보안은 비용이 아니라 신뢰의 인프라다. 사고가 나지 않았다는 사실이야말로 보안의 성과다. 이제는 보안을 비용으로 보지 말고 산업 경쟁력의 토대라는 시각으로 전환해야 한다.
1. 최근 한국 보안 문제(2025년)
2025년 9월 중순, 대형 신용카드사에서 약 200GB 분량의 고객 데이터가 외부로 유출되었고, 약 297만 명의 개인·신용 정보가 노출된 사실이 확인됐다. 감독당국 조사 과정에서 회사가 최초 보고한 유출 규모보다 실제 피해가 훨씬 크다는 점이 드러났고, 이는 내부 가시성 부족과 포렌식 역량의 미흡을 동시에 보여준다. 금융 인프라의 핵심 사업자에서 벌어진 대규모 유출은 국내 데이터 거버넌스와 침해 대응 체계가 여전히 사건 발생 후에야 움직이는 구조임을 보여주는 압축적 사례다.
같은 시기 통신사에서도 가입자 정보 일부가 노출되었고, 제3자가 이를 악용해 소액결제를 무단으로 진행한 사건이 확인됐다. 피해 건수는 수백 명 규모로 집계되었지만, 잠재적 노출 이용자는 수만 명에 달할 것으로 추정됐다. 통신 인프라가 본인확인·결제·계정 관리 등 다수의 서비스와 얽혀 있는 만큼, 하나의 계정 탈취가 여러 서비스로 확산되는 연쇄 피해로 이어질 수 있음을 보여준다. 이는 통신 기반 인증 체계의 단일 실패점 문제를 다시 한 번 드러낸 셈이다.
더 근본적인 위협은 국가 간 경계를 넘는 정교한 공격이다. 최근 보안업계 분석에 따르면 북한 연계 해킹 조직이 생성형 AI를 활용해 위조 군 신분증 이미지를 제작하고, 이를 국내 군 관련 기관을 겨냥한 피싱 공격에 활용한 사례가 확인됐다. 공격자는 AI 모델의 안전장치를 우회해 실제와 거의 구별하기 어려운 고품질 이미지를 생성했고, 이런 사회공학 공격은 사람의 인지적 판단을 속이는 방식으로 이루어져 기존 시그니처 기반 보안 체계만으로는 차단하기 어렵다. 생성형 AI의 확산이 공격자의 비용을 낮추고 정교함을 높이는 현실을 보여주는 대표적 사례다.
2. 낮은 한국의 보안 수준
한국은 세계에서 손꼽히는 인터넷 인프라와 초고속 서비스 환경을 갖추고 있음에도 불구하고, 보안 수준은 이에 비해 낮다는 평가를 반복적으로 받는다. 디지털 전환 속도가 빠른 만큼 공격 표면이 넓어졌지만, 방어 체계는 그 속도를 따라가지 못하고 있다. 이러한 격차는 몇 가지 구조적 요인이 결합한 결과다:
1) 규정 준수 중심의 보안 문화: 한국의 개인정보보호법(PIPA)은 유럽의 GDPR과 비교해도 강한 수준의 의무를 요구한다. 문제는 이 법이 실제 위험 관리가 아니라 감사용 체크리스트로 기능할 때 생긴다. 많은 기업이 보안을 감사 통과와 동일시하고, 문서 작성, 내부 교육, 서약서 확보 등 형식적 요건만 충족하면 된다고 생각한다. 결과적으로 위협 모델링, 모의 침투 테스트, 공급망 위험 평가 같은 실질적 대응 활동은 예산과 우선순위에서 밀려난다. 실제 사고가 터지면 “법은 지켰지만 피해는 컸다”는 상황이 반복된다. 이는 법 준수와 보안 수준이 동일하지 않다는 사실을 보여준다.
2) 투자 우선순위의 문제: 경영진의 KPI는 대부분 매출 성장, 출시 속도, 비용 절감에 맞춰져 있어 보안 투자에 대한 동기 부여가 약하다. 서버 교체, 네트워크 세분화, 장기 로그 보관 같은 인프라 투자는 눈에 보이는 단기 성과를 내지 않기 때문에 뒤로 밀리기 쉽다. 인력 구조도 마찬가지다. 보안 조직은 소규모에 그치거나, 개발·운영 인력과 분리되지 않아 독립적 판단이 어렵다. 침해 사고가 발생하면 그제야 인력 충원과 시스템 점검이 이루어지는 패턴이 고착화된다. 결국 예방보다 사후 대응에 예산이 집중되는 구조가 만들어진다.
