인적 관리 실패로 반복된 대규모 보안 사고, ISMS-P 의무화와 금융 SaaS 규제 완화로 보안 체계 전환 가속화

보안 사고/이슈

"고도화된 공격이 아닌 '사람'의 실패, 2025년 보안 사고가 던진 본질적 과제"

2025년 국내 주요 기업들의 보안 사고는 기술적 취약점보다 인적 자원 관리 실패가 핵심 원인으로 드러났다. SKT부터 쿠팡까지 익숙한 대기업 이름이 줄줄이 해킹 피해를 입었으며, SKT는 약 2324만 명의 개인정보 유출로 역대 최대인 1347억 원의 과징금을 부과받았다. 특히 쿠팡 사고 직후 가짜 로그인 페이지를 통한 '연계형 피싱'이 등장하는 등 보안 사고가 2차 피해로 확산되는 양상이 나타났다. 한편 해외에서는 중국 배후 추정 공격 그룹이 콘텐츠 관리 솔루션의 제로데이 취약점을 악용해 북미 핵심 인프라를 공격했으며, 러시아 랜섬웨어 조직 블랙바스타가 사실상 해체되었지만 조직원들의 이동 가능성이 제기되며 위협은 여전히 진행형이다. 보안 사고의 80% 이상이 사람의 실수에서 비롯된다는 점에서, 2026년 국내 보안의 진정한 화두는 기술이 아닌 '사람과 문화'라는 본질로의 회귀가 될 전망이다.

정부 정책

"망분리 규제 완화부터 ISMS-P 의무화까지, 정부의 양면 전략이 만드는 보안 패러다임 전환"

금융당국이 엄격한 망분리 규제를 완화해 금융권의 클라우드 SaaS 도입 문턱을 낮췄다. 일정 보안 요건을 갖추면 내부망에서도 SaaS 활용을 허용하되, 개인정보 처리 시에는 예외 없이 금융보안원 등의 평가를 거쳐야 한다는 조건을 달았다. 동시에 국내 정부는 ISMS-P 심사 기준을 강화해 사고 이력이나 고위험군 기업에 대해 예비심사 단계부터 실전 모의해킹을 의무화했다. 미국에서는 방어 중심 정책을 넘어 공격적 사이버 활동 강화 논의가 본격화되고, 군 내부 사이버 부대 창설 논의도 재점화되고 있다. 한편 과기정통부는 AI 연구동료 경진대회와 AI 특화 공동훈련센터 모집을 통해 중소기업의 AI 대전환을 지원하며, 소방청은 AI·첨단기술 활용 10대 전략과제를 통해 초광역 통합 정보망과 무인 소방장비 개발에 나서고 있다. 규제 완화와 의무 강화, 기술 투자 확대가 동시에 진행되는 이 흐름은 보안 체계의 근본적 재편을 예고한다.

기술 동향

"AI 보안 도구에 대한 경영진과 보안 책임자의 '시각 차이', 실효성 논쟁이 본격화"

글로벌 설문조사 결과, CEO와 CISO 간 AI 보안 도구의 실효성에 대한 인식 격차가 뚜렷하게 드러났다. CEO의 19%만이 AI 기술 영향력에 확신이 없다고 답한 반면, 보안 책임자들은 30%가 회의적 반응을 보였다. 보안 책임자들은 AI가 공격자들에게 정교한 피싱이나 악성코드 생성 도구로 악용될 가능성을 더 우려하며, 방어 도구로서의 신뢰성에 의문을 제기했다. 한편 중국 딥시크의 AI 모델 공개와 앤트로픽의 250억 달러 규모 투자 추진은 글로벌 AI 시장의 격변을 예고한다. UNIST 연구팀은 AI 학습의 데이터 증강이 모델 강건성을 높이는 조건을 수학적으로 증명하며, 자율주행과 의료 영상 등 신뢰성 있는 AI 모델 개발의 이론적 기반을 마련했다. AI 기술이 빠르게 진화하는 가운데, 실제 보안 현장에서 AI를 어떻게 활용하고 통제할 것인가에 대한 전략적 합의가 시급한 시점이다.

