통신 공룡 KT의 네트워크가 불법 초소형 기지국에 농락당했다. 고객들은 자신도 모르는 사이 소액결제 피해자가 되었고, 피해액이 계속 불어났다. 해커들이 KT 서버 깊숙이 침투해 보안 인증서와 개인 키까지 넘본 정황이 포착됐다. 이는 마치 집주인 몰래 현관문 열쇠를 복제해 안방을 제집처럼 드나든 것과 같다.

롯데카드의 상황도 처참했다. 전체 회원의 3분의1에 달하는 297만명의 정보, 무려 200기가바이트에 달하는 데이터가 통째로 털렸다. 심지어 28만명은 카드 부정 사용에 직결될 수 있는 CVC(카드 인증 코드)까지 유출되는 사태를 맞았다. 이 사건들은 더 이상 사이버 보안이 IT 부서만의 과제가 아님을, 기업의 생존과 직결된 최전선임을 증명하고 있다. 문제는 기업들이 여전히 구시대적 사고로 현대적 위협에 맞서고 있다는 것이다.

보안 구멍은 기술 아닌 사람에게서 시작

이번 사태를 깊숙이 들여다보면 최첨단 기술의 허점을 파고든 천재 해커의 소행이라기보다는, 곪아터진 조직 문화와 기본적인 보안 원칙의 부재가 빚어낸 인재에 가깝다. 반복되는 해킹 사고의 근본 원인은 결국 '사람'과 '프로세스'의 문제로 귀결된다.

가장 치명적인 원인은 시대착오적 보안 불감증과 관리 부실이다. 특히 롯데카드의 경우 공격의 빌미가 된 것은 2017년에 이미 발견되어 보안 패치가 제공된 오라클 웹로직 서버의 치명적 취약점(CVE-2017-10271)이었다. 8년이나 된 낡은 보안 구멍을 그대로 방치해 둔 것이다. 이는 마치 성문을 활짝 열어두고 적을 기다린 것과 다름없다. 거액의 자산을 운용하는 금융사가 가장 기본적인 보안 업데이트조차 소홀히 했다는 사실은 충격을 넘어 허탈감마저 안겨준다. KT 역시 네트워크 관리 부실과 여러 보안 구멍이 겹쳐 해커의 놀이터가 되었다. 해킹 사고 불과 두 달 전 향후 5년간 '사이버 보안에 1조원 투자'를 공언한 대기업의 민낯이 드러나는 순간이었다.

다음으로, 외부 공격에 대한 무기력한 탐지 및 대응 체계도 큰 문제다. 해커들은 단 한 번의 공격으로 성공하지 않는다. 수주 혹은 수개월에 걸쳐 집요하게 시스템의 약한 고리를 탐색하고 침투를 시도한다. KT 해킹은 장기간에 걸쳐 지속적으로 이루어졌고, 롯데카드 서버에서는 해커가 추가 공격을 위해 심어놓은 악성 프로그램인 웹쉘(Web Shell)이 5종이나 발견됐다. 이는 공격이 진행되는 동안 기업의 보안 시스템이 사실상 눈뜬장님이었다는 것을 의미한다. 공격의 흔적을 실시간으로 탐지하고, 비정상적인 트래픽과 행위를 분석해 차단하는 능동적인 방어 체계가 부재했던 것이다. 사건이 터진 후 허둥지둥 대응하고, 정부 조사에 허위 보고까지 하는 모습은 신뢰를 더 무너뜨렸다.

결국 이 모든 것은 보안을 등한시하고 비용으로만 여기는 리더십 부재에서 비롯된다. 올바른 보안을 위해서는 소프트웨어 개발 초기 단계부터 보안을 고려하는 '보안 내재화(Security by Design)' 문화를 정착시켜 취약점 자체를 줄여나가야 한다. 하지만 여전히 많은 기업 리더가 보안 투자를 단기적인 비용으로만 간주하고, 당장의 이익과 편의성을 우선시한다. 이러한 인식은 취약점 방치, 보안 인력 및 예산 부족, 형식적인 규제 준수로 이어지며 결국 되돌릴 수 없는 재앙을 불러온다.

