"올해만 몇 번째냐" 반복되는 대규모 개인정보 유출, 근본적 원인은 보안 투자 부족·부실 대응

"쿠팡만 문제가 아니다" 국내 대규모 보안 사고 1년 내내 이어져
보안 투자 확대 꺼리는 기업들, 사후 대처도 부실한 경우가 대부분
업계 발칵 뒤집은 리액트 사태, 韓 산업계 약점 파고들까

국내 산업계의 허술한 보안 체계가 시장의 뭇매를 맞고 있다. 올해 초부터 수차례 대규모 정보 유출 사고가 반복돼 온 가운데, 최근 쿠팡에서도 수천만 명의 개인정보가 새어 나가며 기업들의 보안 관리 행태에 대한 비판이 거세지는 분위기다. 전문가들은 이 같은 보안 허점이 고질적인 투자 부족 및 안일한 업계의 보안 의식에서 기인했다고 지적한다.

보안 사고에 짓눌리는 한국

10일 유통업계에 따르면, 쿠팡은 지난달 18일 고객 계정 약 4,500개의 개인정보가 외부에서 무단 조회된 사실을 인지했다. 정보 유출범에 대한 고소장은 지난달 25일 제출됐으며, 한국인터넷진흥원·개인정보보호위원회에도 신고가 이뤄졌다. 그러나 관계 기관 합동 조사와 후속 내부 조사 과정에서 정보가 유출된 계정 수가 4,500개가 아닌 약 3,370만 개에 달한다는 사실이 확인됐다. 쿠팡에 따르면 고객 정보를 무단으로 조회한 계정 사용자는 과거 재직했던 중국 국적 전직 직원이며, 이 직원은 이미 퇴사 후 출국한 상태다. 해당 계정을 실제 본인이 사용했는지, 제3자가 도용했는지는 아직 확인되지 않았다.

올해 들어 꾸준히 누적되는 대규모 개인정보 유출 사태에 소비자 불안은 가중되는 추세다. 일례로 지난 1월 GS리테일은 지난해 12월 27일부터 지난 1월 4일까지 웹사이트 해킹으로 고객 9만여 명의 이름과 성별, 생년월일 등 7개 항목의 개인정보가 유출됐다고 밝혔다. 약 한 달 뒤인 2월 27일엔 “최근 1년간 기록을 추가 분석한 결과 해킹 공격으로 약 158만 건의 개인정보가 유출된 정황을 확인했다”고 추가 공지하기도 했다. 올해 발생한 첫 대규모 개인정보 유출 사고였다. 지난 4월에는 SK텔레콤에서 이용자 약 2,324만 명의 정보가 새 나갔다. 여기엔 기본 가입자 정보는 물론 개인을 특정할 수 있는 인증 정보(가입자 식별 번호, 단말기 식별 번호 등) 등 모두 25종의 개인정보가 포함됐다. 전 국민의 절반 가까이가 피해를 입은 해당 사고에 대해 개보위는 지난 8월 역대 최대인 1,347억9,100만원의 과징금을 부과했다.

5월에는 구인·구직 플랫폼 알바몬이 사이버 공격을 당해 이용자들의 이름과 휴대전화 번호 등이 포함된 임시 저장 이력서 2만2,473건이 유출됐으며, 7월에는 대성학원 관계사인 대성학력개발연구소에서 학생 개인정보가 새 나갔다. 다음 달인 8월엔 KT 무단 소액결제 사건이 발생했다. KT와 수사 당국 등은 고객 약 2만2,200명의 개인정보와 인증 정보가 유출됐으며, 이 중 368명이 무단 소액결제로 약 2억4,319만원 규모의 피해를 입었다고 추산했다.

보안 체계 허점, 어디서 기인했나

이처럼 대규모 보안 사고가 반복되는 근본적 원인으로는 국내 기업들의 소홀한 보안 투자가 지목된다. 과학기술정보통신부가 전국 10인 이상 기업 6,500곳을 조사해 올 4월 발표한 2024년 정보보호 실태조사 결과에 따르면, 정보 보호에 아예 예산을 배정하지 않거나 500만원 미만의 비용을 투입한 기업의 비율은 전체의 87.9%에 달했다. 10곳 중 9곳이 보안 사각지대에 놓인 것이다. 전체 기업 중 정보 보호에 예산을 한 푼이라도 배정한 기업은 절반(49.9%)에 불과했다. 아울러 전체 기업의 48.4%는 사내에 정보보호 정책이 없었고, 67.4%는 정보보호 조직 자체가 없었다.

