[해킹공화국]⑤ 보안 선진국들은 해킹에 어떻게 대처하나

기사입력 : 2025년09월26일 08:44

최종수정 : 2025년09월29일 11:14

올해 대한민국 사회와 국가 인프라는 '해킹공화국'이라는 오명을 면치 못하고 있다. 통신·금융·공공기관을 가리지 않고 연쇄적으로 터지는 해킹 사고는 단순한 정보 유출을 넘어 사회 전반의 신뢰를 무너뜨리고 있다. 피해는 수천만 명의 개인정보에 국한되지 않는다. 기업의 경쟁력, 금융 시스템의 안정성, 더 나아가 국가 안보의 근간까지 위협하고 있다. 그러나 대응은 여전히 땜질식에 머물고 있고, 유사한 사고가 반복되고 있다. 뉴스핌은 <해킹공화국> 기획을 통해 해킹 실태와 구조적 원인을 짚어보고, 제도적·정책적 대안을 모색한다.

[서울=뉴스핌] 최원진 기자 = 인터넷 뱅킹과 온라인 쇼핑, 통신 서비스 등 디지털 서비스가 생활 깊숙이 자리 잡은 상황에서 해킹과 사이버 침해 범죄는 날로 진화하고 있다.

올해 4월 SK텔레콤 개인정보 유출 사건을 비롯해 예스24, 롯데카드 등 국내 기업에서 개인정보 유출 사고가 잇따른 가운데 이들의 늑장 신고와 지연 대응은 사회적 불신을 키워 놓았다.

미국과 유럽, 일본 등 소위 선진국에서도 해킹 사고는 빈번하다. 그들과 우리의 차이점은 대응의 긴밀함과 투명함에 있다. 이들 보안 선진국은 대규모 해킹 사고 발생 시 '투명한 공개 → 신속한 피해 복구 → 책임 있는 배상과 처벌 → 제도 보완'이라는 대응 사이클을 체계화해 피해 범위와 재발 위험을 줄이는 데 전념하고 있다.

[해킹공화국] 글싣는 순서

1. "보안 없는 AI 강국은 사상누각"…기업을 넘어 국가 안보 위기
2. SKT·KT·롯데카드…4월 이후 매달 해킹 사고
3. 창과 방패의 끝없는 전쟁…北·中 등 해킹에 韓 사이버 안보 '구멍'
4. 사모펀드 MBK식 경영 '도마 위'에…제2롯데카드 사태 우려
5. 보안 선진국들은 해킹에 어떻게 대처하나
6. 정보보호 투자 확대·개별통지 의무화…예방책 입법 과제
7. 해킹 피해 8할이 中企…"정부 지원만이 살길" 이구동성

◆ 집단 배상과 강력 처벌 하는 미국

2021년 미국 3대 이동통신사 가운데 하나인 T모바일에서는 해킹 범죄로 약 7660만 명 고객의 이름, 생년월일, 사회보장번호, 운전면허증 등 민감 정보가 유출됐다.

T모바일의 대응은 빨랐다. 유출 사실을 즉각 공개했다. 전 고객에게 이메일과 문자로 알림을 발송했고 피해 여부와 관계없이 2년간 무상 맥아피(McAfee) 보안 서비스를 제공했다. 이후 집단소송 합의에 따라 총 3억5000만 달러 배상에 합의하는 한편 자체 보안 시스템 강화에 2023년까지 1억5000만 달러를 추가 투입하겠다고 약속했다.

이통사 AT&T 역시 연이은 해킹으로 홍역을 치렀다. 2023년에는 외주 마케팅 업체의 클라우드 저장소에서 고객 890만 명의 이름, 무선 번호, 회선 수 등 고객 독점 네트워크 정보(CPNI)가 유출돼 연방통신위원회(FCC)로부터 1300만 달러 과징금을 부과받았다.

이듬해에는 약 1억여 명의 통화 및 문자 기록이 해킹당해, 회사는 해커와 협상을 벌여 37만 달러를 지급하고 데이터 삭제를 요구하는 조치를 취했다. 2024년 3월에도 현재 사용자 760만 명과 과거 고객 6540만 명의 개인 데이터가 다크웹에 유출됐다. 이 사건으로 현재 FCC 조사와 함께 미국 각 주에서 20여 건에 달하는 개별·집단 소송에 걸려있다.

