2025.08.19 화요일
검색
'정보보호 기업' 검색결과
기간검색
-
~
검색영역
검색어
-
SKT 해킹, '총체적 부실' 결론… 4년간의 보안 구멍, 은폐 정황까지(종합) [이코노믹데일리] 국내 1위 이동통신사 SK텔레콤의 대규모 유심(USIM) 정보 유출 사태는 최소 4년간 이어진 기본적인 보안 의무 방기와 허술한 관리, 심지어 침해 사실을 인지하고도 숨기려 한 정황까지 드러난 ‘총체적 부실’의 결과물로 결론 났다. 정부 민관합동조사단은 SK텔레콤의 명백한 과실을 확인하고 통신사 과실로 인한 해지에 대해 정부가 약관상 면제 조항을 적용한 첫 사례를 만들었다. 이에 따라 피해를 본 2696만명의 가입자는 위약금 없이 계약을 해지할 수 있는 길이 열렸다. 과학기술정보통신부는 4일 발표한 민관합동조사단 최종 조사 결과 공격자가 최소 2021년 8월부터 SK텔레콤 서버에 침투했으며 이 과정에서 2696만 건(IMSI 기준)에 달하는 9.82GB 규모의 유심 정보가 유출됐다고 밝혔다. 유출된 정보에는 전화번호, 가입자식별번호(IMSI) 등 25종의 민감 정보가 포함됐으며 특히 유심 복제에 악용될 수 있는 핵심 인증키(Ki) 값이 암호화조차 되지 않은 채 저장되어 있었던 것으로 확인됐다. 일부 서버에서는 이름, 생년월일, 이메일 등 개인정보와 통화기록까지 암호화되지 않은 평문 상태로 발견돼 보안 불감증이 극에 달했음을 보여줬다. 조사단의 포렌식 분석 결과 이번 사태는 막을 수 없었던 고도의 공격이 아니라 기본적인 보안 수칙을 지키지 않아 터진 ‘인재(人災)’에 가까웠다. 공격자는 외부 인터넷과 연결된 시스템 관리망 서버에 처음 침투한 뒤 아이디와 비밀번호가 평문으로 저장된 것을 이용해 손쉽게 내부 서버로 접근했다. 이를 통해 음성통화인증(HSS) 관리서버까지 장악하고 ‘BPF도어’ 등 33종의 악성코드를 설치해 정보를 빼돌렸다. 이는 KT나 LG유플러스가 세계이동통신사업자협회(GSMA) 권고에 따라 인증키를 암호화했던 것과 달리 SK텔레콤이 가장 기본적인 보안 조치마저 외면한 결과다. 더욱 충격적인 사실은 SK텔레콤이 침해 사실을 인지하고도 의도적으로 축소·은폐하려 한 정황이다. SK텔레콤은 이미 2년 전인 2022년 2월, 특정 서버에서 악성코드를 발견했지만 정보통신망법에 따른 신고 의무를 이행하지 않았다. 당시 제대로 된 원인 분석과 후속 조치를 했다면 이번 대규모 유출 사태를 막을 수 있었다는 지적이 나온다. 이번 침해 사고 대응 과정에서도 문제는 반복됐다. 사고 인지 후 24시간을 훌쩍 넘겨 늑장 신고를 했을 뿐만 아니라 일부 악성코드 감염 사실을 누락해 신고했다. 급기야 과기정통부가 원인 분석을 위해 내린 ‘자료 보전 명령’을 위반하고 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치한 뒤 조사단에 제출하는 등 증거인멸 시도까지 드러났다. 이러한 문제는 허술한 내부 정보보호 거버넌스에서 비롯됐다. SK텔레콤의 정보보호최고책임자(CISO)는 전사 자산의 57%에 불과한 IT 영역만 담당하고 네트워크 영역은 관할하지 않아 책임 소재가 분산돼 있었다. 정보보호 인력과 투자 규모 역시 가입자 수 대비 경쟁사에 비해 현저히 부족했다. 유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”며 “SK텔레콤은 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 강하게 질책했다. 이에 따라 과기정통부는 늑장·허위 신고에 대해 과태료를 부과하고 자료보전 명령 위반에 대해서는 수사기관에 정식으로 수사를 의뢰할 방침이다. 또한 SK텔레콤의 명백한 귀책사유가 인정됨에 따라 이용약관에 근거해 이용자들이 위약금 부담 없이 해지할 수 있다고 판단했다. 한편 정부는 이번 사태를 계기로 통신망 보안 관련 법제도를 전면 개편하고 다가올 AI 시대에 대비해 국가 사이버보안 체계를 강화하겠다고 밝혔다.2025-07-04 14:39:16
-