인력 부족 문제 역시 심각한 상황이다. 과기부에 따르면 올해 정보 보호 전문 기업의 정보 보안 인력 채용 계획은 2,029명에 그쳤다. 이는 지난해 채용 규모(3,159명) 대비 35.77% 감소한 수치다. 국내 기업 가운데 보안 업무를 위한 전업 인력을 갖춘 곳도 28.6%에 그치며, 보안 담당 인원을 보유한 기업도 63.6%가 보안 업무를 다른 업무와 겸업하도록 하고 있는 것으로 확인됐다. 심지어 건설사 등 일부 기업은 정부의 보안 공시에서 인사 담당자가 IT 지식이 필요한 보안 업무를 총괄 중이라고 보고하기도 했다.

허술한 대응 방식 역시 문제로 꼽힌다. 지난해 정보 침해 사고를 경험한 기업 중 별다른 사후 대응을 하지 않은 기업의 비중은 자그마치 67.7%에 달했다. 대응에 나선 기업도 보안 솔루션 구축·고도화(11.7%), 위탁관리 업체에 피해 보상 요구(11.3%), 내부 정책 수립·수정(9.3%) 등 소극적인 대처를 택한 경우가 대부분이었다. 침해 사고를 당하고도 신고하지 않은 비율은 80.4%에 육박했다.

이 같은 구조적 문제는 국내 기업들의 치명적인 보안 허점들을 만들어냈다. SK텔레콤 유심 해킹 사고에서는 계정 관리 부실, 주요 정보 암호화 미흡, 전사적 정보보호 거버넌스 부재가 확인됐다. KT는 지난해 BPF도어 악성코드에 서버가 대량 감염된 사실을 자체 파악하고도 당국에 신고하지 않고 은폐한 것으로 드러났다. 쿠팡은 퇴사한 개발자의 서명키를 폐기하지 않고 방치했으며, 5개월간 비인가 정보 조회가 이어졌음에도 이를 제때 인지하지 못했다.

리액트 사태로 불안감 재차 가중

한국 기업들의 보안 취약성은 국내 소비자들의 불안감을 꾸준히 가중하고 있다. 최근 들어서는 IT업계를 발칵 뒤집은 '리액트(React)' 사태에 대한 우려가 곳곳에서 쏟아져 나오는 상황이다. 이달 3일 아마존웹서비스(AWS) 등을 통해 웹 개발 프레임워크로 널리 쓰이는 리액트가 '리액트2쉘(React2Shell·CVE-2025-55182)'이라는 취약점을 가졌단 사실이 확인됐다. 해당 취약점은 리액트 19.x 버전 및 리액트 기반 프레임워크 '넥스트js'의 15~16.x 버전에 영향을 미친다. 공격자는 취약점을 악용해 단 한 번의 요청만으로 인증 없이 서버에서 임의 코드를 실행할 수 있으며, 이를 통해 중요 데이터를 삭제하거나 변조하고 관리자 권한까지 탈취할 수 있다.

문제는 중국 지능형 사이버 지속공격(APT) 집단이 이 같은 허점을 신속하게 파고들고 있다는 점이다. AWS에 따르면 중국 정부를 배후로 둔 어스 라미나, 잭팟 판다 등 해커 조직은 해당 취약점이 공개된 지 수 시간 만에 이를 무기화하고 실전 배치했다. AWS는 이들의 공격 캠페인이 정교함보다는 넓은 영역을 빠르게 타격하는 데 초점을 두고 있으며, 이들이 취약점을 무기화한 'PoC 코드'의 동작 검증을 건너뛰고 바로 공격에 투입하는 중이라고 전했다. 보안 패치가 이뤄지기 전 빠르게 초기 침투를 달성하려는 것이다.

중국 해커 그룹이 이 같은 전략을 채택할 수 있었던 것은 리액트가 전 세계 웹 개발 시장을 장악한 웹 프레임워크 중 하나이기 때문이다. 글로벌 보안기업 위즈(Wiz)에 따르면 전체 클라우드 환경의 약 40% 이상이 넥스트JS 또는 리액트 인스턴스를 포함한다. 정밀도가 낮은 광범위 공격을 감행해도 상당한 규모의 피해자가 발생할 수 있는 환경인 셈이다. 특히 토스, 쿠팡, 11번가, 카카오페이 등 다수의 국내 주요 기업도 리액트를 활용 중인 것으로 알려져 있다. 향후 취약점 대응이 지연될 경우 국내 결제 시스템, 전자상거래 등 국민 생활과 직결된 국내 서비스가 연쇄적으로 중단될 위험이 있다는 의미다.