[이코리아] SK텔레콤 유심 해킹 사태의 여파가 이어지는 가운데, 이번엔 CJ그룹의 IT 계열사인 CJ올리브네트웍스에서 인증서 파일이 외부에 유출된 정황이 드러나면서 대기업을 겨냥한 사이버 공격 위협이 커지고 있다.
CJ올리브네트웍스는 CJ대한통운·CJ ENM 등 그룹 핵심 계열사의 IT 인프라를 담당하는 기업이다. 6일 중국의 보안기업 레드드립팀(RedDrip Team)은 북한 해킹 조직 '김수키'가 유포한 악성코드에서 CJ 명의의 디지털 서명이 포함된 파일이 발견됐다고 밝혔다. 이 악성코드는 공공 연구기관인 한국기계연구원을 공격하기 위해 사용된 것으로 추정된다.
CJ 측은 이날 인증서 유출 정황을 파악한 후 오전 중 즉각 폐기해 현재 해당 인증서는 유효하지 않은 상황이라고 밝혔다. 또 북한의 공격으로 추정되는 이번 유출 사고에 대해 구체적인 내부 사실 확인 후 추가 후속조치를 취할 계획이다.
디지털 인증서란 특정 파일이나 프로그램이 신뢰할 수 있는 기업에서 만들어졌다는 것을 증명하는 ‘전자 서명’이다. 해커가 이를 탈취해 악성코드에 활용하면, 보안 프로그램이 이를 정상 파일로 오인해 탐지를 우회할 수 있게 된다.
한편 지난 18일 벌어진 SKT 유심 해킹 사태의 여파 역시 여전하다. 이용자들은 연휴 기간 유심 교체를 위해 대리점으로 몰려가는 등 불편을 겪었으며, SK 그룹 최태원 회장은 7일 SK텔레콤 사옥에서 열린 언론 브리핑에 참석해 "이번 사고로 불편을 겪은 모든 분들께 진심으로 사과드린다."라며 고개를 숙였다. 또 유심 교체 지원 확대와 보안 시스템에 대한 투자 확대, 외부 전문가가 참여하는 '정보보호혁신위원회' 구성 등 그룹 차원의 보안 강화도 약속했다.
과학기술정보통신부와 한국인터넷진흥원(KISA) 중심의 민관합동조사단은 SK텔레콤 서버 침해 사고의 정확한 원인과 경로를 규명하기 위한 조사를 진행 중이지만 해킹의 주체, 유입 경로 등 구체적인 상황에 대한 조사는 아직 지지부진한 상황이다.
SK텔레콤의 지난해 정보보호 투자비는 경쟁사 대비 낮은 수준에 머물러, 투자 부족이 사태를 키운 것 아니냐는 지적도 나왔다. 한국인터넷진흥원과 업계에 따르면 SK텔레콤의 지난해 정보보호 투자비는 약 600억원으로 전년도 대비 4% 줄었으며, 이는 1,218억원의 정보보호 투자비를 집행한 KT나 632억원을 투자한 LG 유플러스보다 적은 규모라는 지적이다.
지난 8일 열린 국회 청문회에서도 이훈기 더불어민주당 의원은 SKT 영업이익이 1조8000억원으로 KT와 LG유플러스를 합한 것보다 많은 반면 정보보호 투자액은 영업이익의 3.29%로 KT 15%, LG유플러스 7.34%에 비해 적다고 지적한 바 있다.
이 외에도 이날 청문회에서는 SKT의 보안 대응에 대한 질의가 이어졌다. 박정훈 국민의힘 의원은 “글로벌 보안업체 트렌드마이크로가 지난해 이미 국내 통신사를 대상으로 한 사이버 공격 정황을 두 차례 경고했는데, 이를 인지하고 있었느냐”고 질의했지만 유 대표는 “보고받지 못했다”고 답했다.
이해민 조국혁신당 의원은 “올해 정보보호 회의를 몇 차례 주관했느냐”는 질문에 유 대표가 즉답을 피하자, “SKT는 올해 단 한 차례도 해당 회의를 주관하지 않았다”고 지적했다.
대기업의 해킹 사고가 이어지며 보안은 더 이상 개별 기업의 선택의 문제가 아닌, 기반 인프라가 되어야 한다는 목소리가 높아진다. 과기정통부가 공개한 올해의 정보보호 공시 의무 대상 기업은 지난해보다 16개 늘어난 671곳이다. 정보보호 공시 제도는 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 시행중인 제도로 각 기업의 투자 액수, 전담 인력, 관련 활동 등 현황을 의무 공개하는 제도다.
하지만 아직 국내 기업의 보안 역량이 부족하다는 지적도 나온다. 시스코가 8일 발표한 '2025 사이버보안 준비 지수(Cybersecurity Readiness Index)'에 따르면, 국내 기업 가운데 단 3%만이 오늘날 사이버보안 위협에 효과적으로 방어하는 데 필요한 ‘성숙(Mature)’ 단계의 준비 상태를 달성한 것으로 나타났다. 지난해 조사에서 한국 기업의 4%가 성숙 단계로 분류되었던 것과 비교하면 소폭 하락한 수치다.
AI로 인해 보안 위협이 커지고 있다는 부분도 지적했다. 시스코에 따르면 국내 기업 중 83%가 지난 1년간 AI와 관련된 보안 사고를 경험한 것으로 나타났다. 그럼에도 불구하고 전체 응답자 가운데 AI 기반 위협을 자사 직원이 충분히 이해하고 있다고 답한 비율은 30%에 불과했으며, 악의적 공격자가 AI를 활용해 정교한 공격을 수행하는 방식에 대해 팀이 제대로 파악하고 있다고 응답한 비율은 28%에 그쳤다. 이런 인식 부족이 기업을 치명적인 보안 취약점에 노출시키고 있다고 시스코는 설명했다.
시스코코리아 최지희 대표는 “이제는 단순 방어를 넘어, 위협 발생 이후의 복구와 회복을 아우르는 보안 회복 탄력성을 갖추는 것이 필수”라고 강조했다. 이어 그는 “올해 사이버보안 준비 지수 결과에서도 확인할 수 있듯, 국내 기업들의 대비 수준은 아직 충분하지 않은 상황이다. AI 기반 위협 대응 역량을 강화하고, 관리되지 않는 디바이스와 섀도 AI 등 새로운 리스크까지 포괄하는 전략적 보안 포트폴리오에 대한 투자가 그 어느 때보다 절실하다”라고 설명했다.
실제로 과기정통부와 한국인터넷진흥원 역시 지난해 12월 발표한 「2024년 사이버위협 사례 분석과 2025년 사이버위협 전망」 에서 올해의 보안환경 전망으로 생성형 AI를 악용한 사이버위협을 전망했으며, 구글 클라우드 역시 ‘2025년 사이버 보안 전망(Mandiant Cyber Security Forecast 2025)’ 보고서를 내놓으며 생성형 AI를 최대의 보안 위협으로 꼽은 바 있다.
