티스토리 뷰
목차
2025년 현재, 국내외 해킹 위협이 갈수록 정교해지고 있는 가운데, 한국 정부는 사이버 보안 대응 역량을 강화하고 있습니다. 특히 개인정보보호법 개정, 인포스틸러 대응 강화, 사이버 위기관리 체계 고도화 등 다양한 보안 대책이 발표되고 있습니다. 이번 글에서는 한국 정부의 보안 정책 방향과 그 실효성, 그리고 실질적인 보완 과제를 다각도로 분석합니다.
<정부 보안 대책> 개인정보보호법, 현실에 맞는 개정 필요
개인정보보호법은 대한민국의 개인정보 보안 체계를 구성하는 핵심 법률입니다. 하지만 2011년 제정 이후 급변하는 디지털 환경과 해킹 기법에 적절히 대응하지 못한다는 지적이 많았습니다. 이에 따라 정부는 2024년과 2025년 연이어 개정안을 발표하며, 법의 실효성을 강화하려는 노력을 보이고 있습니다. 특히 최근 개정안에는 ‘민감정보’의 범위를 확대하고, 개인정보 처리자의 책임을 명확히 하는 내용이 포함됐습니다. 또한 유출 시 기업이 반드시 피해 사실을 신고하고, 일정 규모 이상일 경우 관계 기관 및 피해자에게 통보해야 하는 의무도 강화됐습니다. 이는 유출 사고 발생 후 은폐하거나 축소 보고하던 관행을 차단하려는 목적입니다. 하지만 현실적인 문제도 존재합니다. 예컨대 개인정보 유출의 책임 소재를 사업자에게만 전가하면서, 실제 보안 인프라를 갖추기 어려운 중소기업의 부담이 가중된다는 비판도 있습니다. 더욱이 인공지능(AI), 사물인터넷(IoT), 클라우드 등 새로운 기술 환경에 맞춘 규제 체계는 아직 미비한 상태입니다. 이처럼 법 개정은 분명 긍정적인 방향이지만, 단순 처벌 중심이 아닌 사전 예방 중심의 정책으로 진화할 필요가 있습니다. 정부는 단속과 처벌을 넘어 기업과 개인이 자율적으로 보안을 강화할 수 있도록 유도하는 교육, 인센티브, 가이드라인 등의 정책 지원도 병행해야 실효성을 높일 수 있습니다.
한국 정부의 사이버 보안 대응 수준은 어느 정도인가?
한국은 사이버 안보 측면에서 국제적으로 중간 이상의 역량을 보유하고 있다는 평가를 받습니다. 유엔 산하 ITU(국제전기통신연합)가 발표한 사이버 보안 지수에서 상위권을 기록하고 있으며, 사이버사령부 및 국가정보원, KISA(한국인터넷진흥원) 등 다수의 기관이 보안 체계를 유지하고 있습니다. 2023년 이후 정부는 전자정부법, 국가사이버안보전략 등을 통해 사이버 보안 정책을 전면 재정비했습니다. 이에 따라 공공기관은 연 1회 이상 보안 실태 점검을 의무화하고, 민간기업과의 협력 체계도 확장했습니다. 또한 실시간 사이버 위협 탐지 및 경보 시스템도 고도화되고 있으며, 주요 기간망에 대한 모의해킹 훈련도 정례화되었습니다. 그러나 여전히 보완해야 할 점도 많습니다. 우선 부처 간 정보 공유가 원활하지 않아 중복 대응이나 대응 지연 사례가 발생하고 있고, 지방자치단체나 중소 공공기관은 보안 인력이 부족해 현장 대응력이 취약한 상황입니다. 또한 민간 부문과 공공 부문의 협력이 법제도적으로는 명시돼 있지만, 실제 운영 단계에서는 실질적인 정보 교류가 부족하다는 지적도 있습니다. 정부의 정책은 방향성은 우수하지만, 실행 과정에서의 간극이 여전히 존재합니다. 고도화된 위협에 대응하기 위해서는 기술뿐 아니라 인력, 예산, 현장 운영체계가 함께 강화돼야 하며, 위기 대응 모의 훈련도 단순 이벤트가 아닌 실전 대응 훈련 중심으로 전환될 필요가 있습니다.
