2025년은 대한민국 사이버 보안 역사에 지워지지 않을 교훈을 남긴 해로 기억될 것입니다. 기간 통신사와 금융사인 카드사에 연이어 대규모 정보유출 사고가 발생했습니다. 이는 우리에게 그 어떤 조직도 보안 위협에서 자유로울 수 없다는 현실을 다시 한번 일깨워 줍니다. 이번 사고는 개별 기업의 사고를 넘어, 국가 디지털 인프라와 기업 보안 체계의 근본적인 균열을 드러낸 사건이었습니다.
이번 사고는 글로벌 위협동향을 그대로 반영하고 있습니다. IBM의 '2024 데이터 유출 비용 보고서'에 따르면 전 세계 데이터 유출 사고의 평균 피해액은 사상 최고치인 488만 달러(약 67억 원)에 달했으며 이는 전년 대비 10% 급증한 수치입니다. 이는 더 이상 먼 나라의 이야기가 아니라 예측 가능하고 때로는 치명적인 재무적 결과를 초래하는 명백하고 존재하는 위협입니다. 실제로 한국정보보호산업협회(KISIA)의 조사에 따르면 2023년 국내 정보보안 산업 매출액은 전년 대비 9.4% 증가한 6조 1,454억 원을 돌파하며 보안의 중요성과 시장의 절박함이 동시에 커지고 있음을 보여줍니다.
본 블로그에서는 이 사건들을 들여다 보고 조직에 실질적으로 적용할 수 있는 핵심적인 방어 전략을 제안하고자 합니다. 단순한 요약을 넘어 통신사와 카드사 침해 사고를 들여다 보고 공격 경로와 공격을 가능하게 했던 근본적인 보안 실패 요인을 살펴보고자 합니다. 이는 추궁이 아닌 사고로 부터 회복력 있는 방어 전략의 청사진을 제안하기 위한 것임을 분명히 밝힙니다.
아울러 네트워크 접근 제어(NAC/ZTNA) 및 엔드포인트 탐지 및 대응(EDR)과 같은 솔루션이 더 이상 선택이 아닌 필수 요소임을 증명하고자 합니다.
두 사건은 서로 다른 공격 기법을 통해 현재의 사이버 위협이 얼마나 다각적이고 예측 불가능한지를 명확히 보여주었습니다.
이 사건은 통신의 가장 기본적인 계층을 겨냥한 공격이었습니다. 중국 국적의 공격자들은 차량에 불법 소형 기지국, 일명 'IMSI 캐처(IMSI Catcher)를 싣고 수도권 일대를 돌아다녔습니다. 이 가짜 기지국은 해당 통신사 고객의 휴대전화가 정상 기지국 대신 자신에게 접속하도록 유도했습니다. 이 과정을 통해 공격자들은 총 5,561명에 달하는 사용자의 민감한 가입자 정보, 특히 국제 모바일 가입자 식별 번호(IMSI)와 전화번호를 탈취하는 데 성공했습니다.
탈취된 IMSI와 전화번호를 이용해 공격자들은 소액 결제를 감행했습니다. 온라인 상품권을 구매하거나 모바일 교통카드를 충전하는 방식으로 총 1,700여만 원의 금전적 피해를 입혔습니다. 결재를 위한 ‘사용자 인증’ 등 아직까지 명확히 밝혀지지 않은 부분이 있으나 결과적으로 IMSI라는 식별 정보 등의 유출이 직접적인 금융 사기로 이어질 수 있다는 것을 명백히 보여준 사례입니다. 특히 통신사의 초기 대응은 실망스러웠습니다. 처음에는 정보 유출이 없다고 부인했다가 하루 만에 입장을 번복하며 고객의 신뢰를 잃게 되는 결과를 초래합니다.
이 공격의 핵심은 전통적인 기업 보안 솔루션의 감시체계를 완벽하게 우회했다는 점입니다. 공격은 통신사의 서버나 방화벽이 아닌 공중의 전파와 최종 사용자의 단말기 자체를 표적으로 삼았습니다. 이는 모바일 중심의 업무 환경이 보편화된 오늘날 기업이 통제할 수 없는 외부 환경에서 발생하는 위협이 얼마나 치명적일 수 있는지를 보여줍니다. 즉 방어해야 할 네트워크의 '경계' 라는 개념 자체가 사라졌음을 의미합니다. 공격대상이 공용 통신망 그 자체일 때 기업 내부와 외부를 나누는 방화벽과 같은 전통적인 경계 보안은 무력화됩니다. 기업이 통제할 수 없는 지점에서 위협이 발생할 때 보안을 강제할 수 있는 유일한 지점은 다양한 단말기(엔드포인트) 자체와 해당 단말이 기업 자원(네트워크 등)에 접근하는 바로 그 순간뿐입니다.
