"보안 취약점이 발견되는 것을 어떠한 문제나 사고 상황으로 인식하는 경우가 많다. 이에 다들 잘못이라 생각해서 일종의 방어기제가 발동해 취약점을 감추려고 한다. 진짜 잘못은 보안 취약점을 발견해 놓고도 대응하지 않는 것이다. 보안 문화 개선이 시급하다"
박찬암 스틸리언 대표는 1일 개최된 'AI 해킹 방어 대회(ACDC 2025)'에서 연사로 나와 이같이 밝혔다. 그는 이날 '최근 보안사고들의 관찰과 고찰'을 주제로 발표했다. 박 대표는 보안 문화에 대한 근본적인 개선이 이뤄져야 국내 정보보호의 체질 개선이 이뤄질 것으로 관측했다.
우선 박 대표는 인공지능(AI) 등장으로 공격이 더욱 쉽고 많아질 수 있다고 밝혔다. 공격자 관점에서 사람을 더 쉽게 속일 수 있게 되고, 공격 시간도 현저히 단축되며 이에 따라 공격 건수도 증폭될 우려가 나온다.
이처럼 고도화된 공격에 한국 기업들은 속수무책으로 당했다. 최근 초대형 개인정보 유출 사고가 발생한 쿠팡서부터 업비트, SK텔레콤, 예스24, KT, 롯데카드 등 굵직한 사고들이 한 해에만 터져나왔다.
이에 박 대표는 "올해 사고가 너무 많이 터져 공격 표면을 확인하고 취약점을 알아내자는 얘기가 많이 나온다"면서 "그러나 취약한 시스템의 취약점만 보완하면 끝나는 것이 아니다. 일종의 대증요법에 불과하다"고 지적했다.
이어 "보안을 대하는 문화를 근본적으로 개선해야 한다"며 "예컨대 보안 취약점이 발견됐다고 가정하면 보안 전문가의 의견을 수용하고 적극적으로 조치하는 전사적인 문화가 정착돼야 할 것"이라고 강조했다.
이어 그는 보안 사고의 근본 원인으로 '다수의 자산'을 꼽았다. 기업에서나 조직에서 보유하고 있는 자산이 너무 많아 보안 관리가 어려운 데다, 지켜야 할 자산을 보유한 조직조차 어떤 자산이 있는지 파악하지 못하고 있다는 것이다.
관련기사
- 스틸리언, 기업은행에 앱 보안 솔루션 '앱수트' 공급2025.08.27
- 스틸리언, 현대해상에 모의해킹 서비스 제공2025.08.18
- 가상자산 해킹 '급증'…스틸리언, 코인원 앱 보안 강화 나선다2024.09.30
- 한국, AI해킹방어 대회 첫 개최...'2025 ACDC' 열려2025.12.01
또 중요하지 않다고 판단한 자산에 대한 보안 소홀, 다수의 레거시 시스템 등도 문제로 꼽혔다. 보안 담당자들의 권한과 예산 부족도 지적됐다. 금융권의 경우 C(최고)레벨 차원의 보안 강화 움직임이 있으나 국내 기업 전반에 걸쳐 보안을 강화하려는 움직임은 아직 미흡하다는 지적인 셈이다.
박 대표는 "어마어마하게 뛰어난 기술이 있다고 해도 전사적으로 보안에 대한 기본기가 없으면 의미가 없다. '최신 기술이 없어서, AI 기술이 없어서 뚫렸다'는 얘기는 아직까지 들어본 적이 없다"며 "문제의 본질인 문화, 예산, 권한, 역량 등 근본적인 문제를 해결하는 것이 필요하겠다"고 진단했다.