인포스틸러, 새로운 정부 보안 정책 시험대
2025년 들어 한국 사용자들을 위협하는 악성코드 중 가장 큰 화두는 ‘인포스틸러(Infostealer)’입니다. 이 악성 프로그램은 사용자의 컴퓨터나 모바일 기기에 침투해 브라우저에 저장된 로그인 정보, 쿠키, 자동완성 정보 등을 수집해 해커에게 전송하는 기능을 수행합니다. 문제는 이러한 악성코드의 유입 경로가 매우 다양하다는 점입니다. 무료 소프트웨어, 광고 배너, 이메일 첨부파일, 가짜 로그인 페이지 등 다양한 루트를 통해 인포스틸러가 유포되고 있으며, 일반 사용자뿐 아니라 기업 및 공공기관의 계정 정보까지 노출되고 있는 상황입니다. 한국 정부는 이를 대응하기 위해 ‘사이버 위협 인텔리전스 공유 시스템(CTI)’를 강화하고, 감염 경로 분석 및 피해 예측 시스템을 구축하고 있습니다. KISA를 중심으로 악성코드 샘플 수집 및 분석을 수행하고 있으며, 이 데이터를 토대로 위협 탐지 규칙을 고도화해 백신 소프트웨어 업체와도 공유하고 있습니다. 또한 최근에는 다크웹 상에서 유통되는 한국 사용자 정보에 대한 실시간 모니터링 체계를 도입하여, 사전 경보 및 침해 대응 시간을 단축하는 데 주력하고 있습니다. 하지만 이러한 시스템이 민간 보안 기업, 개인 사용자까지 확산되기에는 아직 한계가 있는 것도 사실입니다. 따라서 향후 정부 정책은 대형 사고 이후의 대응보다, ‘사전 차단’을 중심으로 한 전략으로 전환되어야 하며, 국민 누구나 이해할 수 있는 형태의 교육 콘텐츠 및 대응 매뉴얼이 병행돼야 합니다. 기술과 인식이 결합되어야만 인포스틸러와 같은 지능형 위협에 실질적으로 대응할 수 있습니다.
한국 정부의 사이버 보안 정책은 꾸준히 진화하고 있으며, 법적 정비, 기술적 인프라, 정책적 전략이 함께 강화되고 있는 것은 분명 긍정적인 변화입니다. 하지만 이제는 단순 대응이 아닌 예방 중심의 정책 설계와 현장 중심의 실행력이 요구됩니다. 개인정보보호법이 현실을 반영하고, 인포스틸러 대응이 기술과 사용자 인식을 결합할 때, 진정한 사이버 안전 국가로 나아갈 수 있을 것입니다. 특히 사이버 보안 인력 양성은 장기적 전략으로 접근해야 합니다. 현재까지는 정보보호학과나 전문 교육기관 중심의 인재 공급에 의존하고 있으나, AI 기반 위협 탐지, 다크웹 추적, 포렌식 기술 등 실전 대응이 가능한 융합형 인재가 더욱 절실해지고 있습니다. 이를 위해 정부는 학계, 산업계와 협력해 보안 관련 커리큘럼을 강화하고, 현장 중심 실습을 중심으로 한 교육 지원 확대가 필요합니다. 또한, 사용자의 행동 변화 유도를 위한 캠페인도 지속되어야 합니다. ‘비밀번호 재사용 금지’, ‘2단계 인증 설정’, ‘의심 링크 차단’ 등 실질적인 수칙이 생활 속에서 습관으로 자리 잡을 수 있도록 정부는 반복적이고 직관적인 메시지를 통해 국민 참여를 확대해야 할 것입니다.