미국의 기업규제는 상대적으로 느슨하다. 그러나 위법 행위와 고객 피해가 발생했을 때 처벌은 엄하다. 재발방지를 위한 내부와 외부의 점검은 가혹해진다.

해킹 사고도 마찬가지다. 사고 인지시 즉각적 공개, 피해자 대상 실질적 보상, 기업에 대한 징벌적 과징금을 기본으로 한다. 더 나아가 연방·주 차원에서 해킹 발생 72시간 내 신고 의무, 독립적 외부 감사, 피해자 보호제도까지 촘촘히 작동한다.

◆ 정부가 나서 적극 대응 법제화 한 일본

올해 2월 일본에서는 대형 보험대리점 '호켄미나오시혼포'가 랜섬웨어 공격을 받아 고객정보 약 510만 건이 유출됐을 가능성이 제기됐다. 회사는 즉시 서버를 격리하고 외부 전문가와 합동 조사를 벌였다. 피해자 통지와 관계기관 신고 등 표준 대응 절차를 따랐다.

앞서 2024년 6월에는 일본 대표 출판사 카도카와가 피싱·랜섬웨어 공격으로 개인정보 25만 건을 유출당했고, 2023년에는 라인야후에서 이용자·거래처 개인정보 51만 건이 새어나가는 등 대형 침해 사건이 연이어 발생했다. 더 거슬러 올라가면 2020년에는 중국 해커가 일본 정부의 군사 기밀망을 침투해 작전계획과 안보 관련 정보가 대규모로 유출되면서, 일본의 기밀 보안 체계와 미·일 동맹 내 정보 공유 신뢰까지 흔들린 바 있다.

이처럼 대형 해킹이 반복되자 일본은 '수동적 방어'에서 '공격적 방어'로 정책 기조를 전환했다. 2022년 개인정보보호법 개정을 통해 유출 시 공공·민간을 막론하고 정부 신고와 피해자 통지를 의무화했고, 과징금과 형사처벌 수위도 대폭 강화했다. 또 단기 정보보관 업종까지 규제 범위를 확대했다.

이어 2025년 의회를 통과해 2027년 시행 예정인 '적극적 사이버 방어법'은 국가기관이 사이버 공격 징후가 포착되면 해커 서버를 선제 차단·무력화할 수 있는 권한을 부여했다. 지방정부·민간·지자체 단위의 모의훈련을 정례화하고, 중앙정부가 대응 템플릿을 제공하는 등 민관 협력 체계도 실전체계로 정착시키고 있다.

유럽연합(EU) 집행위원회 벨기에 브뤼셀 본부 앞에 서있는 EU기 기둥. 2022.09.28 [사진=로이터 뉴스핌]

◆ 공동 방어체계 실전 가동하는 유럽

유럽에서는 런던 히스로, 베를린 브란덴부르크, 브뤼셀 등 유럽 주요 공항과 항공사 정산·티케팅 시스템이 동시다발적으로 랜섬웨어 공격에 노출된 사고가 있었다. 유럽 전역 400여 개 공항에서 수백, 수천 편의 항공기가 연쇄적으로 지연·취소되는 대혼란이 빚어졌다.

사고의 스케일에 비해 정상화는 비교적 빨랐다. 유럽연합(EU) 사이버보안청과 각국 정부가 즉각 합동 비상대응에 나서 실시간 정보 공유와 복구 지휘를 진행한 덕분이다.

유럽은 제도적 대응에서도 세계적 수준이다. 일반개인정보보호법(GDPR)은 개인정보 유출 시 기업 연간 글로벌 매출의 최대 4%까지 과징금을 부과할 수 있어, 기업들에 강력한 보안 투자 압박으로 작용한다.

또한 2025년 2월 발효된 사이버연대법(Cyber Solidarity Act, CSA)은 회원국 간 위협 정보를 실시간 공유하고 EU 공동 보안운영센터(SOC)를 가동하는 내용을 담고 있다. 핵심 인프라에 대한 정기 모의훈련과 비상 대응 메커니즘을 의무화했으며, 위기 발생 시 회원국 간 인력을 신속히 파견하는 'EU 사이버 예비군(EU-Cyber Reserve)' 제도도 신설했다.

