계정 평문 저장·퇴사자 방치 등 4대 취약 유형 지적... 기업 안일함 꼬집어
정부의 사후 조사 관행 비판하며 선제적 예방 위한 ‘SBOM’ 도입 등 공급망 규제 강화 요구
[보안뉴스 조재호 기자] 2025년 사이버 침해사고가 전년 대비 26.3% 급증하며 역대 최다를 기록한 가운데, 첨단 해킹 기법보다는 ‘기본 보안 소홀’이 대규모 피해를 키운 주범으로 지목됐다. 국회입법조사처는 정부와 국회를 향해 사후 조사를 넘어선 선제적 정보보호 체계 구축과 신속한 입법 추진을 강하게 주문했다.
국회입법조사처는 26일, 2025년 사이버 침해사고가 역대 최다인 2,383건을 기록했다며, 이를 분석한 ‘기본부터 다시 갖춰야 할 정보보호 체계: 2025년 사이버 침해사고 유형 분석 및 제도 개선과제’ 보고서를 발간했다.
보고서에 따르면, SKT, KT, 롯데카드, 쿠팡, 정부 행정망 등 디지털 인프라 전반에서 발생한 주요 침해사고 7건을 분석한 결과, 중대한 보안 실패의 원인은 고도화된 해킹이 아닌 기본 보호 원칙의 무시에서 비롯된 것으로 나타났다.
침해 유형은 △기본 보호조치 미흡(암호화 조치 부실 등) △자산·계정 관리 실패(퇴사자 계정 방치 등) △보안 설계 취약(접근통제 미흡) △공급망 위협(협력업체 SW 관리 부실) 등 4가지 구조적 취약성으로 정리됐다.
국회입법조사처는 정부가 사후 조사에 머물지 않고 선제적 관리에 나서야 한다고 지적하며, 사전 예방과 사후 대응을 아우르는 전방위적인 입법 및 정책 개선 과제를 제시했다.
사전 예방 단계에서는 신뢰 기반 보안 체계의 한계를 극복하기 위한 ‘제로트러스트’의 공공분야 의무화 및 민간 지원 근거 마련을 촉구했다. 포상금 상한 조정을 통한 ‘취약점 신고제도’ 활성화와 ‘소프트웨어 자재명세서’(SBOM) 도입을 통한 공급망 보안 규제 강화를 제안했다. 보안인증 제도의 실효성을 높이기 위해 금융회사와 고위험 정보 취급 공공기관을 ‘정보보호 및 개인정보보호 관리체계’(ISMS) 인증 의무 대상에 포함해야 한다는 점도 강조했다.
사후 대응 단계의 핵심 과제로는 ‘자료 보전 의무 강화’가 꼽혔다. 일부 기업의 서버 폐기 등으로 촉발된 논란을 방지하기 위해, 침해 정황 인지 즉시 자료 보전 의무가 발동되도록 ‘정보통신망법’을 개정하고 위반 시 기업에 법률적 책임을 묻는 강력한 규정을 검토해야 한다고 주장했다.
아울러 해커에 대한 국제 공조 수사 및 범죄수익 환수 체계 정비와 함께, 집단소송제 도입 등 실질적인 피해자 보상 체계 확충의 필요성도 제기했다.
국회입법조사처 측은 “2026년 사이버 침해사고 최다 갱신을 막으려면 기본 보안 소홀부터 바로잡아야 한다”며 “국회 역시 정보통신망법과 개인정보 보호법 등 관련 입법을 신속히 추진해 정보보호 체계 개선에 앞장서야 할 것”이라고 밝혔다.
[조재호 기자(zephyr@boannews.com)]
정부의 사후 조사 관행 비판하며 선제적 예방 위한 ‘SBOM’ 도입 등 공급망 규제 강화 요구
[보안뉴스 조재호 기자] 2025년 사이버 침해사고가 전년 대비 26.3% 급증하며 역대 최다를 기록한 가운데, 첨단 해킹 기법보다는 ‘기본 보안 소홀’이 대규모 피해를 키운 주범으로 지목됐다. 국회입법조사처는 정부와 국회를 향해 사후 조사를 넘어선 선제적 정보보호 체계 구축과 신속한 입법 추진을 강하게 주문했다.
국회입법조사처는 26일, 2025년 사이버 침해사고가 역대 최다인 2,383건을 기록했다며, 이를 분석한 ‘기본부터 다시 갖춰야 할 정보보호 체계: 2025년 사이버 침해사고 유형 분석 및 제도 개선과제’ 보고서를 발간했다.
보고서에 따르면, SKT, KT, 롯데카드, 쿠팡, 정부 행정망 등 디지털 인프라 전반에서 발생한 주요 침해사고 7건을 분석한 결과, 중대한 보안 실패의 원인은 고도화된 해킹이 아닌 기본 보호 원칙의 무시에서 비롯된 것으로 나타났다.
침해 유형은 △기본 보호조치 미흡(암호화 조치 부실 등) △자산·계정 관리 실패(퇴사자 계정 방치 등) △보안 설계 취약(접근통제 미흡) △공급망 위협(협력업체 SW 관리 부실) 등 4가지 구조적 취약성으로 정리됐다.
국회입법조사처는 정부가 사후 조사에 머물지 않고 선제적 관리에 나서야 한다고 지적하며, 사전 예방과 사후 대응을 아우르는 전방위적인 입법 및 정책 개선 과제를 제시했다.
사전 예방 단계에서는 신뢰 기반 보안 체계의 한계를 극복하기 위한 ‘제로트러스트’의 공공분야 의무화 및 민간 지원 근거 마련을 촉구했다. 포상금 상한 조정을 통한 ‘취약점 신고제도’ 활성화와 ‘소프트웨어 자재명세서’(SBOM) 도입을 통한 공급망 보안 규제 강화를 제안했다. 보안인증 제도의 실효성을 높이기 위해 금융회사와 고위험 정보 취급 공공기관을 ‘정보보호 및 개인정보보호 관리체계’(ISMS) 인증 의무 대상에 포함해야 한다는 점도 강조했다.
사후 대응 단계의 핵심 과제로는 ‘자료 보전 의무 강화’가 꼽혔다. 일부 기업의 서버 폐기 등으로 촉발된 논란을 방지하기 위해, 침해 정황 인지 즉시 자료 보전 의무가 발동되도록 ‘정보통신망법’을 개정하고 위반 시 기업에 법률적 책임을 묻는 강력한 규정을 검토해야 한다고 주장했다.
아울러 해커에 대한 국제 공조 수사 및 범죄수익 환수 체계 정비와 함께, 집단소송제 도입 등 실질적인 피해자 보상 체계 확충의 필요성도 제기했다.
국회입법조사처 측은 “2026년 사이버 침해사고 최다 갱신을 막으려면 기본 보안 소홀부터 바로잡아야 한다”며 “국회 역시 정보통신망법과 개인정보 보호법 등 관련 입법을 신속히 추진해 정보보호 체계 개선에 앞장서야 할 것”이라고 밝혔다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
