국내 기업·기관들이 부지기수로 해킹·정보유출 사고로 홍역을 치르면서 정보보안 불감증에 대한 위기감이 고조되고 있다. 사고 때마다 드러나는 정보보호 정책상의 구멍을 메울 대책이 시급하다는 우려가 나온다.

15일 금융당국과 업계에 따르면 국내 최대, 세계 3위 보증보험사인 SGI서울보증에서도 랜섬웨어로 추정되는 사이버 공격에 이틀째 마비사태가 벌어졌다.

중요도가 금융 핵심 인프라 못지않은 기관임에도 랜섬웨어 공격 한 번에 시스템 전체가 마비될 정도로 재해복구(DR) 시스템 또는 백업 체계가 미흡했거나, 백업 시스템까지 랜섬웨어에 감염됐을 가능성이 제기된다.

SGI서울보증은 국가공인 정보보호 인증인 정보보호관리체계(ISMS)나 개인정보 보호(ISMS-P) 인증을 받지 않은 것으로 나타났다. 금융기관은 ISMS-P 의무 인증대상이 아니다. SGI는 올해 3월 상장 당시 제출했던 증권신고서에서 “ISMS 인증을 추진함으로써 금융 보안 위협에 대응하고자 한다”고 밝혔지만 결국 사고가 날 때까지 인증을 받지 못했다.

SGI는 한국인터넷진흥원(KISA)의 정보보호 공시제도에도 참여하지 않고 있는 것으로 나타났다.

올 상반기에만 굵직한 기업·기관들이 정보보안 사고를 내면서 정보보호 상 미비점들을 지적받았다.

SK텔레콤은 지난 4월 유심정보 유출사고 때 △2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견했지만 로그기록 6개 중 1개만 확인하면서 공격자의 서버 접속 기록을 놓쳐 신고 의무를 어긴 점 △올해 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 KISA에 신고해 늑장 신고 논란이 있었던 점 △시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않은 점 등이 민 합동조사 결과로 드러났다.

같은 달 KS한국고용정보도 인사시스템이 해킹돼 이름·생년월일·주민등록번호·우편번호·주소·전화번호·이메일 등 다수의 개인정보가 유출된 사고가 있었다.

민감한 개인정보를 암호화하지 않고 저장했다는 점이 가장 치명적인 문제로 지적됐다.

대법원은 전산망이 북한 해커 조직 ‘라자루스’의 공격으로 침해당하는 사태도 있었다. 고도화된 국가 배후 해커그룹의 공격에 대해 사전 예측 및 방어 시스템이 충분치 않았을 가능성이 제기됐다.

G마켓·옥션·카카오엔터프라이즈·배달의민족·당근마켓·CJENM 등에서는 고객 및 임직원 개인정보 유출사고가 줄을 이었고 관리부실 지적이 뒤따랐다.

지난달에는 한국파파존스와 써브웨이에서 개인정보 노출 사고가 있었다. 두 사고 모두 주문 조회 시스템에서 URL 주소의 특정 숫자만 변경해도 다른 고객의 개인정보가 노출되는 취약점이 발견됐다.

이재걸 기자 claritas@naeil.com