[주간보안동향] 이란 전쟁이 야기한 사이버 위협, 기업 대응 방안은 外

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

이란 전쟁이 야기한 사이버 위협, 기업 대응 방안은

국가적 물리적 충돌이 사이버 위협으로 번졌다 / 출처=안랩

최근 미국과 이스라엘-이란 간 교전이 사이버 위협으로 번졌다. 안랩은 지난 4일 국가적 긴장이 고조되면서 물리적 충돌과 사이버 공격이 동시에 벌어지는 이른바 ‘하이브리드 전쟁’ 사례가 잇따라 보고되고 있다고 밝혔다. 전쟁 이후 정부·언론·통신사를 타겟으로 디도스(DDoS) 공격과 인터넷 연결 이상, 허위정보 유포가 한꺼번에 관측된 것이다.

문제는 이 위협이 교전국에만 머물지 않는다는 점이다. 해커들이 통신·에너지 등 주요 국가 기반시설 타격을 목적으로 공격을 감행하면서 이와 연결된 민간 기업들이 직접적인 타격을 입거나 연쇄 장애를 겪고 있다. 글로벌 클라우드 리전이나 CDN·DNS 장애가 발생할 경우 공급망을 통해 국내 기업도 서비스 중단 사태를 맞을 수 있다. 동맹국이나 우호국을 향한 보복성 디도스 공격도 배제하기 어렵다.

안랩은 에너지, 통신, 물류, 금융, 방산 등 국가 전략 산업군이 우선 표적으로 지목될 가능성을 분석하며, 최신 보안 권고 사항에 따라 대응 체계를 강화해야 한다고 강조한다. 특히 디도스 공격으로 평소보다 3~5배 이상 트래픽이 들어오는 상황을 가정해 대응 기준을 재설정하고, CDN 이중화나 멀티 리전 구성 등 장애 발생 시 서비스를 분산 처리할 수 있는 구조를 점검해야 한다.

네트워크와 계정 보안 점검도 강화해야 한다. 지속 모니터링으로 외부에서 비정상적인 경로가 광고되는지 확인하고, 관리자 계정에는 다중인증(MFA) 필수 적용이 권고된다. VPN 계정과 장기 미사용 계정을 점검해 불필요한 접근 권한을 줄이는 것도 중요하다. 보안관제센터(SOC)는 24시간 대응 체계를 유지한다.

GTIG ‘2025년 제로데이 공격 절반은 기업 노려’

역대 제로데이 공격 사례 수치 / 출처=GTIG

구글 클라우드 산하 위협 인텔리전스 그룹(GTIG)이 발표한 2025년 제로데이 보고서에 따르면, 지난해 발생한 90건의 제로데이 공격 중 48%가 기업의 네트워크 장비나 서버 취약점을 직접 공격한 것으로 나타났다. 제로데이는 아직 공개되거나 패치되지 않은 보안 약점을 이용해 해킹하는 기술이다. 해커들은 특히 EDR(엔드포인트 탐지·대응) 솔루션이 취약한 엣지 디바이스를 노렸다.

공격 주체의 변화도 뚜렷하다. 과거 국가 지원 해커들이 주도하던 제로데이 공격은 이제 상업용 감시 소프트웨어 제작 업체(CSV)로 확산됐다. 해킹 기술이 사실상 상품으로 거래되며 접근 장벽이 낮아진 셈이다. 또한 GTIG는 해커들이 기업의 소스 코드를 훔친 뒤 이를 분석해 해당 소프트웨어의 또 다른 제로데이 취약점을 찾아내 공격에 재활용하는 악순환을 포착했다.

GTIG는 올해 해커의 AI를 활용한 공격이 확대될 것으로 전망했다. 이에 기업은 AI 에이전트를 활용한 선제적 취약점 탐지와 패치 강화로 맞서야 한다고 분석했다.

개인정보 유출 시 최대 매출 10% 과징금

내년 7월부터 ISMS-P 인증이 자율에서 의무로 전환된다 / 출처=개인정보위

개인정보보호위원회는 지난 9일 중대한 개인정보 유출에 대해 전체 매출액의 최대 10%까지 징벌적 과징금을 부과하는 ‘개인정보 보호법’ 개정안을 3월 10일 공포했다. 이는 대표자(CEO)·개인정보 보호책임자(CPO) 책임을 강화하며, ISMS-P 인증 의무화를 골자로 한다. 시행은 오는 9월 11일부터다.

