올해 전반기에 연달아 발생한 SKT와 예스24 해킹 사태는 통신·전자상거래처럼 국민 일상을 지탱하는 생활 인프라가 곧 국가안보임을 보여준다. SKT는 4월 18일 오후 6시 9분 정보보호실에서 트래픽 이상 징후를 확인하고, 그날 오후 11시 20분 악성코드를 발견했다. 그런데 4월 22일이 되어서야 한국인터넷진흥원(KISA)에 사고 사실을 신고했다. 24시간 내 신고를 의무화한 법조항이 무색해진 것이다. 예스24는 6월 9일 새벽 4시 랜섬웨어에 감염돼 전 서비스가 36시간 이상 마비됐지만 '시스템 점검'이라는 모호한 안내만 남겼고, 나흘째인 12일 밤까지도 웹과 앱을 정상화하지 못했다. 피해 통계는 흐릿하고 책임 공방은 길어졌다. '투명성 부재'와 '복원력 부족'이 만든 이 공백이 바로 국가안보 위기의 문턱이다.
이 공백을 메울 대응은 네 가지로 정리할 수 있다. 첫째, 조기 경보 체계의 구축이다. 사고가 일어난 사실을 최대한 빨리 외부에 알리고 지원을 요청해야, 침해 범위를 좁히고 복구 자원을 즉시 투입할 수 있기 때문이다. EU는 2022년 말에 확정된 NIS 2 지침을 통해 이 골든타임을 법으로 못 박았다. 기업·기관이 침해 사실을 인지하면 24시간 안에 "현재 파악된 피해와 대응 현황"을 관계 당국에 일단 통보해야 하고, 72시간 안에는 "세부 원인, 영향 범위, 추가 대책"을 담은 완전한 보고서를 제출하도록 의무화했다. 시간을 두 단계로 나눠 사고 초기의 정보 공백을 최소화하려는 설계다.
미국도 같은 방향이다. 백악관·정부·민간 전문가가 참여한 IST 랜섬웨어 태스크포스는 48개 권고 가운데 1순위로 "침해 사실 인지 후 24시간 내 보고"를 제시했다. 이처럼 EU와 미국 모두 '24시간'이라는 촘촘한 첫 경계선을 두어, 사건이 확산되기 전에 공동 대응이 시작되도록 요구하고 있다. 우리도 이를 참고하여 사고 후 6시간 이내에 "잠정 알림"을 보내 최소한의 사실 관계를 공유하고, 뒤이어 24시간·72시간에 걸쳐 단계별 상세 보고를 의무화해야 한다. 여기에 더해, 신고가 지연될 때마다 매출액을 기준으로 한 시간 단위 누진 과징금을 부과해 '늑장 보고'의 유인을 원천 차단해야 한다.
둘째, 사이버복원력(Cyber Resilience) 우선형 제로트러스트다. NIST SP 800‑207은 세그먼트 단위 최소 권한과 동적 재인증을 요구하며 "신뢰는 지속적으로 검증돼야 한다"고 강조한다. 공급망 가이드라인인 NIST SP 800‑161r1 역시 "백업과 복원 능력 없이는 방어도 없다"고 못 박는다. RAND 연구도 완벽 차단보다 복원력에 투자한 조직이 적은 비용으로 더 빨리 회복한다고 지적한다. 백업·운영망의 물리‧논리 분리를 의무화하고, 최고관리자 권한을 다중 서명과 시차 승인으로 나누면 스피어 피싱 한 번에 전체 서버를 잃는 일을 막을 수 있다. "복잡성은 보안의 최악의 적" 세계적 보안 전문가 브루스 슈나이어의 통찰이 이를 뒷받침한다.
셋째는 랜섬머니 지급 억제, 즉 몸값 협상의 억제다. 사이버리즌 조사에 따르면 몸값을 낸 조직 78 %가 1년 안에 다시 공격받았다. 이와 관련된 저명 연구들에 다르면 협상이 해커의 재범률을 높인다고 결론짓는다. 싱가포르는 랜섬 지불 시 48시간 내 금액과 지갑 주소를 정부에 신고하도록 규정해 투명성을 강제한다. 이에 한국도 같은 모델을 도입하고, 지불 기업의 사이버보험 세액공제는 취소해 '협상 비용'을 실질화해야 한다.
전체 내용보기