여기에 더해 NIS2 지침(네트워크 및 정보 보안 지침 2)은 사이버 사고 발생 시 72시간 내 신고를 의무화하고 위반 기업에 막대한 과징금을 부과할 수 있도록 했다. 주요 인프라와 기업에는 피해자 구제 절차와 대국민 통지 의무도 함께 부된다.

◆ 한국이 나아가야 할 방향은

최근 한국에서 벌어진 일련의 해킹 사고의 공통점은 늑장 대응과 사건 은폐다. 피해를 인지하고도 공개를 미루거나 축소하다가 뒤늦게 신고하는 탓에, 2차 피해 우려가 커지고 국민 불신은 깊어졌다. 반복되는 "사후 뒷북 대응"을 끊고 글로벌 수준의 투명·선제 대응체계로 전환하는 것이 시급하다.

가장 먼저 필요한 것은 즉각 통지·공시 의무화다. 해킹이나 개인정보 유출 사실을 인지하는 즉시 정부와 당사자에게 알리고, 72시간 내 공개하도록 법으로 못 박아야 한다. 이는 유럽연합의 GDPR과 NIS2 지침처럼 정보 공개를 최우선 원칙으로 삼는 모델이다.

피해자 배상제도 강화도 뒤따라야 한다. 미국·EU처럼 집단소송과 징벌적 손해배상제를 도입해 기업이 피해를 은폐하거나 늑장 대응할수록 더 큰 법적 책임을 지도록 해야 한다.

보안관리 책임 체계 역시 강화가 필요하다. 대형 기업에는 최고정보보안책임자(CISO) 지정을 의무화하고, 해킹 사실을 은폐하거나 신고를 지연할 경우 경영진에게 직접 형사 책임과 과징금을 부과하는 제도가 마련돼야 한다. 사고 수습에 급급하기보다 평소 보안 투자와 내부 관리 체계를 강화하도록 유도하는 장치가 될 수 있다.

민관 합동 대응체계도 상시 가동돼야 한다. EU의 '사이버 예비군'처럼 정부, 기업, 보안전문가가 즉시 협력할 수 있는 합동 대응센터를 두고, 피해 기업에는 긴급 인력과 자원을 신속히 투입할 수 있는 시스템을 구축하는 방식이다.

기업의 보안 투자와 훈련, 공시 의무를 강화하는 제도도 필요하다. 정기적으로 보안 투자 현황을 공시하고, 주요 인프라 기업은 모의훈련과 보안 인증제를 의무적으로 시행해야 한다.

아울러 국제 공조 채널 확대도 중요하다. 중국·북한발 해킹 피해가 늘어나는 상황에서 위협 정보를 실시간 공유하는 국제 네트워크에 적극 참여하고, 주요국과 합동 모의훈련·복구 체계를 운영하는 '한국형 글로벌 연합 대응 모델'을 마련해야 한다.

투명 공개, 신속 통지, 피해자 배상, 민관 합동 대응, 국제 공조를 핵심 축으로 삼아야만 한국은 '해킹에 취약한 나라'라는 오명을 벗고 사이버 재난에 실질적으로 대응할 수 있게 된다.

wonjc6@newspim.com

[관련기사]

[관련키워드]

해킹

GAM - 해외주식 투자 도우미

인텔, 닷컴버블 고점 탈환 ①달라진 CPU 위상

아마존 투자 SMR 기업 X에너지 나스닥 IPO

[홍콩 대장주] 메이퇀 ③ 신성장 동력의 '폭발적 성장'

[홍콩 대장주] 메이퇀② 실적은 고속 상승, 밸류는 역대 저점

[뉴스핌 베스트 기사]

