Your browser does not support JavaScript!
토픽 서머리
한국 사이버 보안 현실과 대책: ISMS 제도 실효성 논란부터 무과실 보상제 도입까지
  • goover 자동 생성 요약
  • 2025-09-25 13:04

최근 KT와 롯데카드 등 대형 통신·금융사의 대규모 해킹 사태를 계기로 한국 정보보안 관리체계(ISMS 및 ISMS-P) 인증 제도의 실효성에 대한 의문이 본격 제기되었다. 특히, 해킹 사고의 직접 원인인 팸토셀(초소형 이동통신기지국) 및 무선 기지국 등이 ISMS 인증 범위에서 제외돼 있어 인증이 형식적인 수준에 머무른다는 지적이 강하게 나오고 있다. 이에 따라 정부와 국회는 인증 제도 전반에 대한 실질적인 개편과 보완 작업이 시급하다고 보고 있으며, 보안 위협 환경 변화에 맞춰 인증 범위를 확대하고 보안관리 체계를 해킹 시나리오 기반으로 재구성해야 한다는 목소리가 커지고 있다.

한편, 국회 과학기술정보방송통신위원회에서 열린 KT·롯데카드 해킹 청문회에서는 기업 최고경영자(CEO)와 정부 관계자들이 집중적인 질책과 사퇴 요구를 받았으나, 실질적인 사고 원인 규명과 대응책 마련에 미흡했다는 평가가 나왔다. 해킹에 사용된 장비가 KT 공식 장비가 아닌 불법 개조 혹은 중국산 불법 통신장비였고, KT 내부망 접속을 위한 인증서 탈취가 보안 구멍이었다는 사실이 드러났으나 전반적인 수사와 대책 마련은 아직 진행 중이다.

국내 정보보안 산업의 경쟁력 문제도 이번 해킹 사태의 근본적 배경으로 지목된다. 한국 정보보안 기업의 다수가 소규모이고, 인력 유출과 낮은 연봉 등으로 인해 기업 생태계가 취약하다. 인공지능(AI) 기반의 해킹 기술이 고도화되고 있는 반면, 기업들의 보안 투자 의식은 여전히 저조하며, 보안 인프라와 인력 양성 지원도 체계적이지 못한 상태다. 미국이나 이스라엘과 달리 보안 스타트업을 유니콘으로 성장시키는 생태계가 부족하며, 정부 차원의 정교한 산업 활성화 정책이 절실하다.

보이스피싱 피해가 급증함에 따라 금융사에 고객 피해에 대한 ‘무과실 배상책임제’ 도입 논의가 활발하다. 당정은 금융사가 고객 과실 여부와 관계없이 보이스피싱 피해액의 전부 또는 일부를 배상하도록 하여 금융소비자 보호를 강화한다는 방침이다. 다만 금융권 일각에서는 비용 부담과 도덕적 해이 우려, 법적 근거 논란 등이 불거지고 있으며, 금융사와 고객 간 균형 잡힌 배상 기준과 예방 시스템 강화가 함께 고민되어야 한다는 반론도 존재한다.

서브 토픽
ISMS 인증 제도 실효성 및 팸토셀 보안 맹점 논란

조국혁신당 이해민 의원이 최근 팸토셀 및 무선 기지국이 ISMS-P 인증 범위에서 제외되어 해킹 사고 원인이 되었다고 지적했다. 한국인터넷진흥원(KISA) 자료에 따르면 ISMS-P 인증이 코어망 중심으로만 진행되어 실제 보안 사각지대로 남아있는 것이다.

롯데카드가 ISMS-P 인증을 받은 지 약 2주 만에 297만 명 규모의 정보 유출 사고를 당하면서 인증 제도의 실효성 문제가 제기됐다. 해킹은 오라클 WAS 서버의 8년 묵은 취약점 미패치가 핵심 원인으로, 인증이 형식적이고 체계적 업데이트 점검에 실패한 것이 사고를 불렀다는 비판이 많다.