관련 뉴스:
- 보안뉴스 - AI 보안 강화 잠재력, 경영진과 보안 책임자 간 견해 차이
- 디지털데일리 - 중국 딥시크 AI 기술, 글로벌 시장에 충격
- 디지털데일리 - 앤트로픽, 250억달러 규모 투자 추진
- 정보통신신문 - UNIST, AI 데이터 증강 강건성 수학적 증명

기업·투자·행사

"VM웨어 비용 문제 대안부터 베트남 디지털 전환까지, 국산 기술의 새로운 시장 공략 가속화"

파이오링크가 VM웨어 비용 증가에 어려움을 겪는 대학 IT 인프라 시장을 겨냥해 국산 HCI 솔루션 '팝콘 HCI'로 공략에 나섰다. 한국교육정보화재단의 IT 마켓 등록을 통해 전국 대학과 교육기관이 간편한 절차로 국산 HCI를 도입할 수 있게 됐다. 스피어 AX는 베트남 다낭시와 협력해 AI 기반 디지털 전환 사업을 추진하며 국제 협력 기반 지역 단위 실증 사업의 선례를 만들고 있다. 카스퍼스키는 글로벌 투명성 평가에서 60개 기준 중 57개를 충족하며 소스 코드와 업데이트 프로세스를 직접 검증할 수 있는 투명성 센터 운영과 SBOM 제공으로 신뢰성을 입증했다. 한편 테슬라가 차세대 AI 칩 설계 완료를 발표하며 삼성전자 파운드리 사업에 청신호가 켜졌고, 인천시는 국방벤처센터 설립을 추진하며 수도권 방산혁신클러스터 유치에 나섰다. 글로벌 기술 패권 경쟁이 치열해지는 가운데, 국내 기업들은 틈새 시장과 국제 협력을 통해 새로운 성장 동력을 확보하고 있다.

보안 인증

"SBOM 의료기기 규제 대응부터 공공조달관리사 표준교재까지, 보안 인증 체계의 전방위 확대"

한국정보보호산업협회(KISIA)가 소프트웨어 공급망 보안 및 SBOM 도구 실증으로 국내 의료기기 제조업체가 미국 FDA 등 글로벌 규제 기관의 SBOM 제출 의무화에 대비한 전략을 수립하는 성과를 거뒀다. 취약점이 솔루션에 미치는 영향을 확인하는 VEX 문서 발행 기능까지 실증하며, 의료기기 인허가 대응 역량을 강화했다. 케이뱅크는 AI 기반 FDS 고도화로 386건의 보이스피싱 사례를 사전 탐지해 금융감독원 표창을 받았으며, SK하이닉스는 차량용 메모리에 ISO 26262 ASIL-D 인증을 획득했다. 엠로는 SRM SaaS 솔루션이 SOC2 Type2 인증을 획득하며 글로벌 수준의 데이터 관리 체계를 입증했다. 조달청은 국가기술자격 공공조달관리사 검정시험 표준교재를 무료 제공하며 공공조달 전문인력 양성에 나섰다. 보안 인증이 단순 컴플라이언스를 넘어 글로벌 시장 진출과 신뢰 확보를 위한 필수 전략 자산으로 자리매김하고 있다.

Security Desk 노트

본 인사이트의 핵심 키워드는 '인적 관리 실패'와 '규제 재편', 그리고 'AI 실효성 논쟁'입니다. 2025년 대규모 보안 사고들은 고도화된 공격 기법이 아닌 사람의 실수에서 비롯됐다는 점에서, 보안의 본질이 기술이 아닌 문화와 관리 체계임을 다시 한번 확인시켰습니다. 동시에 금융 SaaS 규제 완화와 ISMS-P 의무화 강화는 보안 정책의 양면 전략을 보여주며, AI 보안 도구의 실효성을 둘러싼 경영진과 보안 책임자 간 시각 차이는 AI 시대 보안 전략 수립의 복잡성을 드러냅니다. 국산 기술의 글로벌 진출과 SBOM 기반 의료기기 규제 대응은 보안이 컴플라이언스를 넘어 비즈니스 경쟁력의 핵심 요소로 자리매김하고 있음을 시사합니다.