최근 매불쇼에 두 차례 출연한 고려대 정보보호대학원 김승주 교수는, KT 소액결제 해킹 사건과 국가기관 전산망 침투 사례를 중심으로 강한 경고를 던졌습니다. 그는 또한 최근 국회 과학기술정보방송통신위원회(과방위) 회의에서 최민희 위원장의 배려로 약 10분간 발언할 기회를 얻어, 사이버 보안 위기와 제도 개선 방향을 강조했습니다. 이 내용을 중심으로 정리해 보겠습니다.
이제는 기업 보안 문제가 아니라, 국가 안보 문제다.
보안은 선택이 아니라 국가 생존의 문제다.
1. KT 해킹 사건 분석과 보안 취약 진단
해킹 방식과 침투 루트
김승주 교수는 매불쇼에서, KT 소액결제 해킹 사건에서 소형 통신장비(펨토셀 또는 유사 장비)를 차량 등에 설치해 불법 중계망을 구성하는 방식이 활용된 정황이 보도된 것을 언급했습니다. 다만 그는 이 방식만으로 결제까지 이어지기에는 정보 획득 루트가 추가로 존재해야 한다고 보고, 개인정보(CVC 코드 등 결제 보안 정보)의 유출 경로가 무엇인지가 관건이라고 지적했습니다.
유출 규모와 위험 수준
김 교수는 롯데카드 대규모 데이터 유출 사례를 비교하면서, 언론에 보도된 1.7 GB 신고 유출이 실제로는 약 200 GB 수준일 가능성이 있다는 분석을 함께 제시했습니다. 이 정도 규모면 단순 개인정보를 넘어 금융정보 · 인증정보 등이 포함될 여지가 높다는 주장입니다.
인증 제도와 운영 관리의 간극
그는 ISMS-P 인증을 받은 기관이 해킹을 당한 점을 지적하며, 제도적 인증만으로는 보안 강화가 충분치 않다고 강조했습니다. 운영·관리 단계에서 업데이트 누락, 취약점 방치, 로그 기록 미흡 등이 더 큰 리스크가 된다는 지적입니다.
피해 대응 및 카드 교체 원칙
유출 사실이 확인된 고객만 목표로 카드 교체를 시행하는 방향이 현실적이며, 이상거래 탐지 시스템의 고도화도 필수라고 강조했습니다.
2. 정부 전산망 침투와 국가 시스템 위협
김 교수는 특히 정부 시스템이 해킹당한 정황을 언급하며, 국가 보안 차원에서의 대응 필요성을 설파했습니다.
온나라 전산망 침해
그는 온나라 시스템(공문 공유망 등 중앙 행정망)에 대한 해킹 정황을 언급하며, 통일부·해양수산부 직원 계정 탈취 사례가 보고된 바 있다고 말했습니다. 만약 사실이라면 정부 내부 문서가 광범위하게 노출될 가능성이 제기됩니다.
GPKI 인증서 및 내부 소스 유출
공무원용 인증서 체계인 GPKI의 소스코드 유출 정황, 내부 메일 시스템 소스 유출, 내부 침투 및 스팸 메일 발송 정황 등이 언급되었습니다. 해킹 최초 침투 지점은 일부 파악되었다는 보고가 있으나 피해 범위 전체를 진단하지 못하고 있다는 우려도 제기했습니다.
정보기관 탐지 역량 및 순서 역전 문제
김 교수는 민간 해커 쪽에서 먼저 보고한 SSL 인증서 유출 사례를 정보당국이 뒤늦게 인지한 점을 강하게 비판했습니다. 즉, 민간 쪽 탐지 역량이 정보당국보다 앞선 경우가 발생했다는 점은 국가 보안 역량의 핵심 약점으로 지목되었습니다. 그는 사이버 보안에도 군사처럼 “탐지 → 방어 → 무력화” 구조를 도입해야 한다고 제언했습니다.
3. 국회 과방위에서의 10분 발언 요지
최근 국회 과방위 회의에서 최민희 위원장의 배려로 김승주 교수는 약 10분 동안 발언할 기회를 가졌습니다. 아래는 그 발언의 핵심 요지 요약입니다:
- 근본적 해법 필요성 강조
그는 “단편적 사건 대응만으로는 부족하다”고 말하면서, 근본적인 보안 체계 개편이 시급하다고 주장했습니다. - 인증체계 전면 재검토 요구
기존 ISMS-P 인증 제도 중심의 보안 체계는 운영 단계의 취약성을 반영하지 못한다며, 인증 평가 이후 지속적 감사와 관리 체계가 동반되어야 한다고 강조했습니다. - 통신장비 보안성 평가 확대
국가 통신 인프라 및 통신사 장비에 대해 정부 차원의 보안성 평가를 강화해야 한다고 제안했습니다. - 로그 보관 및 분석 강화
유출 흔적 분석을 위해 로그 기록을 더 오래 보관하고, 상관 관계 분석을 위한 체계적 시스템 구축이 필요하다고 말했습니다. - 컨트롤타워 설치 및 전수조사 추진
정부 시스템 전반에 대한 전수조사를 하고, 사이버 보안을 총괄할 컨트롤타워 기관 설립이 시급하다는 주장을 펼쳤습니다. - 입법·감독 기능 강화 촉구
국회 차원에서 보안 거버넌스를 강화해야 하며, 관련 법률 개정과 상임위 점검 기능 강화 등이 필요하다고 제언했습니다.
이 발언은 국회 내부에서도 주목받았고, 언론에서도 “10분 발언이지만 핵심을 찌르는 발언”이라는 평가가 있습니다. (관련 영상 클립도 공개된 상태입니다.)
4. 보안 개선 과제 및 향후 전망
김승주 교수의 해설과 국회 발언을 종합하면, 이번 사안은 단순 보안 사고를 넘어 국가적 보안 위기로 이어질 잠재력이 있습니다. 그가 제시한 주요 개선 과제는 다음과 같습니다.
| 과제 | 주요내용 |
| 3축 사이버 보안 구조 도입 | 국방처럼 탐지 → 방어 → 무력화 구조를 사이버 보안에도 적용 |
| 인증 제도 실효성 강화 | 인증 제도뿐 아니라 실제 운영 관리, 지속 감사 체제 보완 |
| 통신 장비 보안성 평가 제도화 | 통신사/장비에 대한 정부 지정 보안성 평가 확대 |
| 로그 보관 및 상관분석 강화 | 유출 흔적 분석을 위한 장기 로그 보존 및 분석 인프라 구축 |
| 통합 컨트롤타워 및 전수조사 | 정부 시스템 전반 점검 및 중앙 통제 기관 설치 |
| 입법 및 감독 거버넌스 강화 | 국회 주도 보안 법제 정비, 감독 기능 확대 |
향후 이 사안은 청문회, 국정감사, 정부 발표 등 다양한 무대에서 다뤄질 것으로 보이며, 보안 관련 법률 개정 가능성도 배제할 수 없습니다. 블로그에서는 단순 사건 중심 보도를 넘어서 국가 보안 거버넌스 관점을 접목한 글 구성이 독자 관심을 높이는 방향이 될 것입니다.