잇단 대형 해킹사고, 정부 '그립'은 강해져…보안 B+학점

에스지에이 솔루션즈지디넷코리아2026.05.27 00:00

[창간 26주년 특집 : 이재명 정부 1년 평가] ⑦보안지난해 6월 출범한 이재명 정부는 '진짜 성장'을 내세웠다. AI로 경제·사회·기술 대전환을 꾀해 국가발전과 국민행복이 선순환되는 시대를 열겠다는 것이다. 지난해 하반기부터는 30대 선도프로젝트가 가동되기 시작했으며 각 경제·산업 분야에서 AI 대전환이 진행 중이다. 일단 스타트는 좋다. AI 붐을 등에 업고 코스피 7000 시대가 열렸다. 하지만 미국·이스라엘-이란 전쟁으로 인한 고유가·고물가·고환율 리스크가 AI 대전환의 발목을 잡고 있다. 지디넷코리아는 창간 26주년을 맞아 이 격변의 시점에 있는 대한민국 산업 현장을 진단하고, 각 분야 전문가들과 함께 'AI 시대, 이재명 정부 1년'을 평가했다. [편집자주]2025년 4월, 대한민국은 SK텔레콤 유심(USIM) 정보 유출이라는 초대형 보안사고가 터졌다. 이로부터 약 40여일 후인 작년 6월 4일 이재명 정부가 출범했다. 새 정부 출범 후에도 대형 보안사고가 잇달았다.이재명 정부 출범 5일 후인 작년 6월 9일 예스24가 랜섬웨어 공격을 받아 홈페이지·앱·전자책·티켓 서비스가 대규모로 마비됐다. 이어 작년 8월 말~9월 초 KT의 불법 초소형 기지국(펨토셀)을 악용한 해킹으로 가입자 2만2227명의 개인정보가 유출되는 사고도 일어났다. 예스24와 KT 이후에도 롯데카드, SGI서울보증, 쿠팡에서도 태풍급 보안사고가 연달아 일어났다.대형 보안사고가 이어지면서 이재명 정부는 규제 '그립'을 세게 쥐었다. 민간 사이버보안을 책임진 과기정통부와 개인정보보호 파수꾼인 개인정보보호위원회(개보위)가 잇달아 규제 강화책을 내놓았다.올 1월 말 과기정통부는 20개 주요 실행과제로 이뤄진 '제2차 정보보호 종합대책'을 발표했다. 개보위는 지난 12일 대통령 주재 국무회의에서 '예방 중심 개인정보 관리체계 전환 계획'을 보고, 주요 공공시스템과 대규모 개인정보를 처리하는 약 1700개 고위험 시스템을 정부가 직접 정기점검을 하겠다고 선언했다.이재명 정부는 지난해 공약집 등을 통해 사이버위협 대응 방안으로 ▲망 중심에서 데이터 중심의 정보보호 체계 전환 ▲침해사고 발생 시 명확한 책임 부과 ▲정보보호 공시제도 강화 추진 등을 제시한 바 있다.일각에서는 정부의 강력한 보안 정책 드라이브로 우리나라 사이버 보안 펀더멘털이 한층 단단해질 것이라고 기대한다. 하지만 현장의 고질적인 구조적 결함을 먼저 해소하지 않은 채 밀어붙이기식 의무화만 강조한다면 산업계의 반발과 혼선은 불가피하다.오랜 기간 체질 개선을 이루지 못한 사이버 보안 분야는 정부의 강력한 드라이브에도 불구하고 개선해야 할 부분이 포착됐다. 본지가 이재명 정부 출범 1주년을 맞아 정보보호 분야 산학연 전문가 50명에게 물은 결과, 평균 B+ 점수가 나왔다. 사이버보안과 개인정보보호 강화를 위한 잇달은 조치를 환영하면서도 "기업과 기관만 옥죄이는 것 아니냐"는 비판적인 시각과 함께 기업은 물론 보안 생태계의 한 축을 이루는 개인과 국가를 둘러싼 보안 생태계 전반이 건강해져야 한다는 것이다.국가 망분리 대전환 ‘N2SF’ 첫발…"정부 도입 의지 확인"이달 초부터 국가정보원의 '국가 사이버보안 기본 지침'이 개정·시행됐다. 정보보안 체계가 레거시 IT를 넘어 AI, 클라우드 등 첨단 디지털 환경으로 전환함에 따라 선제적인 위험 관리 체계를 제도화하겠다는 것이 지침의 골자다. 가장 큰 변화는 '국가 망보안 체계(N2SF)' 시행이다. 개정에 따라 기존 지침 제 40조에 명시되었던 내부 업무망과 인터넷망의 일률적 분리 의무가 사라졌다. 본격적인 N2SF가 시행된 것이다.그간 업무망(내부망)과 외부망은 물리적으로 분리돼 있어 외부 오픈소스나 인공지능(AI), 클라우드 등 신기술을 활용하는 데 제약이 있었다. 특히 코로나19 시기 재택 근무가 잦아지면서 외부망 접근 필요성이 대두됐고, 생성형AI 등장으로 공공 부문 디지털 혁신이 필요해졌다. 국가정보원 주도로 N2SF로 보안 패러다임을 전환할 것을 지난해부터 가이드라인 발표 등 사전 작업을 진행했다.