임효인 기자
 |
| 진승헌 ETRI 인공지능데이터보안연구실 책임연구원 |
특히 '국가 신경망'인 통신 분야의 사고는 이러한 총체적 난국을 보여주었다. 통신사 A는 핵심 시스템의 비밀번호를 평문으로 저장하는 등 초보적인 관리 수칙조차 무시해 침투를 허용했다. 통신사 B는 수많은 펨토셀 장비가 사실상 만능키나 다름없는 '단일 인증서'에 의존하는 설계상의 안일함이 드러났다. 기초적인 키 관리 원칙만 지켰어도 막을 수 있었던 구조적 결함이었다. 통신사 C의 경우, 사고 자체보다 불투명한 대응이 도마 위에 올랐다. 불투명한 소통과 증거 보전 실패는 기술적 피해를 넘어 경영적 신뢰를 무너뜨렸다. 결국 통신 인프라는 인증 실패와 은폐라는 '기본기 부재' 탓에 뿌리째 흔들렸다. 금융과 전자상거래 분야도 예외는 아니었다. 금융권은 이미 알려진 취약점 패치를 미루는 등 기초적인 '보안 수칙'을 방치해 화를 키웠다. 전자상거래 분야에서는 퇴직자의 서명키(Signing Key) 회수 절차에 허점이 드러나, 방치된 내부 권한이 외부 공격의 교두보로 악용되었다. 이는 최신 솔루션 도입보다 취약점과 계정을 빈틈없이 통제하는 '철저한 운영 관리'가 선행돼야 함을 시사한다.
보안이 기술과 관리의 문제라면, 사고 대응은 기업의 '태도와 신뢰'를 보여주는 거울이다. 지난 1년간 대중이 진정으로 분노한 것은 해킹 피해 그 자체가 아니었다. 오히려 사고를 축소하거나 뒤늦게 알리며 책임을 피하려던 일부 조직의 무책임한 모습이었다. 결국 위기 앞에서의 은폐는 단순한 실수가 아니라, 돌이킬 수 없는 경영상의 재앙이 된다.
무너진 디지털 신뢰를 다시 세우기 위해, 필자는 2026년 기업 경영진과 보안 조직이 '다시 기본으로(Back to Basics)' 돌아가 즉각 실행해야 할 'A.C.T 전략'을 제안한다.
첫째, Authentication Integrity(인증 무결성)다. 한 번의 침투로 망 전체가 위태로워지는 취약한 공용 키 방식에서 벗어나야 한다. 기기와 사용자별 고유 식별 체계를 구축하고, 접속 시마다 신원을 재검증하는 '제로 트러스트' 모델을 보안의 새로운 상식으로 확립해야 한다. 둘째, Comprehensive Visibility(포괄적 가시성)다. 지켜야 할 자산을 모르면 어떤 방어 전략도 무용지물이다. 경계 보안을 넘어 코어망, 단말, 클라우드 등 전 영역의 자산 현황을 실시간 파악하고, 모든 이벤트를 통합 분석하는 강력한 '보안의 눈'을 갖추는 것이 급선무다. 셋째, Transparency & Traceability(투명성과 추적성)다. 위기 시 정보 공유는 도덕적 의무를 넘어 기업의 핵심 생존 전략이다. 위변조가 불가능한 기록 관리와 신속하고 정직한 정보 공개만이 무너진 신뢰를 회복하고 지속 가능한 안전을 보장하는 유일한 길이다.
해커의 창은 인공지능으로 무장해 날로 정교해지는데, 우리의 방패는 기본조차 갖추지 못한 채 위태롭게 서 있다. 2025년의 사고가 단순한 비용 처리가 아닌 미래를 위한 투자가 되려면, 지금 필요한 것은 화려한 구호가 아니다. 안일한 관행을 도려내는 처절한 혁신과 기본의 회복, 그리고 생존을 위한 즉각적이고 결단력 있는 행동(ACT)뿐이다. 진승헌 ETRI 인공지능데이터보안연구실 책임연구원
중도일보(www.joongdo.co.kr), 무단전재 및 수집, 재배포 금지
