허점 드러난 취약점 관리…인력·예산·체계 총체적 부실

허점 드러난 ‘취약점 관리’…인력·예산·체계 총체적 부실

SK텔레콤과 롯데카드에서 연달아 대규모 개인정보 유출 사고가 발생했다. 두 사고 모두 수년 전에 공개된 취약점이 패치되지 않은 상태로 남아 공격에 악용된 것으로 드러났다. 글로벌 보안 체계가 강화되는 가운데 국내 기업의 ‘취약점 관리’가 구조적으로 뒤처져 있다는 비판이 거세다.

● 핵심 요약
- 오랫동안 방치된 취약점 악용 → 대규모 개인정보 유출로 직결
- SKT: Dirty Cow(2016) 미패치, 롯데카드: WebLogic RCE(2017) 미패치
- 인력 부족·형식적 점검·ISMS-P 실효성 논란
- AI 기반 자동 탐지·레드팀·버그바운티 등 대응 필요

전 세계 480개 기관이 CVE로 취약점 공유

CVE(Common Vulnerabilities and Exposures)는 글로벌 표준 취약점 DB다. 미국 MITRE가 운영하며 2025년 기준 약 480개 기관이 취약점 등록(CNA) 기관으로 참여하고 있다. 한국은 KISA, 금융보안원, 삼성·LG·네이버 등 주요 기업이 CNA로 활동하며 국내 취약점 대응 체계의 중심 역할을 맡고 있다.

취약점은 어떻게 공격에 악용되는가

취약점은 설계 오류, 설정 실수, 운영 정책 미비 등으로 발생한다. 공격자는 이를 기반으로 원격 코드 실행(RCE), 권한 상승, 데이터 탈취 등으로 이어지는 공격을 수행한다. 특히 버퍼 오버플로 기반의 권한 상승은 조직 전체 침투의 발판이 된다.

버그바운티로 선제 탐지

KISA와 금융보안원은 버그바운티 제도를 운영하며 국내 취약점 발굴을 장려하고 있다. 민간에서는 LG전자·네이버 등 일부 기업이 자체적으로 운영한다. 하지만 해외의 HackerOne 대비 국내 생태계는 아직 활발하지 못하다는 평가다.

SKT·롯데카드 사고가 보여준 경고

SKT 사고는 2016년 발표된 Dirty Cow 취약점을 패치하지 않은 서버에서 발생했다. 롯데카드도 WebLogic 서버의 2017년 RCE 취약점을 업데이트하지 않은 장비 1대에서 공격이 시작됐다. 오래된 취약점이 방치되면 ‘제로데이’가 아닌 ‘엔데이(N-day)’ 공격에도 무너질 수 있다는 사실이 다시 확인된 것이다.

ISMS-P 인증 실효성 논란

ISMS-P 인증을 받은 기업에서도 사고가 반복되면서, 형식적 점검 중심의 운영 체계가 문제라는 지적이 나온다. 연 1회 일정 체크리스트 기반 점검으로는 실제 공격 시나리오를 반영하지 못하며, 장기간 방치된 취약점을 놓치는 경우가 빈번하다.

오펜시브 보안과 레드팀의 필요성

화이트해커가 실제 공격자 관점으로 침투하는 레드팀 테스트는 단순 취약점 진단보다 훨씬 실효성이 높다. 레드팀은 웹·네트워크·물리 공간 등 다양한 경로로 침투해 조직의 실질적 방어 수준을 평가할 수 있다.

AI 기반 취약점 자동화

구글의 Big Sleep, 국내 Xint 등 AI 기반 자동 취약점 탐지 도구가 등장하고 있다. 서버·네트워크·클라우드 환경의 대규모 자산을 탐지하고, 알려지지 않은 취약점을 자동 추론하는 방향으로 발전 중이다.

근본 문제는 ‘보안 인식’

보안은 기술만의 문제가 아니다. 보안 패치를 미루고, 관리자 계정을 공유하고, 외부 접속에 다중 인증을 적용하지 않는 기본 보안 소홀은 조직의 인식 부족에서 비롯된다. 보안은 비용이 아니라 조직의 존속과 신뢰를 결정하는 핵심 경영 요소다.