"인증받은 SKT도 뚫렸다"…한계 드러낸 ISMS

작성일 07-14

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">생성형 AI 악용해 더 정교해진 해킹<br>전용 방화벽으로 탐지·차단 어려워<br>공급망 보안까지 포괄한 제도 필요<br>제로트러스트 기반 N2SF 정책 연내 확정</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="XEVkhUyjlq">
          <p contents-hash="dc7a5788fdd6b17d37129dc5df9856790def4a30fa3da7e62e9ef2a5fa09b11f" dmcf-pid="ZDfEluWASz" dmcf-ptype="general"> [이데일리 최연두 기자] 인공지능(AI)을 악용한 피싱, 랜섬웨어, 공급망 해킹 등 사이버 공격이 점점 정교해지면서, 기존 보안인증 제도만으로는 기업을 보호하기 어렵다는 우려의 목소리가 커지고 있다.</p>
          <p contents-hash="b0ecccbbfebf179bb30bfda1bd7b0c50b29b988bcb5331c3719efd3cdf91436d" dmcf-pid="5w4DS7YcS7" dmcf-ptype="general">국내 대표 보안 인증 제도인 ISMS(정보보호관리체계)가 일정 수준의 보안 역량을 확보하는 데 기여한 것은 사실이지만, 업계는 “‘인증만 받으면 안심’이라는 인식은 더 이상 통하지 않는다”고 입을 모은다.</p>
          <figure class="figure_frm origin_fig" contents-hash="88de08abbbaad409d738c3d0515dd7679fc79c64db2fdcab65a686efb6a8fbfa" dmcf-pid="1r8wvzGkTu" dmcf-ptype="figure">
           <p class="link_figure"><img alt="(그래픽=김일환 기자)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/14/Edaily/20250714051606626nnak.jpg" data-org-width="565" dmcf-mid="Yqr2RmnblK" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/14/Edaily/20250714051606626nnak.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            (그래픽=김일환 기자)
           </figcaption>
          </figure>
          <figure class="figure_frm origin_fig" contents-hash="ec17e04425f7aff6d06037eaf6e9be08f7808326e891ebb972b9c8531eeb2874" dmcf-pid="thRCH2tsSU" dmcf-ptype="figure">
           <p class="link_figure"><img alt="해킹 관련 이미지(사진=생성형AI 서비스)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/14/Edaily/20250714051608029igiq.jpg" data-org-width="670" dmcf-mid="G9J1qi2XSb" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/14/Edaily/20250714051608029igiq.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            해킹 관련 이미지(사진=생성형AI 서비스)
           </figcaption>
          </figure>
          <div contents-hash="bcd8732a636b3eb6ec61b47d39de0c4ebaf067d8dd3087f4fce17e638f05d474" dmcf-pid="FlehXVFOhp" dmcf-ptype="general">
           13일 이훈기 더불어민주당 의원이 과학기술정보통신부로부터 받은 자료에 따르면, ISMS(정보보호관리체계) 인증을 받은 기업들의 침해 사고는 △2021년 6건에서 △2022년 13건 △2023년 101건으로 급증했다. 지난해에도 96건이 발생해 연간 100건 안팎의 사고가 계속 이어지고 있으며, 올해 4월까지도 이미 37건이 신고됐다.
          </div>
          <p contents-hash="1ff637a430b76bd9aa1913964dc79916a3659a4b20f23d120c8d1b869d19f78c" dmcf-pid="3SdlZf3Il0" dmcf-ptype="general">대표 사례는 최근 조사가 마무리된 SK텔레콤 해킹 사고다. 민관합동조사단에 따르면 해커는 2021년 8월 협력업체의 취약한 시스템을 통해 SKT 내 임시 서버에 침입한 뒤, 4년에 걸쳐 유심정보 등을 포함한 주요 데이터를 유출한 것으로 나타났다. SKT는 해커가 침입한 시스템 관리망과 코어망 모두 ISMS 인증을 받은 상태였으며, 고객관리망 또한 개인정보 처리 부문을 포함한 ISMS-P(개인정보보호 관리체계) 인증을 취득한 상황이었다.</p>