결국 이 사건은 '제로 트러스트(Zero Trust)' 보안 모델의 핵심 원칙인 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’가 왜 중요한지를 실제 사례를 통해 우리에게 일깨워 줍니다. 사용자의 스마트폰은 통신사 네트워크를 암묵적으로 신뢰하도록 설계되어 있으며, 이번 공격은 바로 이 신뢰에서 시작되었습니다. 이번의 사고는 어떠한 단말이나 네트워크도 '안전하다'고 가정하는 것이 얼마나 위험한 발상인지를 보여줍니다.
통신사 사건과 극명한 대조를 이루는 카드사 정보유출 사고는 기본적인 보안 관리의 실패가 부른 전형적인 인재(人災)입니다. 공격자는 구버전의 오라클 웹로직(Oracle WebLogic)으로 운영되던 온라인 결제 서버를 표적으로 삼아 이미 널리 알려진 원격 코드 실행 취약점(CVE-2017-10271)을 악용했습니다. 이를 통해 서버에 '웹쉘(Webshell)'이라는 악성 스크립트를 업로드하여 원격 제어 권한을 획득했습니다. 심지어 공격자들은 주 공격을 실행하는 동안 보안팀의 주의를 분산시키기 위해 디도스(DDoS) 공격을 병행하는 등 치밀함을 보였다고 알려지고 있습니다.
결과는 재앙적이었습니다. 공격자들은 약 200GB에 달하는 방대한 양의 데이터를 유출했으며, 이는 297만 명의 고객 정보에 해당합니다. 유출된 정보에는 개인정보뿐 아니라, 약 20 여만명에 이르는 고객의 암호화된 카드 번호, 유효 기간, CVC 코드, 비밀번호 등 매우 민감한 금융 정보까지 포함되어 있었습니다.
이러한 내용을 통해 이 보안 사고의 근본적인 원인은 아래와 같다고 유추 할 수 있습니다.
1. 패치 등 관리의 실패 : 2025년에 발생한 공격의 시작점이 2017년에 발견된 취약점이라는 사실은 ‘소유한 IT 자산의 관리’ 라는 가장 기본적인 수칙조차 지켜지지 않았음을 의미합니다.
2. 침투 후 탐지의 실패 : 200GB라는 막대한 데이터가 장기간에 걸쳐 외부로 유출되는 동안 아무도 인지하지 못했다는 것은, 내부 네트워크에 대한 가시성과 이상 행위 모니터링 체계가 없거나 취약했음을 의미합니다.
3. 보안 거버넌스의 부재 : 일부 보고서에서는 사모펀드가 최대주주인 기업의 지배구조가 장기적인 보안 투자보다는 단기 수익성을 우선시했을 가능성을 제기하며 이는 보안 인프라와 전문 인력에 대한 투자 소홀로 이어졌을 가능성을 제시하고 있습니다.
더 놀라운 사실은 해당 카드사가 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 지 2주 만에 침해 사고가 발생했다는 점입니다. 이는 보안이 일회성 감사나 인증서 획득으로 완성되는 것이 아니라 지속적인 운영 프로세스임을 명백히 보여주는 사례입니다. '체크리스트' 기반의 규제 준수는 실제 운영상의 허점을 가리는 '보안의 착시 현상'을 유발할 수 있습니다. ISMS-P 심사는 패치 관리 정책의 '존재' 여부를 확인하지만 그 정책이 실제로 '실행' 되고 있는지 그리고 효과적인지를 검증하는 데는 한계가 있습니다. 이는 조직이 감사에만 의존할 것이 아니라 NAC/ZTNA등의 솔루션을 통해 시스템의 보안 상태를 검증하고 정책을 강제할 수 있는 기술적 통제 수단을 갖춰야 함을 의미합니다.
또한 공격자가 200GB의 데이터를 유출할 만큼 오랜 기간 네트워크 내부에 머물렀다는 것은 경계 방어에만 치중한 보안 전략의 명백한 실패를 보여줍니다. 이러한 결과는 1차 저지선(방화벽 등)을 뚫고 침투한 공격자가 내부에서 특별한 감시나 제한없이 다양한 활동이 가능했음을 암시합니다. 웹 서버 프로세스(WebLogic)가 비정상적으로 명령 프롬프트를 실행하거나 대량의 데이터를 알 수 없는 외부 IP로 전송하는 등의 이상 '행위'를 탐지하고 대응했다면 다른 결과가 나왔을 것이라 예상해 봅니다. 이 역시도 EDR 등의 솔루션을 통해 엔드포인트(서버 및 단말 등)의 이상행위를 탐지하고 대응할 수 있는 기술적 조치가 필요함을 의미 합니다.
