인공지능 영상인식 기반의 정보보호 및 보안 솔루션을 제공합니다.
Issue Briefing
아시아 최대 보안 컨퍼런스 ISEC 2025 성료…올해의 키워드는?
지난 8월 26일과 27일 양일간 아시아 최대 규모의 사이버 보안 컨퍼런스 ‘제19회 국제 시큐리티 컨퍼런스(ISEC 2025)’가 ‘AI·SECURITY’를 주제로 서울 코엑스에서 열렸습니다. 이 행사에는 212개 기업과 기관이 참여했으며, 기업 및 정부기관 정보보호최고책임자(CISO)와 사이버 보안 실무자들로 구성된 8000여 명이 방문해 최신 보안 기술과 트렌드를 공유하는 장을 펼쳤습니다. 시선AI는 현장을 찾아 보안 시장의 움직임과 미래의 청사진을 살펴봤습니다.
이번 행사에서 강조된 키워드 중 하나는 ‘제로트러스트(Zero Trust)’였습니다. “아무 것도 믿지 말고, 항상 검증하라”는 메시지를 담고 있는 이 보안 개념은 클라우드와 원격근무가 보편화된 오늘날 그 중요성이 더욱 커지고 있습니다. 기존의 ‘경계성 보안’ 모델이 사실상 무력화되면서 수많은 기업들은 사용자와 기기, 애플리케이션 등 모든 접근 요청을 끊임없이 검증하는 제로트러스트 아키텍처 도입을 서두르고 있다는 분위기가 현장에서 느껴졌습니다. 많은 솔루션이 저마다의 방식으로 제로트러스트를 표방하고 있으나, 한편으로는 ‘최초 인증 이후의 보안 공백’에 대한 고민도 깊어지고 있다는 느낌도 받았습니다. 이는 곧 ‘지속인증’을 어떻게 구현할지에 대한 숙제로 이어집니다.
또 다른 주요 키워드는 ‘패스워드리스(PASSWORDLESS)’였습니다. 올해는 유독 많은 세션과 부스에서 PASSWORDLESS 환경을 강조하고 있었습니다. 복잡한 암호 규칙, 주기적인 변경 요구, 이로 인한 사용자의 피로감, 계정 탈취의 위험성 등 기존의 패스워드 접근 방식이 가진 한계는 보안 시장에 새로운 숙제를 던지고 있습니다. 그리고 실제로 우리 시장은 생체인증(얼굴, 지문 등), FIDO, 각종 인증서 등 기존의 암호 체계를 대체하는 데 속도를 내고 있습니다. PASSWORDLESS는 단순히 편의성을 높이는 것을 넘어 계정 탈취 공격의 근본적 원인을 제거하려는 시도이자, 제로트러스트 환경을 구현하는 첫걸음이기도 합니다.
이날 현장은 ‘생성형 AI’가 양날의 검처럼 보안에 새로운 기회가 될 수도, 새로운 위협이 될 수도 있다는 것도 보여주고 있었습니다. 한쪽에서는 생성형 AI를 활용해 방대한 보안 데이터를 분석하고, 위협 리포트를 자동 요약하며, 보안 취약점 코드를 빠르게 찾아내는 등 보안 전문가의 역할을 돕는 기술이 주목받았습니다. 반면, 다른 한쪽에서는 생성형 AI로 더욱 정교해진 피싱 공격, 자동화된 악성코드 제작 등 AI를 악용한 새로운 공격 기법과 그에 대한 방어 전략이 심도 있게 논의됐습니다. 특히 내부 직원의 생성형 AI 사용으로 인한 중요 정보 유출 우려는 많은 기업들의 공통된 고민이었습니다.
금융권 해킹 사고로 약 5년간 5만여 명 개인정보 유출
금융감독원 조사에 따르면, 국내 금융권에서 최근 약 5년간 해킹으로 인해 5만여 명의 개인정보가 유출됐습니다. 2020년부터 올해 상반기까지 금융권에서 27건의 해킹 침해사고가 발생했으며, 이로 인해 유출된 개인정보가 5만 1004건에 이르는 것으로 확인됐습니다.