사진

금연구역 내 모든 담배 사용 불가 [세종=뉴스핌] 신도경 기자 = 24일부터 '연초의 잎'으로 만든 담배뿐 아니라 연초나 니코틴이 들어간 모든 제품이 담배로 규정돼 금연구역에서 모든 담배제품을 사용할 수 없다. 이날 보건복지부에 따르면, '담배사업법' 개정안 시행으로 '연초'나 '니코틴'뿐 아니라 '연초의 잎'에서 유래하지 않은 제품 역시 연초의 잎 소재 담배와 동일하게 담배에 포함된다. 기사 이해를 돕기 위해 생성형 AI로 제작한 이미지 [일러스트=제미나이] 담배의 정의가 확대됨에 따라 담배 제조업자와 수입판매업자는 담뱃갑 포장지와 담배에 관한 광고에 경고 그림이나 경고문구 내용을 표기해야 한다. 또한 담배에 대한 광고는 잡지 등 정기간행물에 품종군별로 연 10회 이내·1회당 2쪽 이내로 게재해야 한다. 행사 후원, 소매점 내부, 국제항공기·국제여객선 내에만 제한적으로 허용된다. 여성과 청소년을 대상으로 하는 광고나 행사 후원은 금지된다. 광고에는 담배 품명, 종류, 특징을 알리는 것 외의 내용이나 흡연을 권장·유도하거나 여성이나 청소년을 묘사하는 내용 등을 모두 포함할 수 없다. 만일 담배에 가향 물질이 포함되는 경우 이를 표시하는 문구·그림·사진을 제품의 포장이나 광고에 사용할 수 없다. 건강경고 또는 광고에 대한 규제를 위반할 경우는 1년 이하의 징역 또는 1000만원 이하의 벌금이 부과될 수 있다. 가향물질 표시 금지에 대한 규제를 위반할 경우는 500만원 이하의 과태료가 부과된다. 기사 이해를 돕기 위해 생성형 AI로 제작한 이미지 [일러스트=제미나이] 담배 자동판매기는 '담배사업법'에 따라 설치장소나 거리기준 등 요건을 갖춰 소매인 지정을 받은 자만 설치할 수 있다. 담배 자동판매기는 18세 미만 출입금지 장소, 소매점 내부, 19세 미만인 자가 담배 자동판매기를 이용할 수 없는 흡연실에만 설치할 수 있다. 성인인증장치도 부착해야 한다. 담배에 대한 광고물은 소매점 외부에 광고내용이 보이게 전시 또는 부착할 수 없다. 담배 자동판매기 설치 기준을 위반하면 500만원, 성인인증장치 미부착은 300만원의 과태료가 부과된다. 흡연자는 금연구역에서 모든 담배제품을 사용할 수 없다. 금연구역에서 담배제품을 사용할 경우 10만원 이하의 과태료가 부과될 수 있다. 한편, 복지부는 당초 지방자치단체의 담배 규제 사항을 점검·단속하려고 했으나 현장의 혼란을 막기 위해 오는 6월 23일까지 계도기간을 두기로 했다. 담배자판기 설치나 성인인증장치 부착 기준 준수 등을 집중적으로 안내한다. 복지부 관계자는 "재고가 소진될 때까지 다소 시간이 걸려 생산 제품에 새로 표시하는 것이 어려운 점을 고려했다"고 설명했다. sdk1991@newspim.com 2026-04-24 09:40

