최근 개인정보 유출 사고는 기업 보안의 허점을 드러냈습니다. 주요 사례와 원인을 분석하고, 접속기록 관리·사고 신고·보안 투자 등 핵심 대응 방안을 제시합니다.

최근 SK텔레콤, KT, 예스24, 롯데카드 등 굵직한 기업들의 개인정보 유출 사고가 연이어 발생하며 사회적 불안이 커지고 있습니다. 피해자는 수백만 명에 이르고, 기업은 막대한 과징금과 이미지 실추라는 이중의 타격을 입었습니다.

하지만 더 큰 문제는 ‘이 사고가 언제든 다시 발생할 수 있다’는 사실입니다. 단순한 보안 기술 부족이 아니라, 관리 부실·내부자 위협·보안 예산 축소 등 구조적인 허점이 반복적으로 드러나고 있기 때문입니다. 그렇다면 기업은 어떤 대응 전략을 마련해야 할까요?

최근 개인정보 유출 주요 사례

국내 기업을 상대로 한 해킹 사고는 갈수록 증가 추세에 있습니다. 한국인터넷진흥원 자료에 따르면 2021년부터 올해 8월까지 총 6,447건, 하루 평균 3.8건의 해킹이 발생했으며, 대기업을 겨냥한 공격도 전체의 20%에 달했습니다. (출처: 미디어 오늘 ‘해커 무법지대 된 대한민국… 기업 해킹 하루 3.8건 발생’)

KT: 소액결제 시스템 및 서버 침해

KT는 무단 소액결제 사고에 이어 서버 침해 사실까지 드러나면서 단기간에 두 건의 보안 사고를 겪었습니다. 이로 인해 결제 서비스 전반의 신뢰도가 크게 흔들렸으며, 늑장 신고 논란까지 겹치며 대응 체계가 허술했다는 비판을 받았습니다.

SK텔레콤: 서버 해킹으로 고객 유심 정보 유출

SK텔레콤은 서버 해킹으로 총 2,696만 건의 고객 유심 정보가 유출되는 대규모 사고를 겪었습니다. 유심 데이터는 금융 범죄로 악용될 수 있다는 점에서 파급력이 컸고, 신고 지연까지 드러나면서 위기 대응 절차의 신뢰성에도 의문이 제기되었습니다.

예스24: 반복된 랜섬웨어 공격

예스24는 두 차례 연속으로 랜섬웨어 공격을 받으며 서비스가 장기간 중단되었습니다. 홈페이지와 앱, 전자책 플랫폼이 모두 멈추자 고객 불편은 물론, 보안 체계의 구조적 취약성이 다시 한번 확인됐습니다.

롯데카드: 보안 패치 누락에 따른 사고

롯데카드는 서버 관리에 사용하던 오라클사의 웹로직(WebLogic) 보안 패치를 일부 시스템에 적용하지 않아 해커의 공격을 받았습니다. 이 과정에서 대규모 개인정보가 유출됐고, 최근 3년간 정보보호 예산을 15% 줄여왔다는 사실까지 알려지며 관리 부실이 근본 원인이라는 지적이 뒤따랐습니다.

(출처: 동아일보 ‘KT, 서버 해킹 알고도 사흘 뒤에야 신고… “유심 또 바꿔야 하나”’, 보안뉴스 ‘개인정보 관리 사각지대 해소해야’, TV조선 ‘롯데카드 해킹 사태…원인과 대응책은?’)

보안 실패의 공통 원인

1. 주요 정보 암호화 조치 미흡

세계이동통신사업자협회(GSMA)는 유심 인증키 값 암호화를 권고하고 있으며, 국내 다수 통신사도 이를 준수하고 있습니다. 그러나 일부 기업은 해당 정보를 암호화하지 않은 상태로 저장해 대규모 유출 사고로 이어진 바 있습니다. 이는 암호화가 개인정보 보호에서 핵심적인 안전장치임을 보여주는 사례로, 주요 정보의 저장·전송 단계에서 암호화 조치를 강화할 필요성이 다시 부각되었습니다.

2. 내부자 위협 관리 부재

최근 사고에서 드러난 또 다른 특징은 내부자의 권한 남용입니다. 정당한 접근 권한을 가진 직원이 이를 무단 활용하거나, 퇴사자 계정이 방치된 상태에서 정보가 유출되는 경우가 반복적으로 보고되었습니다. 내부 위협은 외부 공격보다 탐지하기 어려우며, 사고 발생 시 파급력도 크기 때문에 계정 종료 프로세스 자동화와 접근권한 최소화 정책이 핵심 과제로 떠오르고 있습니다.

3. 보안 패치 미흡

롯데카드 사례에서처럼 이미 알려진 취약점에 대해 제조사가 보안 패치를 제공했음에도 일부 시스템에 이를 적용하지 않아 사고가 발생했습니다. 이는 단순한 기술적 실패가 아니라, 보안 관리 프로세스의 부실을 보여주는 사례입니다. 주기적 패치 관리와 취약점 점검은 더 이상 선택이 아니라, 법적·경영적 의무로 받아들여야 합니다.

4. 보안 투자를 비용으로만 인식

정보보호 예산을 줄여온 기업일수록 사고 대응 능력이 취약했습니다. 실제로 최근 유출 사례 중 일부 기업은 보안 예산 축소 → 인력 및 시스템 관리 부실 → 사고 발생이라는 악순환을 보여주었습니다. 사이버 보안은 단기적 비용이 아니라, 기업 평판·고객 신뢰·법적 리스크를 좌우하는 장기적 투자라는 인식 전환이 시급합니다.