| 구분 | 통신사 개인정보 유출 사고 | 카드사 개인정보 유출 사고 |
| 공격 벡터 | 물리 계층 / 무선 주파수 공격 (가짜 기지국 / IMSI 캐처) | 애플리케이션 계층 공격 (알려진 취약점 CVE-2017-10271 악용) |
| 주요 공격 대상 | 모바일 가입자 식별 정보 (IMSI) | 웹 서버 및 백엔드 데이터베이스 |
| 핵심 보안 실패 | 전통적 네트워크 경계 밖의 가시성 부재 공용 인프라에 대한 맹목적 신뢰 |
기본적인 보안 관리(패치 관리) 실패 침투 후 탐지 능력 부재 |
| 피해 규모 | 5,561명 정보 유출 약 1,700만 원 부정 결제 |
297만 명 정보 유출(CVC 포함) 200GB 데이터 탈취 |
| 핵심 교훈 | 네트워크 경계 소멸 모든 접속은 명시적으로 검증 |
규제 준수와 보안실현은 별개 강력한 내부 가시성 확보 필요 |
[표 1] 통신사 vs 카드사 사건 비교
이번 통신사와 카드사의 사고는 공격 방식은 달랐지만 '성과 해자(Castle-and-Moat)'로 비유되는 전통적인 경계선 기반 보안 모델이 더 이상 유효하지 않았음을 명백히 보여준 사고였습니다. 통신사는 기존 경계션을 완전히 우회할 수 있음을, 카드사는 경계션이 뚫리면 내부가 무방비 상태가 됨을 보여주었습니다.
원격 근무, BYOD(Bring Your Own Device), IoT, 클라우드 도입으로 대표되는 현대 IT 환경은 새로운 보안 프레임워크를 요구하고 있습니다. 대표적으로 '제로 트러스트(Zero Trust)' 모델입니다. 제로 트러스트는 네트워크 내외부를 구분하지 않고 어떤 사용자나 단말도 기본적으로 신뢰해서는 안 된다는 원칙에서 출발합니다. 모든 접근 요청은 반드시 인증(Authenticate)되고, 인가(Authorize)되며, 암호화(Encrypt)되어야 합니다.
제로 트러스트는 광범위한 철학이지만 기업 내부 네트워크에서 이를 실현할 수 있게 하는 두 개의 대표적인 기술 및 솔루션이 바로 NAC(ZTNA)와 EDR입니다.
이 둘은 함께 작동하여 문 앞에서 신원을 확인하고 경계선 안에서의 행동을 지속적으로 감시하는 강력한 심층 방어(Defense-in-Depth) 전략을 완성합니다.
NAC/ZTNA는 내부 보안의 가장 기본적인 출발점입니다. 이는 다음과 같은 세 가지 핵심 역량을 제공합니다.
1. 가시성(Visibility) : 기업용 노트북과 서버부터 IoT 기기, 직원의 스마트폰에 이르기까지, 네트워크 접속을 시도하는 모든 단말을 자동으로 식별하고 프로파일링(Profiling) 합니다.
2. 인증(Authentication) : 사용자 인증, 802.1X, IP/MAC 기반 인증, AD(Active Directory) 및 SAML등 다양한 인증 및 IAM 등과의 연동을 통해 사용자와 기기의 신원을 명확히 확인합니다.
3. 통제(Policy Enforcement) : OS 패치, 백신 설치 및 업데이트 등 사전에 정의된 보안 정책을 준수하는지 검사하여 접근을 통제합니다. 정책을 위반한 기기는 네트워크 접속을 차단하거나 치료 및 업데이트를 위한 격리 네트워크로 자동 분리합니다.
[그림 1] Genian NAC/ZTNA가 제공하는 DPI(Device Platform Intelligence)
ZTNA가 IMSI 캐처 공격 자체를 막을 수는 없습니다. 그러나 이를 통한 2차 피해가 발생한다면 결정적인 역할을 수행할 것이라고 추정할 수 있습니다.
만약 가짜 기지국을 통해 사용자 또는 직원의 스마트폰 등이 감염된다면 이는 기업 내부로 위협을 끌어들이는 '트로이 목마'가 될 수 있습니다. 해당 직원이 감염된 스마트폰으로 기업 Wi-Fi에 접속하거나 테더링을 통해 업무용 노트북을 연결하려 할 때, Genian ZTNA는 검문소 역할을 수행합니다. 다중 인증(MFA) 등 강력한 인증 절차를 강제하고 단말의 보안 상태(Posture Checking)를 점검하여 오직 인가되고 정책을 준수하는 안전한 기기만이 기업 자원에 접근하도록 허용합니다. 이를 통해 공용 통신망에서 시작된 위협이 안전한 기업 네트워크 내부로 전이되는 것을 효과적으로 차단할 수 있습니다.
