 최종 결과를 연내 발표한 뒤, 관련 인력을 최대한 쿠팡 조사에 투입해 중간 발표 시점을 앞당기겠다고 거듭 강조했다. 산업계와 이용자들은 두 건의 대형 사건 분석 결과가 어떤 제도 개선과 시장 규범으로 이어질지 예의주시하는 분위기다. 결국 사이버 보안 체계와 개인정보 보호 수준이 디지털 경제 신뢰의 핵심 변수로 부상하는 가운데, 기술과 제도의 간극을 얼마나 빠르게 줄일 수 있을지가 향후 경쟁력을 가르는 기준이 되고 있다.

최영민 기자
share-band
밴드
URL복사
#배경훈#kt개인정보유출#쿠팡사이버침해사고