3) 인증·식별 인프라: 한국의 온라인 서비스는 휴대전화 본인확인과 통신사 계정에 크게 의존한다. 이 체계는 사용자 입장에서는 편리하지만, 한 번 통신사 계정이 탈취되면 금융, 전자상거래, 공공 서비스 계정까지 연쇄적으로 무너질 위험이 있다. 실제로 최근 발생한 통신사 정보 유출 사건에서는 가입자 정보가 새나가자 제3자가 이를 활용해 무단 소액결제를 일으킨 사례가 확인됐다. 본인확인 수단이 한 곳에 집중된 구조가 하나의 실패 지점을 만들고, 그 지점이 뚫리면 전체 신뢰 사슬이 끊긴다.
4) 위협 진화 속도와 대응: 최근 공격자들은 생성형 AI를 활용해 신분증 위조 이미지를 만들고, 이를 사회공학 공격에 활용하고 있다. 공급망을 노린 공격과 랜섬웨어 공격도 더 정교해지고 있다. 그러나 많은 기업은 여전히 시그니처 기반 탐지, 분기별 점검, 침해 후 보고 같은 구시대적 접근에 머물러 있다. 새로운 공격 기법에 맞춘 위협 모델링, 모의 침투 훈련, 사고 발생 시나리오별 복구 테스트가 정기적으로 이루어지지 않는 것이 현실이다. 결과적으로 위협은 점점 빨라지고 지능화되는데 방어는 정체돼 있어, 사고가 터지면 피해 규모가 커질 수밖에 없다.
3. 인식 전환의 필요성
한국 사회에서 보안은 여전히 ‘돈만 쓰는 부서’로 인식되는 경우가 많다. 사고가 발생하지 않는 동안에는 보안 부서의 성과가 눈에 잘 보이지 않기 때문에, 보안 예산은 비용 절감 대상이 되고 인력은 최소 수준으로 유지된다. 하지만 보안은 눈에 보이는 성과보다 사고를 막아낸 보이지 않는 결과에서 진가가 드러난다. 이 점을 간과하면 ‘아무 일도 안 일어나니 불필요한 지출’이라는 잘못된 판단이 반복된다.
실제로 보안 침해가 발생하면 단순한 기술적 문제를 넘어 사회적 신뢰가 무너진다. 고객 정보 유출이 반복되면 소비자는 기업뿐 아니라 산업 전체를 불신하고, 정부·공공기관의 정보가 털리면 행정과 정책에 대한 신뢰까지 흔들린다. 기업은 막대한 보상금과 소송 비용을 부담하고, 브랜드 평판과 주가가 동반 하락한다. 즉, 보안은 단순한 비용이 아니라 신뢰를 지키는 사회적 보험이다.
또한 보안은 성장 전략의 전제 조건이다. 클라우드 전환, AI 서비스 상용화, 글로벌 시장 진출은 모두 안전한 데이터 보호 체계와 신뢰할 수 있는 인증 인프라를 필요로 한다. 보안이 취약한 상태에서 추진되는 혁신은 오히려 위험을 증폭시키는 결과를 낳을 수 있다.
따라서 보안을 비용으로 보는 인식에서 벗어나, 경영진의 책임·이사회 보고·투자 계획의 필수 항목으로 격상시켜야 한다. 사고 후 보상에 쓰는 돈보다 사고 이전에 예방에 투자하는 것이 훨씬 효율적이라는 점을 수치와 사례로 보여줄 필요가 있다. 보안이 제대로 작동할 때는 아무 일도 일어나지 않기 때문에, ‘아무 일도 일어나지 않는 것 자체가 성과’라는 문화적 합의가 필요하다.
4. 무엇을 바꿔야 하는가
한국의 보안 수준을 실질적으로 끌어올리려면 단순한 장비 교체나 예산 증액이 아니라 사고 이전부터 작동하는 체계로의 전환이 필요하다. 가장 먼저 바뀌어야 할 것은 보안을 대하는 접근 방식이다. 지금까지는 법적 요구사항을 충족하는 데 집중해 정기 점검, 문서 작성, 내부 교육으로 ‘체크리스트’만 맞추는 경우가 많았다. 공격자는 규정을 지키지 않는다. 실제 공격자가 어떤 경로로 침입할지, 어떤 데이터가 목표가 될지를 가정하고 방어 체계를 설계하는 위험 기반 보안이 필요하다. 정기적인 모의 해킹, 침해 가정 훈련, 공급망 보안 점검을 통해 잠재적 약점을 미리 찾아내는 과정이 기업 운영의 일상으로 자리 잡아야 한다.
