정부 'CISO 권한 확대·보안 체계 점검'…통신·금융 해킹 비상 [일문일답]

과기정통부·금융위 사이버 침해 관련 합동 브리핑
국가안보실 중심 범부처 회의…통신·금융 전반 보안 체계 재정비 추진

19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 과학기술정보통신부 류제명 제2차관이 질문에 답하고 있다 왼쪽은 금융위원회와 롯데카드 관계자 사진연합뉴스 — 19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 과학기술정보통신부 류제명 제2차관이 질문에 답하고 있다. 왼쪽은 금융위원회와 롯데카드 관계자. [사진=연합뉴스]

과기정통부와 금융위원회는 최근 연이은 해킹 사고와 관련해 기업 내 보안 거버넌스 강화를 강조하며, 최고정보보호책임자(CISO)의 독립성과 권한을 대표(CEO) 직속·이사회 보고 체계로 격상시키는 방안을 추진하겠다는 입장을 밝혔다.

정부는 통신·금융 분야를 겨냥한 공격이 갈수록 정교해지고 있어 단순한 기술적 보완만으로는 한계가 있다고 판단했다. 조직 문화와 의사결정 구조 전반에 보안 우선순위를 반영하는 체계를 마련해, 기업의 책임성을 한층 강화하겠다는 취지다.

다음은 일문일답

KT 추가 해킹 경위 구체적으로 알려달라

어젯밤 23시 57분 KT가 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 지난 4월 SK텔레콤 침해사고 직후 외부 보안점검을 의뢰했고, 9월 15일 보고서를 받은 뒤 자체 검토 후 추가 침해 사실을 알리게 됐다.

KT가 이미 보안 점검을 진행했음에도 불구하고 브리핑 직후에야 정부에 침해사고를 신고한 이유는 무엇인지?

소액결제 침해 건은 네트워크·마케팅 부서에서, 서버 보안 점검은 정보보호최고책임자(CISO) 조직에서 별도로 진행됐다. 부서 간 연결성이 약해 브리핑 전에 파악하지 못했고 저녁 시간대에야 내용을 공유받았다.

추가로 신고된 침해 정황은 KT의 어느 서버에서 발견된 것인지, 구체적인 침투 흔적에 대해 말해달라

어느 서버인지에 대해서는 관련 자료를 제출받아 세부 분석에 들어가 조사중이다.

국제 해킹조직이 SK텔레콤 고객 데이터 탈취를 주장했는데, 정부와 KISA가 확인한 결과 이 데이터가 실제 SKT 고객정보가 맞는 것인지, 아니면 다른 사업자의 정보인지?

현장 점검 결과 SKT 고객 데이터는 아닌 것으로 확인됐다. 다만 티맵 관련 정보가 일부 식별돼 해당 업체에 통보했고 아직 침해사고 신고는 접수되지 않았다.

이번 KT 소액결제 침해 사건과 관련해 개인정보 유출 경로나 용의자 추적을 통해 추가로 확인된 내용은 없는지, 또 범죄 조직이 세컨드폰을 개통해 활용했을 가능성이 있는지?

개인정보 유출 경로나 경위는 조사에 포함돼 있으나 아직 확인된 바는 없다. 세컨드폰 관련 부분도 현재 구체적으로 확인해 드리기 어렵다.

최근 롯데카드 해킹사고의 원인이 ‘2017년 서버 패치 미적용’이라고 설명됐는데, 이 외에도 추가적인 보안 취약점이 있는지, 그리고 ISMS-P 인증을 받은 직후 사고가 발생한 것에 대해 정부의 관리·감독 책임은 없는지?

보안 패치가 이뤄지지 않아 악성코드가 침입한 것이 맞다. 다만 ISMS-P 인증은 해킹을 막아주는 장치가 아니며 보안 관리체계 마련 여부를 확인하는 절차다

KT 보안 점검 과정에서 악성코드가 발견된 것으로 알려졌는데, 다른 통신사인 LG유플러스의 보안 상태는 안전한지

기업 투자의 적정성을 일률적으로 규정하긴 어렵지만, 보안 투자 확대를 유도하겠다. KT와 LG유플러스 점검에서는 SKT에서 발견된 악성코드는 확인되지 않았다.

관련기사

금융업계에서는 10년간 큰 사고가 없어 오히려 보안 투자가 소홀해졌다는 지적이 있는데, 금융권 보안 역량 강화를 위해 어떤 대책을 준비하고 있는지?

금융권은 10년간 큰 사고가 없어 자율 관리해왔지만 디지털 전환·망분리 완화로 취약점이 늘었다. 앞으로는 대표(CEO) 책임 하에 보안계획을 수립·관리하도록 하겠다.

CISO가 사업부 영향에서 벗어나 CEO 직속·이사회에 독립 보고할 수 있어야 한다. 글로벌 사례와 국내 사고 경험을 분석해 모든 기업이 독립적 보안 거버넌스 체제로 전환하도록 유도할 계획이다. 글로벌 사례와 국내 해킹 사고 이후 기업들의 보완 성과를 분석한 결과, CISO는 특정 사업부의 영향에서 벗어나 CEO 직속으로 두고 이사회에 독립적으로 보고할 수 있어야 한다는 판단을 내렸다. 회사 내부 시스템을 견제할 수 있는 독립적 의사결정 구조가 필요하다는 문제의식을 갖고 있다.

KT 피해자 규모가 계속 늘어나고 있는데, 향후 더 많은 피해가 추가로 확인될 가능성은 없는지, 정부와 KT가 확인한 마지막 침해 발생 시점은 언제인지?

KT가 최근 파악한 피해자 범위를 220만 명으로 확대해 분석했으나 추가 불법 ID는 발견되지 않았다. 9월 5일 이후에는 새로운 피해 사례가 보고되지 않았다.

소액결제 피해는 대부분 ARS 결제로 확인됐으며, 교통카드 결제 비중은 미미하다. 분석은 9월에서 거슬러 올라가며 진행됐고, 8월에 최초 정황이 발견돼 6월까지 1차 분석을 완료했으며, 추가 조사는 계속 진행 중이다.

두 부처가 공동으로 준비한 구체적인 대책은 없는지?

국가안보실을 중심으로 국가정보원, 개인정보보호위원회 등과 함께 논의 중이다. 종합적인 정부 대책을 관계부처 회의를 통해 마련 중이다.