기존 망분리 정책과 N²SF 비교 (사진=국정원)N2SF는 기존 물리적 망분리 원칙을 데이터 중요도에 따라 차등적인 보안 시스템을 적용하는 체제로 전환하는 프레임워크다. 업무정보를 기밀(C)·민감(S)·공개(O) 등급으로 분류하고, 등급에 따라 도메인·정보시스템·보안통제를 차등 적용하도록 제시했다. 공공정보의 보안성과 활용성을 높이겠다는 목적이다. 그러나 현장에서는 어떤 데이터를 S 또는 O로 분류해야 하는지에 대한 세부 사례와 적용 기준이 모호하고, 일일이 적용하는 데 어려움이 있다는 지적이 제기됐다. 지난해부터 정부가 1년 가까이 추진하고 있지만 현장에서는 혼선이 반복되고 있는 것이다.그럼에도 전문가들은 N2SF를 국가 최상위 보안 지침에 반영하는 등 당국의 노력은 고무적이라고 평가했다. 최영철 SGA솔루션즈 대표는 "지난해까지만 해도 N2SF에 대한 관심은 일부 공공기관에 그쳤지만, 5월부터 국가 사이버보안 기본 지침에 N2SF가 반영되면서 적용 대상이 모든 공공기관으로 확대됐다. 100명 중 20명만 관심을 가졌다면 이제는 100명 중 100명 모두 N2SF에 관심을 갖게 된 것"이라며 "국가정보원에서 C·S·O 등급 분류 체계에 대한 가이드라인도 마련하는 등 세밀한 준비가 뒷받침된다면 향후 N2SF 안착을 긍정적으로 보고 있다. 현 시점에서 N2SF 관련 정책 도입 현황은 'A' 등급으로 평가할 수 있겠다"고 밝혔다.다만 최 대표는 "이제 본격적으로 시행하는 제도인 데다 예산 투입과 정부 대응이 중요한 분야인 만큼 향후 현장에서 요구하는 가이드라인이 늦게 발표되거나 정부의 지원이 미흡하다고 판단되면 N2SF 도입에 대한 개인적인 평가는 낮아질 것"이라고 말했다.이재형 옥타코 대표는 보안업계 현장에서 N2SF 관련으로 겪는 현실적인 어려움에 대해 설명했다. 이 대표는 "보안 현장에서 N2SF 도입 시 C·S·O 등급 분류를 가장 어려워한다"며 "예를 들면 복지 분야 데이터는 상당히 민감한 데이터가 많은데 C·S·O 등급 분류와 법률 간 일부 맞지 않는 부분이 있다. 이처럼 C·S·O 등급 분류가 상대적으로 복잡한 분야에 있어 예외 조항 등 가이드라인이 더 세밀하게 짜여질 필요가 있다"고 말했다.그는 "현장에서 겪는 어려움이 가이드라인에 조속히 반영돼야 N2SF 체계가 빠르게 안착할 수 있을 것"이라며 "자산 파악 후 데이터 등급 분류하고, 보안 대책을 취하는 일련의 과정들을 어떻게 처리해야 하는지 아직도 어려워 하는 조직이 많다"고 N2SF 도입 을 B-로 평가했다.보안 인증·공시 '자율→강제' 전환…'형식주의' 탈피현재 개정 추진 중인 정보보호산업의 진흥에 관한 법률(정보보호산업법)' 시행령안에 따르면 내년부터 정보보호 공시 의무 대상이 코스피·코스닥 전체 상장사로 확대된다.기존에는 매출액 3000억 원 이상 상장사가 대상이였다.정보보호 공시제도는 정부가 국민의 안전한 인터넷 이용과 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 시행한다. 정보보호 투자와 전담 인력, 관련 활동 등 기업의 정보보호 현황을 의무 공개하는 제도다. 국민에게 기업의 보안 수준을 투명하게 공개해 자율적 경쟁을 유도하기 위한 제도다. 과학기술정보통신부(과기정통부)에 따르면 올해 총 693개사가 정보보호 공시 의무 대상으로 확정됐다.ISMS-P 인증 역시 의무 대상을 늘린다. 지난 4월 개인정보보보위원회(개인정보위)와 과기정통부는 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 통해 ▲주요 공공시스템운영기관 ▲이동통신사업자 ▲본인확인기관 ▲대규모 개인정보처리자 등을 대상으로 ISMS-P 인증 제도를 의무화 했다. ISMS-P 인증을 받은 기업이 침해사고를 당하면서 자율에 맡겼던 인증 제도의 실효성이 없다는 지적이 이어짐에 따라 강제성을 부여한 것이다.기업들이 정보보호 분야에 얼마나 투자하고 있는지 모든 국민이 알 수 있게 함과 동시에 ISMS-P 인증을 획득해야 하는 기업을 늘림으로써 자체적으로 보안에 더욱 투자를 확대할 수 있도록 조치한 것으로 풀이된다.전문가들은 민간의 정보보호 투자 활성화를 위한 ISMS-P 인증 의무화, 정보보

원문 보기 ↗