“한국, 털리고도 모른다”…AI 해커·보안 공백·은폐까지 삼중위기
정보보호 공시제도는 실효성 부족…통신 3사 보안 의무도 허술, 해킹 은폐까지
AI를 활용한 해킹 기술이 빠르게 고도화되는 가운데, 한국의 사이버보안 대응체계는 여전히 부처별로 분산되어 있어 효과적인 대응이 어렵다는 지적이 나왔다.
특히 정보보호 공시제도의 실효성 부족과 대형 통신사들의 해킹 은폐 정황까지 드러나며, 국가 차원의 보안 컨트롤타워 신설 필요성이 급부상하고 있다.
국회 과학기술정보방송통신위원회 소속 이상휘 국회의원(국민의힘, 포항남·울릉)은 “2025년은 대한민국이 탈탈 털린 해였다”며 “AI 해킹 시대에 정부는 아직도 부처별 대응에 머물고 있다”고 지적했다.
최근 다크웹에는 ‘잔소록스AI(Xanthorox AI)’ 등 해킹 전용 인공지능까지 유통되고 있으며, 단 몇 줄의 명령어로 수백 줄의 악성코드를 자동 생성하는 등 사이버 공격 방식이 진화하고 있다.
하지만 한국은 금융위, 과기정통부, 개인정보보호위원회 등 부처별 대응 체계가 따로 운영되고 있어, 정보 공유와 초기 대응에 공백이 발생하고 있는 상황이다.
이 의원은 “해외는 이미 미국의 CISA, 일본 총리실 산하 사이버전략본부처럼 국가 단위 보안 컨트롤타워를 운영 중”이라며 “한국도 권한과 책임이 명확히 집중된 국가 사이버보안 컨트롤타워를 구축해야 한다”고 주장했다.
문제는 민간 영역에서도 심각하다. 한국인터넷진흥원(KISA) 자료에 따르면, 2025년 기준 정보보호 공시 의무대상 기업 666곳 중 23.7%에 해당하는 158개 기업은 정보보호 전담 인력이 단 한 명도 없었고, 26곳은 정보보호최고책임자(CISO)조차 지정하지 않은 것으로 나타났다.
일부 기업은 CISO 채용 대신 연간 과태료 1,000만 원 납부를 택하는 등 ‘도덕적 해이’가 벌어지고 있다는 비판도 나온다.
이 의원은 “지금의 정보보호 공시제도는 공시만 있고 실질적인 보안 대책이나 사후조치가 전무하다”며 “해킹 불안이 일상화된 지금, 정부는 실효성 있는 제도 개선에 즉각 나서야 한다”고 강조했다.
이와 함께 최근 LG유플러스가 해킹 사실을 인지하고도 수개월간 이를 은폐한 정황도 논란이 되고 있다.
블룸버그 등 해외 보도에 따르면, 중국 해킹 그룹이 LGU+ 협력사의 서버를 통해 내부망에 접근했으며, 북한 해커조직 ‘김수키’의 서버에서는 LGU+의 내부 계정정보 4만 2천여 건이 유출된 사실도 확인됐다.
하지만 LGU+는 정부에 침해사고를 자진 신고하지 않은 채 자체 점검만 진행하고 있는 것으로 알려졌다.
이에 대해 이상휘 의원은 “통신 3사를 두고 SKT는 털렸던 곳, KT는 털린 곳, LGU+는 털릴 곳이라는 조롱까지 나오고 있다”며 “정부는 해킹사고의 사후처리자가 아니라, 사전차단자 역할을 해야 한다”고 강조했다.
이어 “통신 3사에 대한 상시 보안점검 체계와 실시간 침해사고 보고 의무를 강화해야 한다”고 덧붙였다.
전체댓글 0