          <p contents-hash="93b6205ce261b84a990df5a7d31aaa52ee2b2c264d321bf9661c4172d135b3e2" dmcf-pid="0vJS540Cl3" dmcf-ptype="general">문제는 해커들의 공격 속도가 AI 기술로 인해 더욱 빨라지고 있다는 점이다. 미국 보안업체 옥타(Okta)가 이달 1일 발표한 보고서에 따르면 해커들은 생성형 AI 기반 개발 플랫폼을 활용해 단 30초 만에 피싱 사이트를 자동 생성할 수 있는 수준에 이르렀다. AI가 기업 시스템의 취약점을 탐색하고 악성코드를 생성하는 데까지 나서면서 기존 인증 체계만으로는 대응에 한계가 있다는 지적이 나온다.</p>
          <figure class="figure_frm origin_fig" contents-hash="a6da86589377e32b33fa7111c2dbd973c60463ef51bcb76c818cbaeaf33c6725" dmcf-pid="pTiv18phlF" dmcf-ptype="figure">
           <p class="link_figure"><img alt="SKT 해킹 사고 원인분석 설명 자료(사진=과기정통부)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/14/Edaily/20250714051609481bgsk.jpg" data-org-width="597" dmcf-mid="H95gr1CnSB" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/14/Edaily/20250714051609481bgsk.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            SKT 해킹 사고 원인분석 설명 자료(사진=과기정통부)
           </figcaption>
          </figure>
          <div contents-hash="e7a6b559a6ae2dbe840bee9e92e2098700ce51869301606f38814ffc82aebe01" dmcf-pid="UynTt6UlSt" dmcf-ptype="general">
           아울러 이 같은 고도화된 위협은 전통적인 방화벽이나 백신 솔루션만으로는 탐지하거나 차단하기 어렵다. 특히 이번 SKT 사고처럼 공급망 보안 체계가 미비할 경우 인증만으로는 해킹을 막을 수 없다는 분석이 나온다. 보안 업계는 기업들의 보안 전략이 기존 예방 중심에서 실시간 탐지·대응 중심으로 전환돼야 한다고 보고 있다.
          </div>
          <p contents-hash="112db508a313867146d84d44475283ce607fb44beeb6c3f477381a208f40b3f6" dmcf-pid="uWLyFPuST1" dmcf-ptype="general">염흥열 순천향대 정보보호학과 명예교수는 “ISMS는 최소한의 안전 기준일뿐 해킹을 원천 봉쇄해 주는 방패가 아니다”라며 “기업이 위험 평가를 상시로 갱신하고, 개발·임시 서버까지 포함한 자산 전수 식별과 모의침투 테스트 정례화하고 공급망 보안까지 포괄해야 지능형 위협에 대응할 수 있다”고 강조했다.</p>
          <p contents-hash="ab32315c2b02ad571b4ad23cbaf279ac285a406801f97a047b68a298c2fad60d" dmcf-pid="7YoW3Q7vl5" dmcf-ptype="general">정부 역시 AI 시대에 맞춰 공공 부문을 시작으로 민간까지 확대 가능한 새로운 보안 정책 ‘엔투에스에프’(N2SF·New National Security Framework)를 내놨다. 국가정보원은 연내 N2SF의 세부 지침을 공개할 계획이다. 이 정책은 모든 시스템이 이미 해킹됐다고 전제한 뒤 보호 대책을 수립하는 ‘제로 트러스트’ 전략을 핵심으로 한다. 아울러 기관의 데이터를 기밀(C)·민감(S)·공개(O) 등 3단계로 분류해 중요도에 따라 보안 수준을 달리 적용하는 방식이다.</p>
          <p contents-hash="7f143f268b7546bfb42aa8306e031fcb51e33ba63660b4af14d413d73117b008" dmcf-pid="zJ0dAYwMWZ" dmcf-ptype="general">최연두 (yondu@edaily.co.kr) </p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p>

이전

해외는 해킹 신고하면 면책주는데…한국선 '낙인효과'만

07-14
다음

신네르, 알카라스 꺾고 이탈리아 최초 윔블던 테니스 단식 우승(종합)

07-14

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

"인증받은 SKT도 뚫렸다"…한계 드러낸 ISMS

멤버랭킹

관련자료

멤버랭킹