EDR은 '언젠가 뚫릴 수 있다'는 '침해 가정(Assume Breach)'의 원칙 위에서 동작합니다. EDR의 목적은 다른 모든 방어 체계를 우회한 위협을 탐지, 조사, 대응하기 위해 엔드포인트 활동에 대한 깊고 지속적인 가시성을 제공하는 것입니다.
1. 지속적인 모니터링 : PC, 서버 등 각 엔드포인트에 설치된 EDR 에이전트는 프로세스 실행, 파일 변경, 레지스트리 수정, 네트워크 연결 등 방대한 활동 데이터를 지속적으로 수집합니다.
2. 행위 기반 분석 : EDR 플랫폼은 머신러닝과 최신 위협 인텔리전스를 활용하여 수집된 데이터를 실시간으로 분석합니다. 이를 통해 알려진 악성코드의 시그니처(IOCs, 침해 지표)뿐만 아니라, 파일리스(Fileless) 공격이나 신종 랜섬웨어와 같이 알려지지 않은 위협의 비정상적인 '행위'(IOAs, 공격 지표)까지 탐지해냅니다.
3. 자동화된 대응 및 포렌식 : 위협이 탐지되면 EDR은 악성 프로세스를 강제 종료하거나, 파일을 삭제하고, 해당 엔드포인트를 네트워크로부터 격리하는 등의 대응을 자동으로 수행할 수 있습니다. 또한, 공격의 시작부터 끝까지 모든 과정을 기록하는 '블랙박스' 역할을 하여, 포렌식 분석을 위한 완벽한 공격 체인 정보를 제공합니다.
만약 공격자가 취약점 공격에 성공했더라도, 그 이후의 모든 내부 활동은 Genian Insights E에 의해 포착되었을 것입니다.
[그림 2] Genian Insights E 가 제공하는 Endpoint Discovery
현대 보안 아키텍처의 진정한 힘은 각 솔루션의 유기적인 '통합'에서 시작됩니다. ZTNA와 EDR이 함께 연동될 때, 이는 단순히 두 솔루션의 합을 넘어 강력한 보안 시너지를 창출하게 됩니다. 이것이 바로 지니언스 플랫폼이 추구하는 핵심 가치입니다.
1. 탐지 (EDR) : 서버에 설치된 Genian Insights E 에이전트가 신종 랜섬웨어가 파일을 암호화하기 시작하는 이상 행위를 탐지하고, 이 사실을 즉시 정책서버에 알려줍니다.
2. 보안정책 (GPE : Genian Policy Engine) : 정책서버는 해당 서버가 심각한 위협에 노출되었다는 정보를 실시간으로 Genian ZTNA와 공유합니다.
3. 조치 (ZTNA) : 실시간 위협 정보를 전달받은 ZTNA는 즉각적으로 네트워크 수준의 대응을 실행합니다. 감염된 서버가 연결된 스위치 포트를 차단하거나, ARP 통제 기술을 이용해 해당 서버의 모든 네트워크 통신을 완벽하게 차단할 수 있습니다.
이번 통신사와 카드사의 사고가 우리에게 던지는 명백한 교훈은 수동적이고 경계에만 의존하는 보안은 이미 실패한 전략이라는 것입니다. 2025년 이후의 디지털 환경에서 '희망'은 전략이 될 수 없습니다. 오직 '능동적인 방어' 만이 유일한 생존의 길입니다. 진정으로 회복력 있는 보안 아키텍처는 ZTNA라는 견고한 기반 위에 EDR이라는 지능적인 탐지 능력을 쌓아 올리는 것에서 시작됩니다.
점진적인 개선의 시대는 끝났습니다. 위협이 진화하는 속도만큼, 우리의 방어 체계도 진화해야 합니다. 모든 조직은 이제 방화벽 너머를 바라보고, 내부 보안 태세를 비판적으로 재평가해야 합니다. ZTNA와 EDR이라는 두 기둥 위에 세워진 통합적이고 능동적인 방어 전략을 채택함으로써, 기업은 수동적인 희생자가 아닌 위협에 맞서는 강력하고 회복력 있는 주체로 거듭날 수 있을 것입니다. 지니언스는 그 여정의 가장 신뢰할 수 있는 파트너가 될 준비가 되어 있습니다.
지니언스 전략마케팅실을 담당하고 있습니다. 회사의 성장전략을 수립하고 실행합니다.