실질적인 보안 대응 방안

1. 개인정보 접속기록 관리

• 누가 언제 어떤 데이터에 접근했는지 기록·추적 가능해야 함

• 접속 로그는 사고 발생 시 ‘디지털 지문’ 역할

• 개인정보보호위원회는 접속기록 관리를 법적 의무사항으로 강화 중

2. 24시간 이내 침해사고 신고 의무

• 2024년 이후, 침해사고 발생 시 24시간 내 신고 의무화

• 그러나 최근 1년간 66건의 늑장·미신고 사례 발생

• 정부는 지연 신고 시 과태료 등 처분 강화 예정

• 기업은 즉각적인 대응 프로세스 마련이 필요

(출처: 뉴시스 ‘해킹 사고 늑장 신고시 과태료 더 문다)

3. 보안 투자와 의식 개선

• 국내 금융·보험업종 보안 투자 비율: IT 예산 대비 9.6%, 글로벌 평균보다 낮음

• 단순 비용이 아닌 기업 생존을 위한 투자로 인식 전환 필요

• 보안 교육과 전사적 참여 문화 확산 필수

(출처: 에너지경제 ‘금융권 덮친 해킹 공포…“보안체계, 투자·거버넌스로 가야”’)

FAQ

Q1. 최근 개인정보 유출 사고에서 가장 큰 원인은 무엇인가요?

단순 외부 해킹만이 아니라, 내부자 권한 남용·퇴사자 계정 방치·보안 패치 미적용 등이 반복적으로 확인됐습니다. 특히 롯데카드 사례처럼 이미 알려진 취약점에 대해 패치를 누락한 경우가 많았으며, 이는 관리 부실의 전형적인 문제로 지적됩니다.

Q2. 침해사고가 발생했을 때 기업이 반드시 지켜야 할 법적 의무는 무엇인가요?

2024년부터는 침해사고 발생 후 24시간 이내 신고가 법적으로 의무화되었습니다. 그러나 최근 1년간 66건의 늑장·미신고 사례가 발생했으며, 정부는 지연·미신고 시 과태료 부과 등 처분을 강화할 예정입니다.

Q3. 개인정보 접속기록 관리는 왜 중요한가요?

접속기록은 사고 발생 시 누가 언제 어떤 데이터에 접근했는지 확인할 수 있는 유일한 증거입니다. 범죄 현장의 지문과 같은 역할을 하며, 내부 위협을 사전에 탐지하는 조기 경보 체계로 기능합니다. 개인정보보호위원회는 이를 법적 의무사항으로 규정하고 관리 강화를 지속하고 있습니다.

Q4. 보안 예산 투자가 실제 사고 예방에 효과가 있나요?

네. 국내 금융·보험업종의 보안 투자 비율은 IT 예산 대비 9.6%로 글로벌 평균보다 낮은 수준입니다. 롯데카드 사례처럼 보안 예산을 3년간 15% 줄인 기업이 사고를 겪은 경우도 있어, 보안 예산 축소는 사고 위험 증가와 직결되는 것으로 나타났습니다.

Q5. 내부자 위협은 어떻게 관리할 수 있나요?

퇴사자 계정의 즉시 삭제, 권한 최소화 원칙, 정기적인 접근권한 점검이 필수적입니다. 내부자 위협은 외부 해킹보다 탐지가 어렵기 때문에, 접속기록 관리·행위기반 이상탐지 시스템을 결합하는 방식이 효과적입니다

결론

개인정보 유출은 단순한 사고가 아니라 기업 존속을 위협하는 심각한 리스크입니다. 접속기록 관리, 신속한 사고 신고, 보안 투자 확대는 더 이상 선택이 아닌 기업의 의무로 자리 잡고 있습니다.

드림시큐리티는 이러한 요구에 대응하기 위해 다음과 같은 솔루션을 제공합니다.

• MAGIC ZTNA: 지속적인 검증과 동적 접근제어를 통해 제로트러스트 환경을 구현합니다. 단순 인증 절차를 넘어, 허가된 사용자에게만 접근을 허용하고, 인증 이후에도 서비스 사용 전 과정에서 인가 통제를 수행하는 네트워크 보안 체계입니다.

• MAGIC IAM: 시스템별로 흩어져 있는 계정과 권한을 정책 기반으로 통합 관리하는 솔루션입니다. 사용자 계정의 생성부터 변경·삭제까지 전 과정을 자동화해 내부자 위협을 최소화하고, 권한 관리의 투명성과 효율성을 보장합니다.

• Magic DBPlus: 개인정보 등 민감정보를 DB에 저장하는 경우, 데이터를 안전하게 암호화하여 침해사고 시에도 데이터 유출을 방지합니다. 별도의 정책서버를 통해 데이터 암호화에 사용되는 암호키와 정책을 안전하게 관리합니다.

이제는 사고 후 뒷수습이 아닌 사전 예방 중심의 보안 전략이 필요합니다. 드림시큐리티는 기업이 안전하고 신뢰할 수 있는 디지털 환경을 구축할 수 있도록 최적의 솔루션을 제공합니다. 지금 바로 드림시큐리티 솔루션으로 귀사의 보안 전략을 점검하세요.