해킹 신기술의 진화

기업들이 낡은 성벽의 구멍을 메우는 데 급급한 사이, 성 밖의 공격자들은 AI라는 새로운 공성 무기를 손에 넣었다. 2025년의 사이버 공격은 과거의 무차별적인 방식에서 벗어나, AI를 활용해 한층 더 정교하고 자동화된 형태로 진화하고 있다.

첫째, 랜섬웨어는 이제 '지능형 납치범'이 되었다. 과거의 랜섬웨어가 무작위로 데이터를 암호화하고 돈을 요구하는 '묻지 마' 방식이었다면, 이제는 특정 기업이나 기관을 표적으로 삼아 장기간 잠복한다. AI를 이용해 네트워크 내부를 학습하고, 가장 치명적인 데이터를 찾아낸 뒤 유출과 암호화를 동시에 진행하며 협상력을 극대화한다. 이는 기업의 핵심 기밀과 평판까지 인질로 잡는 고도의 전략이다.

둘째, 사물인터넷(IoT) 기기들이 '트로이의 목마'가 되고 있다. 우리 주변의 스마트홈 기기, CCTV, 스마트 공장의 센서 등 보안에 취약한 수십억 개의 IoT 기기들은 해커들에게 활짝 열린 침투 경로를 제공한다. 공격자들은 이 기기들을 좀비처럼 만들어 대규모 디도스(DDoS) 공격의 발판으로 삼거나, 이를 통해 내부 네트워크에 침투하는 교두보로 활용한다.

셋째, AI가 연출하는 초정밀 피싱과 사회 공학이 현실화하고 있다. 이제 공격자들은 딥페이크 기술로 특정인의 목소리와 영상을 완벽하게 복제해 신원을 도용하고 사기를 저지른다. 개인의 소셜미디어(SNS), 이메일, 검색 기록 등을 AI로 분석해 맞춤형 피싱 메시지를 만들어내는 것은 기본이다. 마치 내가 가장 신뢰하는 동료나 가족이 보내는 것처럼 위장한 메시지는 기존의 보안 시스템은 물론 인간의 분별력마저 무력화시킨다.

이러한 위협들은 더 이상 개별적인 공격이 아니다. AI 기반의 자동화된 공격 프로그램은 이 모든 과정을 결합해 인간의 개입 없이 24시간 내내, 전 세계를 대상으로 동시다발적인 공격을 감행한다. 기술의 발전이 공격자에게 날개를 달아준 셈이다.

보안 없이는 AI 강국도 없다

진화하는 위협 앞에서 좌절하고 있을 수만은 없다. 공격자의 창이 날카로워졌다면, 우리의 방패 역시 더 견고하고 스마트하게 만들어야 한다. 기업은 무엇보다 먼저 '제로 트러스트(Zero Trust)' 원칙을 조직의 DNA에 심어야 한다. '절대 신뢰하지 말고, 항상 검증하라'는 이 원칙은 내부자든 외부자든, 어떤 사용자나 기기든 무조건 의심하고 철저히 검증하는 것을 전제로 한다. 최소한의 권한만 부여하고, 모든 접근 행위를 실시간으로 모니터링하여 아주 작은 이상 징후도 놓치지 않아야 한다. 이는 성문을 닫아거는 것을 넘어, 성 내부의 모든 길목에 검문소를 설치하는 것과 같다.

다음으로, AI에는 AI로 맞서야 한다. 공격자들이 AI를 활용하는 만큼, 방어 시스템 역시 AI 기반으로 진화해야 한다. 딥러닝 기반의 보안 솔루션은 수십억 개의 로그 데이터를 실시간으로 분석해 인간이 놓칠 수 있는 비정상적인 패턴을 탐지하고, 위협의 종류를 식별해 자동으로 대응한다. 이는 24시간 잠들지 않는 최고의 보안 분석가를 고용하는 것과 같은 효과를 낸다.

KT와 롯데카드 사태는 우리 사회의 디지털 신뢰 시스템에 깊은 상처를 남겼다. 기술은 우리에게 편리함을 주었지만, 그 이면의 위험을 관리하는 데 실패했을 때 얼마나 큰 대가를 치러야 하는지를 똑똑히 보여주었다. 이는 앞으로 기술의 광범위한 확산 속에서 우리가 어디에 서 있고, 어디로 가야 하는지를 묻는 준엄한 질문이다.