2026.01.18 (일요일)
토마토증권통TOMATO LiveETOMATO토마토패스증권통클럽IB토마토 회원가입 로그인
국가 배후 해킹 대응 한계…"국정원, 안보 중심 재정립 필요"
온나라·통신망 장기 잠복…정보 수집형 해킹 대응 한계
김승주 교수 "엘리트급 국가 해커 대비 못 해"
안보·공공 안전 구분 필요성 제기
2026-01-18 14:59:37 2026-01-18 14:59:37
[뉴스토마토 이지은 기자] 지난해 온나라 시스템과 SK텔레콤(017670)을 겨냥한 해킹 사례가 잇따라 확인되면서, 국가 배후 해킹에 대한 대응 체계를 근본적으로 재정비해야 한다는 지적이 제기됐습니다. 금전 탈취를 목적으로 한 일반 해킹과 달리, 장기간 잠복하며 정보를 수집하는 국가 주도 해킹에 대응하기 위해서는 국정원의 역할을 안보 중심으로 재정립해야 한다는 주장입니다.
 
김승주 고려대 정보보호대학원 교수는 17일 세종사이버대 정보보호인의 밤 행사에서 최근 주요 해킹 사고를 정리하며, 국가 배후 해킹의 가장 큰 특징으로 '장기 잠복'을 꼽았습니다. 그는 "국가 배후 해커들은 오랜 기간 내부에 머물러도 흔적을 최소화하는 데 초점을 맞춘다"며 "이번 해킹 사례들은 단기간 범죄와는 결이 다르다"고 설명했습니다.
 
실제 공무원 업무 기반인 온나라 시스템 해킹은 지난해 8월 외부 보안 매체를 통해 침해 사실이 알려졌지만, 정부 발표에 따르면 최초 침투 시점은 2022년으로 거슬러 올라갑니다. 침해 사실이 공개되기까지 2년 가까운 공백이 있었던 셈입니다. 김 교수는 "이 같은 장기 잠복은 국가 배후 해킹의 전형적인 패턴"이라고 평가했습니다.
 
 
SK텔레콤 해킹 사례 역시 유사한 특징을 보였습니다. 김 교수에 따르면 SK텔레콤은 2021년부터 내부 서버에 악성코드가 설치돼 있었고, 유심(USIM) 정보뿐 아니라 통화 기록 로그가 저장되는 통화상세기록(CDR) 서버에서도 악성코드가 확인됐습니다. 다만 핵심 로그가 충분히 보관되지 않아 실제 유출 범위는 끝내 특정하지 못했습니다. 당시 민관합동조사단은 "악성코드 감염시점부터 로그 기록이 없는 기간에는 유출 여부를 확인하는 것이 불가능했다"고 설명했습니다.
 
김 교수는 "통신사의 통화 기록을 확보할 경우 어떤 고위 공직자가 누구와 얼마나 자주 통화하는지, 주요 인사의 동선까지도 추적할 수 있다"며 "이는 단순 개인정보 침해가 아니라 정보 수집을 목적으로 한 스파이 행위로 볼 수 있다"고 지적했습니다. 두 사건 모두 국가 배후 해커 개입 가능성을 배제하기 어렵다는 의미입니다. 
 
문제는 대응 구조입니다. 김 교수는 최근 드러난 해킹 사고의 핵심 원인으로 국가 배후 해킹에 대한 대응 실패를 꼽으며, 국내 최고 수준의 사이버 대응 역량을 보유한 국정원이 현재는 지나치게 넓은 범위를 동시에 떠안고 있다고 지적했습니다.
 
그가 공개한 정보통신망 정보보호 콘퍼런스(NetSec-KR) 2025 자료에 따르면, 2022~2024년 국정원이 파악한 우리나라 대상 국가 배후·국제 해킹 공격 비중은 북한이 75%로 가장 높았고, 중국 5%, 러시아 2% 순으로 나타났습니다. 다만 공격 피해의 심각도를 반영하면 중국발 공격 비중은 20%를 넘는 수준으로 올라갑니다.
 
김 교수는 "여태까지는 일반 해커 수준을 상정한 대응이었다면, 이제는 국가의 후원을 받는 엘리트급 해커에 대비해야 한다"며 "한정된 인력과 자원을 고려하면 선택과 집중이 불가피하다"고 강조했습니다. 현재 국정원법상 사이버 공격 대응 대상이 중앙행정기관부터 지방자치단체, 공공기관 전반으로 규정돼 있어 효율적인 대응이 어렵다는 지적입니다.
 
그는 "중앙행정기관이라 해도 모두가 동일한 수준의 기밀 정보를 다루는 것은 아니다"라며 "국정원의 역량은 국가 기밀·국방·외교·안보 영역에 집중하고, 나머지는 공공 안전 관점에서 별도의 대응 체계를 마련하는 구조로 전환해야 한다"고 말했습니다.
 
해외 사례로는 미국의 이원화 구조를 들었습니다. 김 교수는 "미국은 국방·외교·안보 등 기밀 등급 정보는 국가안보국(NSA)이 담당하고, 일반적인 사이버 위협 대응은 사이버보안 및 인프라보안국(CIS)이 맡는다"며 "민간 기업까지 국정원이 모두 관여하는 현재 구조는 재검토가 필요하다"고 덧붙였습니다.
 
한편 김 교수가 언급한 SK텔레콤 해킹 사례는 글로벌 보안 업계에서도 주요 사건으로 분류됐습니다. 해외 보안 컨설팅 기관들은 해당 사고를 지난해 가장 영향력 있는 사이버 공격 중 하나로 꼽으며, 통신 서비스의 근간이 되는 핵심 서버와 유심 관련 데이터가 동시에 노출됐다는 점에서 파급력이 크다고 평가했습니다. 통신 인프라 자체가 국가 간 정보전의 주요 표적이 되고 있다는 경고가 현실화되고 있다는 분석입니다. 
 
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

지난 뉴스레터 보기 구독하기
관련기사
0/300
댓글 0
0/0 댓글 더보기

뉴스리듬

    이 시간 주요 뉴스

      인기 뉴스

        함께 볼만한 뉴스