올해 SK텔레콤, KT, 롯데카드에 이어 쿠팡에서 초대형 개인정보 유출 사태까지 잇단 보안 사고가 발생했다. 이에 국내 사이버보안 생태계 전반에 걸친 점검과 개선이 필요하다는 전문가의 제언이 나온다.
한국인터넷진흥원(KISA) 원장을 지낸 이원태 국민대학교 특임교수는 최근 페이스북에 "지난 주말 쿠팡에서 성인 인구 4명 중 3명에 달하는 3천370만명의 개인정보가 유출되는 사고가 터졌다"며 "그러나 피해 규모보다 더 충격적인 것은 그 과정에서 드러난 우리 사회의 총체적 보안 무능"이라고 지적했다.
이 교수는 "이번 사태는 단순히 개별 기업의 일탈이 아니다"라며 "한국형 정보보호 체계의 '시효 만료'"라고 비판했다. 그는 "특히 사고가 반복되면서 사회 전체에 보안 피로감이 축적되고, 위험이 '일상적 현상'처럼 취급되고 있는 '위험의 정상화'"라며 "보안 사고 둔감증이 만연한 상황에서는 어떠한 강력한 대책도 현장에서 작동하지 않는다"고 밝혔다.
그는 '기준 보완' 수준에 그치는 보안 대책이 아니라 국가 보안 체계를 완전히 다시 설계해야 한다고 역설했다. 이어 이 교수는 4가지 대책을 내놨다. 구체적으로 ▲인공지능(AI) 보안 법체계로 정보보호 법제의 전면 재편 ▲ISMS-P와 같은 문서 중심 인증 체계의 'AI-레질리언스(복원력) 인증 체계' 전환 ▲대형 플랫폼, 중요 인프라 기업의 기본 보안 수칙 의무화 ▲'사고 은폐가 불가한 공시체계' 도입 등이다.
우선 이 교수는 공격이 AI 기반으로 점차 고도화되고 진화할 것으로 예상되는 만큼 개인정보보호법, 정보통신망법 등으로 파편화된 보안 법률을 융합 보안 관점에서 통합하고 'AI 보안 법체계'로 전면 개정해야 한다고 강조했다.
또 쿠팡이 ISMS-P 인증·갱신 기업이었고, 롯데카드 역시 ISMS-P 인증을 받은 지 이틀 만에 해킹 사고를 겪었던 만큼 인증 체계의 전환도 주문했다. 이 교수는 "평균 탐지 시간(MTTD)과 평균 복구 시간(MTTR) 등 사고 대응 속도와 회복력을 핵심 지표로 삼고, AI 기반 이상행위 분석을 의무화해 실제 위협을 탐지하고 방어하는 ‘살아있는 인증’으로 거듭나야 한다"고 밝혔다.
관련기사
- 빗썸·코인원·코빗·고팍스, 업비트 출금 중단 조치...해킹 여파2025.11.27
- "고객님 계정 해킹됐습니다"…구글, 印서 디지털 사기 급증에 AI로 특단 대책2025.11.22
- 윈스테크넷 그룹웨어 해킹…"취약점 탓" vs "보안 관리 소홀"2025.11.22
- 금융회사 모의해킹해보니..."접근제어솔루션·그룹웨어 등 구멍"2025.11.21
아울러 기업이 피해 규모를 축소하거나 은폐할 수 있는 구조를 만들지 않기 위해 사고 발생 시 판단 주체를 기업에서 공적 영역으로 옮겨야 한다고 이 교수는 주장했다. 제3의 공적 기관이 실시간으로 위협을 탐지하고 공표하는 투명한 감시 구조를 법제화해야 한다는 것이다.
끝으로 이 교수는 "AI 시대의 보안은 더 이상 기업의 '비용'이 아니라 국가 생존의 필수 인프라다"라며 "지금이야말고 정부, 국회, 기업 모두가 낡은 보안 패러다임을 넘어 AI 시대에 걸맞은 새로운 국가 보안체계를 설계해야 할 때"라고 말했다.
