지난 4월 발생한 SK텔레콤 침해사고 여진이 계속되고 있다. 민관합동조사단의 2차 조사에 따르면 감염 서버 23대, 악성코드 25종이 발견되면서 정보 유출 규모도 당초 예상보다 컸으며 장기적으로 계획된 공격이었다.

이번 사건은 단순한 악성코드 감염을 넘어섰다. 사전 침투, 고도화된 백도어(BPFDoor) 설치, 내부 권한 탈취 등 고도의 기법이 총동원된 것으로 보인다. 특히 백도어 기반의 ‘지능형 지속 공격’(APT·Advanced Persistent Threat)은 장기간 은밀하게 서버에 상주하며 로그를 남기지 않고 장악할 수 있어서 그 위험도가 매우 높고, 대응하기가 어렵다.

비단 SK텔레콤만의 문제는 아니다.

국내에서는 2022년 랩서스의 해킹에 의해 주요 전자 기업들의 정보 유출이 있었고, 미국에서도 2020년 솔라윈즈 해킹, 2021년 콜로니얼 파이프라인 해킹 등으로 주요 기관과 인프라의 마비가 초래된 바 있다.

이번 사건을 계기로 그간 경계선 중심, 사후 대응 위주의 보안에 한계가 명확히 드러난 만큼 패러다임의 전면적 전환이 시급하다. 내부 침입자가 이미 있다는 전제하에 이상행동을 빠르게 감지·대응하는 ‘능동형 사이버 보안 시스템’으로 전환해야 한다.

먼저 ‘제로 트러스트’ 기반 보안 설계를 적용해야 한다. 제로 트러스트란 어떤 사용자·기기도 신뢰하지 않으면서, 모든 접근을 지속적으로 검증하는 보안 전략을 말한다.

이는 해커가 내부에 침투할지라도 중요 데이터를 찾기 위한 ‘횡적 이동’을 방지하고, 지속 인증으로 해커의 활동을 제어할 수 있다. 또한 대량의 정보가 밖으로 나가거나 지속적으로 나가는 경우 정책시행지점(PEP)에서 통제를 거치도록 해 비정상적인 정보 유출을 방지할 수 있다.

둘째, 인공지능(AI) 기반 해킹 탐지 및 대응 시스템으로 전환해 나가야 한다. 은닉형 악성코드, AI 기반 회피형 공격 등은 기존 시그니처 기반 탐지를 우회한다. 행위 기반 탐지, 위협 인텔리전스 분석, 자동 보안관제 등을 AI 기반 대응 체계로 전면 재정비할 필요가 있다.

그리고 전주기적인 공격면(Attack Surface) 보안 체계를 구축해야 한다. 이를 위해서는 ‘클라우드 보안’ ‘엔드포인트 보안’ ‘공급망 보안’ 등의 통합적 강화가 매우 중요하다.

특히 제3자 공급 소프트웨어(SW) 등 구성 요소를 명확하게 관리해 보안 취약점을 사전에 파악·대응하기 위한 ‘SW 공급망 보안 체계’ 적용이 시급하다. 제3자에 의해 제공된 가상사설망(VPN)을 통해 악성코드가 유입될 가능성도 배제할 수 없다.

보안은 개별 기업의 문제가 아니다. 특히 통신, 금융, 교통 등 국가 핵심 인프라에 대해 ‘사이버 회복 탄력성(Resilience)’ 확보를 위한 민관 연계 ‘협력적 다층 보안 체계’ 구축이 시급하다. AI 전환이 가속화할수록 AI 모델, 피지컬 AI 등으로 공격 표면이 더 넓어지기 때문에 사이버 공격에 의한 경제적 손실과 물리적 피해는 더 치명적일 수 있다.

보안은 단순한 기술의 문제가 아니다. 주권이고 생존의 기반이며 공공 신뢰의 핵심이다.

AI 기반 사이버보안 연구·개발(R&D) 투자 확대, 화이트 해커 저변 확대 및 1% 보안 인재 양성 체계 강화, 민간 보안 투자 유도를 위한 정보보호 공시제 대폭 확대, 제3자에 의한 실전 사이버 모의 침투 훈련 의무화 등 제도와 시스템을 정비해 나가야 한다.

이제는 능동형 사이버보안 패러다임으로의 전환을 위해 민관이 함께 나서 AI 대전환 시대에 맞는 AI 사이버 방패를 구축할 때다.

홍진배 정보통신기획평가원 원장