또 하나 중요한 전환은 탐지와 대응 속도의 혁신이다. 사고는 완전히 막을 수 없기 때문에 얼마나 빨리 발견하고 국지화하느냐가 피해 규모를 결정한다. 로그 보존과 실시간 분석 체계를 강화하고, 이상 징후를 탐지하면 즉시 세션을 종료하거나 접근 권한을 회수하는 자동 대응 프로세스를 갖춰야 한다. 단순 알람에서 끝나는 경보 체계로는 충분하지 않다. 탐지부터 차단·복구까지 이어지는 전체 수명주기를 자동화해야 한다.
인증과 식별 인프라 역시 재설계가 필요하다. 현재처럼 통신사 계정과 휴대전화 본인확인에 과도하게 의존하는 구조는 하나의 계정 탈취로 금융·쇼핑·공공 서비스까지 연쇄 피해가 확산되는 위험을 만든다. 통신사·금융사·플랫폼 사업자가 협력해 SIM 교체·재발급 보호 절차를 강화하고, 위험 점수가 높은 거래에는 다중 인증을 강제하는 방식으로 위험 분산을 해야 한다.
공급망과 외부 연계 관리도 근본적으로 강화해야 한다. 대기업조차 협력사나 MSP 계정에 대한 관리가 느슨해 내부 시스템이 우회적으로 털리는 경우가 많다. 데이터가 어디로 이동하고 복제되는지, 어떤 권한으로 접근되는지를 실시간으로 볼 수 있는 가시성을 확보하고, 고위험 연계는 분리망·프록시·정책 기반 접근으로만 연결해야 한다.
마지막으로 침해 사고 공지와 책임 체계가 달라져야 한다. 지금은 사고 발생 사실이 늦게 알려지고, 초기 공지가 모호해 고객이 스스로 위험을 판단하기 어렵다. 사고가 발생하면 인지 시점, 유출 규모, 위험 범위, 고객이 즉시 취해야 할 조치를 명확히 공개해야 한다. 경영진과 이사회가 사고에 대한 책임을 지고, 재발 방지 계획을 구체적으로 제시하는 문화가 자리 잡아야 한다.
5. 마무리
사이버 보안은 더 이상 특정 기업의 IT 문제나 기술적 과제가 아니다. 금융, 통신, 공공 인프라, 제조, 의료까지 모든 산업이 디지털로 연결된 상황에서 보안 수준은 국가 전체의 신뢰 인프라를 지탱하는 기둥이다. 카드사와 통신사 유출 사건, AI 기반 공격 사례가 보여주듯 취약한 방어 체계는 한순간에 수백만 명의 데이터를 위험에 노출시키고, 산업 전반의 신뢰를 흔든다. 이 문제를 개별 기업이 각자도생으로 풀기에는 공격자는 너무 빠르고, 피해는 너무 크다.
따라서 보안은 비용이 아니라 사회적 필수 투자로 다뤄져야 한다. 규제 준수를 넘어 실제 위험을 관리하고, 탐지·대응·복구 속도를 높이며, 인증·공급망 인프라를 재설계하고, 사고 발생 시 투명하게 알리는 문화가 자리 잡아야 한다. 이러한 변화는 기업 한 곳의 결심만으로는 불가능하다. 산업계, 정부, 규제기관, 기술 공급자가 함께 수준을 끌어올리는 집단적 노력이 필요하다. 그렇게 할 때만이 ‘사고 이후’가 아니라 ‘사고 이전’에 작동하는 체계가 가능해지고, 사회 전체가 디지털 전환의 위험 대신 기회를 선택할 수 있다.
PS – ‘소를 잃고 외양간 고친다’는 말로 치부하지 말고, 남은 소를 지키기 위해 지금이라도 외양간을 고쳐야 한다.
같이 보면 좋은 글
–한국 낙농업, 소비자 부담과 산업 경쟁력 사이의 균형
–한국에게 원전 산업이 중요한 이유
–전략비축유, 국가의 에너지 보험
–일본 밸류업 과정, 20년의 여정
–밸류업보다 구조조정이 먼저다