이번 개정안은 과징금 상한선을 기존 3%에서 최대 10%로 대폭 상향한 것이 핵심이다. 특히 1000만 명 이상의 정보 유출이나 반복적 위반 시 고액의 과징금이 부과된다. 반면 개인정보 보호 관련 예산·인력·설비에 선제적으로 투자한 경우 과징금을 감경받는 인센티브도 함께 도입됐다.

CEO는 개인정보 보호의 최종 책임자로 규정하고, 구체적인 관리·감독 의무를 부여했다. CPO는 전문 인력 관리와 예산 확보를 직접 수행하며, CEO에게 보고하는 역할을 맡는다. 일정 규모 이상 사업자는 CPO 지정·변경·해제 시 이사회 의결을 거쳐 개인정보위에 신고해야 한다. 사고 대응 절차에서는 유출을 확인했을 때뿐만 아니라 유출 가능성을 인지한 즉시 통지하도록 바뀐다. 또한 랜섬웨어 등으로 인한 개인정보 위조·변조·훼손도 신고 대상에 새로 포함됐다.

더불어 주요 공공·민간 기업에 대한 ISMS-P(정보보호 및 개인정보 보호 관리체계) 인증도 자율에서 의무로 전환된다. 관련 규정은 2027년 7월 1일부터 적용된다.

개인정보위, 신뢰 기반 AX 위한 간담회 개최

개인정보위가 지난 9일 ‘개인정보 유관학회 정책간담회’를 개최했다 / 출처=개인정보위

개인정보보호위원회가 지난 9일 서울 중구 한국지능정보사회진흥원에서 ‘개인정보 유관학회 정책간담회’를 열었다. 학계 전문가들은 에이전트 AI, 피지컬 AI로 인해 발생할 수 있는 새로운 개인정보 위협과 정책 환경을 진단하고, 데이터 활용과 보호 사이의 균형점을 논의했다.

개인정보위는 ‘개인정보 보호 신뢰 기반의 AI 융합사회 촉진’을 위한 올해 정책 방향을 공유했다. 이달 국회를 통과한 개인정보 보호법 개정안을 토대로 보호 체계를 근본적으로 개선하는 한편, ‘AI 특례’ 도입, ‘AI 에이전트 관련 가이드라인’ 수립, 다크웹 불법유통 개인정보 대응 계획을 함께 소개했다.

학계 측에서는 ▲개인정보 보호 법익의 확장 ▲피지컬 AI 개발 현장의 데이터 수집·활용 거버넌스 재검토 ▲스타트업 등 보호 역량이 취약한 사업자에 대한 통합 지원을 제안했다. 개인정보 국외이전과 다크웹 불법유통 같은 글로벌 이슈에 대해 학회와 공동 연구·대응을 추진하자는 목소리도 나왔다. 개인정보위는 다각적인 노력을 통해 국민이 신뢰할 수 있는 AI 융합 사회의 토대를 닦는다는 구상이다.

포티넷-LG유플러스, 한국형 보안 위해 맞손

포티넷과 LG유플러스가 SASE 솔루션 및 통합 보안 사업을 위해 MOU를 체결했다 / 출처=포티넷

글로벌 네트워크 보안 기업 포티넷과 LG유플러스가 지난 MWC 2026에서 ‘SASE(Secure Access Service Edge)’ 솔루션 및 통합 보안 사업을 위한 업무협약(MOU)을 체결했다고 11일 밝혔다. SASE는 네트워크 기능과 보안 기능을 클라우드 상에서 하나로 통합해 제공하는 기술이다.

이번 협력으로 포티넷의 SASE·네트워크 보안 기술력과 LG유플러스의 통신 인프라를 결합해 한국형 보안 컴플라이언스를 충족하는 보안 서비스를 공급할 계획이다. 포티넷은 이번 협력을 통해 LG유플러스에 국내 통신사 중 최우선 파트너 지위를 부여했다.

LG유플러스는 AX 전략의 보안 안정성을 확보하기 위해 포티넷의 AI 기반 보안 운영(SecOps) 기술을 접목한다. 네트워크 관리 효율을 극대화하고, 데이터 보호 체계를 강화해 B2B 보안 서비스 모델을 완성한다는 구상이다.

IT동아 김예지 기자 (yj@itdonga.com)