  • 조국혁신당 이해민 "해킹사고 주요 원인 팸토셀, 무선 기지국 인증 범위 확대하라"
  • ISMS 인증 실효성 국회 청문회서 도마…개편 목소리 높아
KT·롯데카드 해킹 청문회와 불법 통신장비 수사 현황

2025년 9월 24일 국회 과방위 청문회에서 KT, 롯데카드, 과기정통부 관계자가 6시간 동안 질책을 받았으나 구체적 사고 경위 및 대응책에 대한 실효 있는 논의가 부족했다.

경찰 수사 결과, 해킹에 사용된 불법 통신장비는 KT 공식 장비가 아니며 중국산 불법 펨토셀 부품을 포함한 27개 부품 세트였다. KT 내부망 접속을 위한 인증서가 탈취돼 장비가 망에 침투할 수 있었고, 이에 대한 관리가 허술했던 점이 드러났다.

무단 소액결제 사태는 9월 5일 무렵 종료됐는데, KT 차단 조치와 범행 주범의 중단 명령이 복합적으로 작용한 것으로 보이며, 불법 장비 일부가 신속히 중국으로 반출된 점도 수사 중이다.

  • [취재수첩] 사장·차관 앉혀놓고 6시간 호통만 친 과방위
  • ‘무단 소액결제’ 의혹 더 커졌다…KT 펨토셀 아닌 불법 장비 사용, 인증서 해킹 정황
국내 정보보안 산업 경쟁력과 AI 기반 해킹 위협의 현실

한국 정보보안 산업은 소규모 기업 중심으로, 평균 연봉도 IT 대기업과 비교해 크게 낮아 인력 유출이 심각하다. 2024년 실태조사에 따르면 자본금 10억원 미만이 71%, 20인 미만 기업이 42%에 달한다.

미국과 이스라엘에서는 AI 기술을 활용한 보안 스타트업이 유니콘으로 성장하며 글로벌 시장 진출에 성공하고 있지만, 국내에선 제도와 지원체계 미비로 경쟁력이 약하다.

최근 해킹 공격은 AI를 활용해 하루 만에 취약점을 탐지하고 몇 개월간 잠복하며 내부망 권한을 장악한다. 보안 업데이트를 미루고 보안 문화가 취약한 한국 기업들은 이를 예방하기 어려운 현실이다.

  • 한국 보안 기업은 ‘좋소’ 방치...미국은 유니콘 키우고 글로벌 진출 지원[팩플]
  • “해킹에 AI까지 동원하는데… 한국 방어 능력은 25년 전 수준”
보이스피싱 무과실 배상책임제 도입 논의와 금융권 반발

더불어민주당과 정부가 보이스피싱 피해에 대해 금융사가 고객 과실과 관계없이 배상 책임을 지는 ‘무과실 배상책임제’ 도입을 추진 중이다. 올해 7월까지 보이스피싱 피해액은 7, 766억원에 달하며 피해 규모가 매년 급증하고 있어 대책 마련에 나선 것이다.

금융사들은 이미 모니터링 시스템을 강화하고 있으나 법적 책임 전가에 대해 비용 부담, 허위 신고 및 도덕적 해이 우려를 제기하며 반발하고 있다.

전문가 의견도 배상책임 강화 필요성에는 공감하면서도 법률 개정 시 금융사의 책임 범위, 피해자 주의 의무, 단계별 배상 한도 등 균형 있는 대책 마련이 중요하다고 지적한다.

  • 과실 없어도 보이스피싱 피해 배상 법적 책임  '족쇄'에 금융사들 ‘멘붕’  < 금융 < 기사본문 - 엠투데이
  • 당정 “보이스피싱 범정부 통합대응단 설치…금융통신수사 협업체계 구축”
  • [기획] 잘못 없어도 은행이 ‘피싱’ 피해 배상하라는 당정