한국, '해킹 테스트베드'로 전락…형편 없는 보안 투자에 "내년이 더 걱정"

국내 기업, 보안 투자 비중 6%
미국 13%의 절반 수준에 불과
국내 기반시설 등 공격 위험수위
"사이버 회복력 강화 필수 요소"

한국이 개인정보 유출 사고가 잇따르면서 ‘해킹 테스트베드(시험장)’로 전락했다. 정보보호 투자율은는 낮은데 정보기술(IT) 의존도는 높아 해커들의 먹잇감이 됐다는 분석이다. 안전불감증에서 벗어나 대책 마련이 시급하다는 지적이다.

1일 보안업계에 따르면 공공, 금융, 플랫폼 등 업종을 가리지 않고 초대형 개인정보 유출 사고가 터졌다. SK텔레콤(2300만 명 유심 정보 유출), 롯데카드(CVC 유출), KT(가짜 기지국 피해), 정부 온나라시스템(공무원 정보 유출), 업비트(386억 원 피해), 쿠팡(3370만 명 개인정보 유출) 등 주요 기관과 기업들이 연이어 피해를 입으며 국내 보안 시스템의 근본적인 취약성이 드러났다.

한 보안업계 관계자는 “올해는 대한민국 사이버 보안 역사에 지워지지 않을 교훈을 남긴 해가 될 것”이라며 “개별 기업의 사고를 넘어 국가 디지털 인프라와 기업 보안 체계의 근본적인 균열이 확인됐다”고 진단했다.

이런 상황에서 한국이 해커들의 ‘개인정보 먹잇감’이 됐다는 분석이 지배적이다. 안랩의 ‘2025년 사이버 위협 동향과 2026년 보안 전망’ 보고서에 따르면 올해 한국은 아시아에서 가장 집중적으로 사이버 공격을 받은 국가 중 하나였다. 지난해에는 인도·일본에 대한 공격이 많았던 반면 올해는 한국에 대한 선택적 공격 패턴이 나타났다. 한국이 사이버 공격이 집중되는 이유로는 △높은 IT 의존도 △디지털 자산 가치 △글로벌 평균 대비 낮은 정보보호 투자 비율 △랜섬웨어 협상 비용 지불에 대한 인식 △미국 외 지역 공격 시 미 연방수사국(FBI) 등 수사기관 감시 회피 등을 꼽았다.

문제는 이러한 위협 노출 심화에도 불구하고, 기업과 공공기관의 정보보호 수준은 여전히 제자리에 머물러 있다는 점이다. 시스코의 ‘2025 사이버보안 준비 지수’ 보고서에 따르면 한국 기업 83%가 지난 1년 새 인공지능(AI) 관련 보안 사고를 경험했으나, 기업 중 사이버 보안에 IT 예산의 10% 이상을 배정한 곳은 33%에 그쳤다. 심지어 97%는 보안 인력이 부족한 것으로 집계됐다.

국내 기업의 보안 투자 비중은 미국 기업의 절반 수준에 불과하다. 한국인터넷진흥원(KISA)은 국내 773개 기업의 지난해 전체 IT 부문 투자 대비 정보보호 투자 비중이 6.29%로 집계했다. 미국 기업의 IT 예산 중 보안 분야 투자 비율(13.2%) 대비 절반 수준에 미치지 못했다.

전문가들은 한국이 내년 국가 기반 시설 등 핵심 인프라에 대한 공격 위협에 직면할 가능성이 크다고 경고한다. 이에 따라 공격 발생 시 신속한 복구를 위해 백업 및 복구 프로세스를 갖추고 모의 훈련을 실시하는 등 사이버 회복력(Cyber Resilience)을 필수적으로 강화해야 한다고 제언했다.

김승주 고려대학교 정보보호대학원 교수는 “SKT의 경우 최초 침투시점은 2021년, 온나라시스템은 최소 3년 전인데 이걸 구분하지 않으면 마치 지금 많이 뚫리고 있는 것 같은 착시 현상에 빠지게 된다”며 “예전부터 많이 뚫리고 있었는데 우리는 안전하다는 착각에 빠져 있었다고 생각해야 하고, 대책도 이에 맞게 세워야 한다”고 지적했다.