사진

SK하이닉스 '과열 vs 추가 랠리' 갈림길 [서울=뉴스핌] 이나영 기자= SK하이닉스가 사상 최대 실적을 발표한 가운데, 시장의 관심이 실적 자체를 넘어 향후 주가 흐름으로 빠르게 이동하고 있다. 이달 들어 약 37%에 육박하는 상승세를 이어온 만큼, 이번 실적이 추가 상승으로 이어질지 여부가 핵심 변수로 떠오른 모습이다. 24일 한국거래소에 따르면 SK하이닉스는 전날 장중 126만7000원까지 오르며 신고가를 경신한 뒤, 0.16% 오른 122만5000원에 거래를 마쳤다. 이달 1일 89만3000원이던 주가는 약 37.1% 상승하며 단기간 가파른 오름세를 나타냈다. 이번 실적은 매출과 수익성 측면에서 모두 시장 기대를 뒷받침하는 수준으로 평가된다. SK하이닉스는 1분기 매출 52조5763억원, 영업이익 37조6103억원, 순이익 40조3459억원을 기록했다. 분기 매출이 50조원을 넘어선 것은 처음이며, 영업이익률은 72%로 창사 이래 최고치를 경신했다. 전년 동기 대비 영업이익은 405% 증가하며 실적 성장세가 뚜렷하게 확인됐다. 다만 이날 주가는 하락 출발한 뒤 장중 등락을 거듭하다가 강보합으로 마감하며, 실적 발표 직후 상승 흐름이 곧바로 이어지지는 않는 모습을 보였다. 이는 시장의 기대가 이미 실적 수치 이상으로 선반영돼 있었던 영향으로 분석된다. 실제로 SK하이닉스 주가는 연초 60만원대 중반에서 출발해 90만원대를 거쳐 120만원대까지 올라서는 등 올해 들어 뚜렷한 상승 추세를 이어왔다. 실적 발표 전 삼성증권은 영업이익 40조2090억원을, KB증권은 40조830억원을 예상하는 등 주요 증권사들은 40조원대 이익을 전망해왔다. 키움증권과 흥국증권 역시 유사한 수준의 추정치를 제시했다. 실제 실적은 시장 예상 범위 내에서 확인됐지만, 주가 측면에서는 이미 반영된 기대를 점검하는 흐름이 나타난 것으로 해석된다. 김지현 다올투자증권 연구원은 "4월 이후 코스피가 약 27% 상승하는 과정에서 협상 기대감과 반도체 실적 모멘텀이 상당 부분 선반영됐다"고 분석했다. 이를 단순 조정으로 보기보다 상승 이후 흐름을 점검하는 과정으로 해석하는 시각도 적지 않다. 김선우 메리츠증권 연구원은 "1분기 실적은 사상 최대 수준으로 시장 기대에 부합했다"며 "본격적인 이익 증가는 2분기부터 나타날 것"이라고 말했다. 중장기 성장 스토리는 여전히 유효하다는 평가다. SK하이닉스는 실적 발표 콘퍼런스콜에서 인공지능(AI) 수요가 대형 모델 학습 중심에서 실시간 추론 중심으로 확대되고 있으며, 이에 따라 디램(DRAM)과 낸드(NAND) 전반에서 수요 기반이 넓어지고 있다고 밝혔다. 특히 향후 3년간 HBM 수요가 자사 생산능력을 상회할 것으로 전망하며 공급 제약 환경이 이어질 가능성을 시사했다. 증권가의 눈높이도 빠르게 높아지고 있다. DS투자증권 130만원, LS증권 150만원, 하나증권 160만원, 메리츠증권 170만원, 삼성증권과 IBK투자증권 180만원, KB증권 190만원, SK증권 200만원 수준까지 목표주가가 제시됐다. 현재 주가 대비 추가 상승 여력을 열어두고 있다는 평가다. 시장에서는 이번 사이클을 구조적인 변화 흐름으로 보고 있다. 김동원 KB증권 리서치본부장은 "서버 DRAM과 기업용 SSD 수요 증가로 메모리 가격 상승이 이어지면서 실적 추정치 상향 가능성이 높다"고 전망했다. 이종욱 삼성증권 연구원은 "메모리 산업이 가격 중심 경기민감 산업에서 품질 중심 인프라 비즈니스로 전환되고 있다"며 "중장기 호황과 주주환원 정책이 맞물리며 추가적인 주가 상승 여력이 존재한다"고 분석했다. 밸류에이션 재평가 기대도 이어지고 있다. 미국 주식예탁증서(ADR) 상장 추진 역시 기업가치 상승 요인으로 거론된다. 회사는 최근 미국 증권거래위원회(SEC)에 ADR 상장을 위한 신청서를 제출했으며, 올해 하반기를 목표로 관련 절차를 진행 중이다. 이를 통해 글로벌 투자자 접근성을 확대하고 투자 재원 확보에 나선다는 전략이다. SK하이닉스의 이번 실적은 향후 주가 흐름을 가늠할 기준으로 작용할 전망이다. 단기적으로는 상승분을 점검하는 흐름이 이어질 수 있지만, 이익 성장 사이클이 지속될 경우 추가 상승 여력도 여전히 유효하다는 분석이다. nylee54@newspim.com 2026-04-24 07:54