연도별 금융권 해킹 침해사고는 ▲2020년 8건(정보유출 23건) ▲2021년 5건(정보유출 2만 9805건) ▲2022년 1건(정보유출 0건) ▲2023년 5건(정보유출 1만 8029건) ▲2024년 4건(정보유출 5건)으로 집계됐습니다. 올해는 상반기에만 4건의 해킹이 발생해 3142건의 개인정보가 유출됐습니다.
이 기간 동안 은행업권에서 가장 많은 해킹 침해사고가 발생했습니다. 은행업권의 사고 건수는 12건으로 전체의 45%를 차지합니다. 증권업권 6건, 저축은행과 손해보험업권 각 3건, 카드업권 2건, 생명보험업권 1건이 뒤를 이었습니다. 정보유출 건수 기준으로는 5만 1004건 중 72%인 3만 6974건이 저축은행에서 유출됐습니다.
같은 기간 금융권에서는 해킹 사고로 피해를 입은 소비자 148명에게 1억 9526만원을 배상했습니다. 직접적인 손해배상뿐만 아니라 기관의 신뢰도나 브랜드 가치 등 무형자산까지 고려하면 사고의 피해 규모는 더욱 클 것으로 예상됩니다.
정보유출 피해가 가장 컸던 해킹 공격 기법은 ‘악성코드’
해킹 공격 기법도 다양하게 나타났습니다. 서비스 거부 공격이 11건으로 전체의 40.7%를 차지했으며, 이어 보안취약점 해킹 7건, 악성코드 5건, 무단접속 및 조작 1건 등의 공격도 있었던 것으로 조사됐습니다.
정보유출 피해가 가장 컸던 해킹 공격 기법은 악성코드로, 이로 인해 무려 2만 9805건(58.4%)의 정보가 유출됐습니다. 보안취약점 해킹과 무단접속 및 조작에 의한 정보유출은 각각 1만 4053건, 7146건이었습니다.
가장 큰 문제점은 해킹으로 정보유출을 일으킨 배후세력이 제대로 파악되지 않는다는 것입니다. 27건의 금융업권 해킹 침해사고 중 배후세력이 확인된 사고는 단 5건에 그쳤습니다. 러시아가 2건, 중국과 미국이 각가 1건이었으며, 나머지 1건의 배후세력은 다국가(미국, 네덜란드, 러시아, 사우디아라비아, 불가리아 등)인 것으로 파악됐습니다.
내부자의 정보유출도 숙제…사후 대처보다 사전 예방이 중요
내부자에 의한 보안 위협도 금융권의 숙제입니다. 지난 3월 인천 소재 한 저축은행 직원이 고객 개인정보를 빼돌려 불법으로 판매한 혐의로 입건됐습니다. 유출된 개인정보는 ‘대출 가능 여부를 조회한 고객 명단’으로, 해당 직원이 판매한 정보는 중간책을 거쳐 불법 사금융 업체에 넘어간 것으로 드러났습니다. 해당 저축은행이 자산 규모가 수조원에 달하는 대형사라는 점에서 더욱 큰 충격을 남겼습니다.
내부자에 의한 정보유출을 막기 위한 은행권의 움직임도 주목됩니다. 국내 한 시중은행은 지난 6월 내부 직원의 고객정보 조회 행위를 실시간 감시하고 정상 범위를 벗어난 이상행위가 감지되면 자동으로 소명을 요구하는 ‘개인정보 유출 모니터링 시스템’을 도입한다고 밝혔습니다.
이 시스템은 단순한 로그 기록이나 사후 점검 방식이 아닌 시나리오 기반의 이상행위 탐지 체계를 갖추고 있는 것이 핵심입니다. ▲평소보다 지나치게 많은 양의 개인정보를 출력하거나 외부로 전송·반출한 경우 ▲특정 고객에 대해 반복적이고 과도하게 조회한 경우 ▲고객명 검색을 통해 무작위 조회를 시도한 정황 ▲하나의 고객정보를 다수 지점에서 동시에 조회하는 이례적 행동 등이 모두 탐지 대상인 것으로 알려졌습니다. 개인정보 유출에 대한 사후 대처를 넘어 내부 통제 시스템을 통해 유출 가능성 자체를 막겠다는 의지가 반영돼 있습니다.
[전문 목차(링크)]