과기정통부, AI·제로트러스트가 미래 보안 이끈다…혁신 기술 9곳에 '날개' [이코노믹데일리] 정부가 고도화되는 사이버 위협에 맞설 '2025년 우수 정보보호 기술' 9건을 선정했다. 인공지능(AI)과 제로 트러스트 등 최신 보안 흐름을 반영한 혁신 기술을 발굴해 공공 분야 판로 개척을 돕는 등 본격적인 지원에 나선다. 과학기술정보통신부는 30일 국내 정보보호 기업 9곳의 기술·제품·서비스를 우수 정보보호 기술로 지정했다고 밝혔다. 2018년부터 매년 시행되는 이 제도는 신규성과 독창성, 사업화 가능성이 높은 기술을 발굴해 성장을 지원하는 사업이다. 올해는 23개사가 신청해 전문평가위원회의 심사를 거쳐 최종 9곳이 선정됐다. 올해 선정된 기술들은 차세대 인증과 AI 기반 위협 탐지 분야에서 두각을 나타냈다. 고스트패스의 탈중앙화 생체인증 기술, 센스톤의 동적 코드(OTAC) 기반 인증 기술, 옥타코의 피싱 저항 다중인증 기술 등이 차세대 인증 기술로 이름을 올렸다. 또한 악성코드검거단의 하이퍼바이저 기반 악성코드 탐지 기술, 엔피코어의 AI 이미지 분석 기반 랜섬웨어 탐지 서비스, 이노뎁의 지능형 선별 관제 시스템 등은 AI를 활용해 보안 수준을 한 단계 끌어올렸다는 평가를 받았다. 이 외에도 체크멀의 통합 안티랜섬웨어 솔루션, 수산아이앤티의 암호화(SSL/TLS) 트래픽 가시성 기술, 더코더의 물리적 기술을 융합한 인쇄물 보안 솔루션 등이 포함됐다. 선정된 기업들은 과기정통부 장관상을 받고 지정마크를 활용할 수 있다. 무엇보다 공공분야 판로 개척 지원과 한국인터넷진흥원(KISA) 지원 사업 신청 시 가점을 부여받는 등 실질적인 혜택을 통해 사업화에 속도를 낼 수 있을 전망이다. 최우혁 과기정통부 정보보호네트워크정책관은 “우수 정보보호 기술 지정은 단순히 신기술을 발굴하는 것을 넘어 실제 현장에서 잘 적용될 수 있도록 지원함으로써 기업들의 신기술 개발 유인을 제공하는 제도”라며 “정부는 복잡화‧고도화되는 사이버 위협에 대비할 수 있는 혁신적 기술 개발, 정보보호 기업 역량 제고 등을 위해 지속적으로 노력해 나갈 것”이라고 밝혔다.2025-06-30 15:43:27
-
과기정통부, 정보보호산업 지원센터 '확대 개편' [이코노믹데일리] 과학기술정보통신부(과기정통부)가 국내 정보보호 및 물리보안 산업 육성을 위해 정보보호산업 지원센터를 대폭 확대 개편한다고 19일 밝혔다. 한국인터넷진흥원(KISA)과 협력하여 진행되는 이번 개편은 정보보호 기업들의 기술 경쟁력 강화에 초점을 맞추고 있다. 이번에 새롭게 문을 연 정보보호산업 지원센터는 그동안 고가의 시험 장비 및 테스트 환경 부족으로 어려움을 겪던 영세 정보보호 기업과 연구기관을 지원해왔다. 센터는 고성능 시험 장비, 맞춤형 테스트 환경, 기술 컨설팅 및 교육 등을 무상으로 제공하며 정보보호 업계의 성장을 뒷받침해왔다. 센터 이용 기업은 국내 정보보호 기업의 약 10%인 150여 개사에 달할 정도로 수요가 높았으나 제한적인 시험 공간, 장비 부족, 시설 노후화 등으로 인해 기업들의 불편함이 꾸준히 제기되어 왔다. 특히 시험 공간 부족으로 인한 예약 대기 시간 증가는 기업들의 애로사항으로 지적됐다. 이에 과기정통부는 정보보호 기업들의 의견을 수렴하여 테스트랩을 기존 8실에서 18실로 대폭 확대하고 시험 장비 확충, 서버 가상화 환경 구축, 노후 시설 개선 등 대대적인 시설 고도화 사업을 2024년 하반기에 완료했다. 정보보호 분야 테스트랩은 6실에서 12실로 물리보안 분야 전용 랩실은 2실에서 6실로 각각 증설되었다. 더불어 시간과 장소에 제약 없이 시험 장비를 이용할 수 있도록 테스트 환경 가상화 시스템을 구축하고 가상화 기반의 제품 성능 측정 장비를 추가 도입하여 센터 자원의 효율성을 극대화하고 기업들의 이용 편의성을 높였다. 한편 정보보호산업 지원센터는 국내 기업 전반의 보안 수준 강화를 위해 정보보호 점검 서비스도 확대 제공한다. 기존 정보보호 기업뿐만 아니라 일반 소프트웨어 개발 기업 등 타 분야 기업도 센터의 점검 서비스를 이용할 수 있게 된다. 특히 소프트웨어 개발 단계부터 보안 취약점을 제거할 수 있도록 보안 취약점 진단 도구, 소프트웨어 공급망 보안 대응 도구 등을 새롭게 도입하여 제품 개발 전 과정에 걸친 보안 강화 체계를 구축했다. 과기정통부는 소프트웨어 관련 협단체와의 협력을 통해 다양한 기업들이 센터 시설을 활용하여 제품 보안성을 강화할 수 있도록 적극적으로 홍보할 계획이다. 과기정통부는 이번 센터 고도화를 통해 정보보호 기업들의 제품 개발 및 테스트에 소요되는 비용과 시간을 획기적으로 절감하고 센터 이용 기업 수도 2배 이상 증가할 것으로 기대하고 있다. 강도현 과기정통부 제2차관은 “정보보호산업지원센터는 그동안 국내 정보보호 기업 성장에 핵심적인 역할을 수행해왔으나 시설 노후화로 인해 기업들의 불편이 있었다”며 “새롭게 단장한 정보보호산업지원센터를 통해 우리 기업들이 기술 경쟁력을 더욱 강화하고 글로벌 정보보호 시장을 선도하는 유니콘 기업으로 성장해 나가기를 바란다”고 밝혔다.2025-02-20 10:53:57
많이 본 뉴스
영상
Youtube 바로가기
![[기자수첩] 개미지옥? 그보다 더한 기업지옥...누굴 위한 세제개편인가](https://image.ajunews.com/content/image/2025/08/13/20250813135226918150_518_323.jpg)