1 hour ago
1
김형중 국민대 차세대통신사업단 특임교수.지난해에도 SK텔레콤, KT, 쿠팡 등에서 대규모 해킹이 벌어졌다. 사람들은 개인정보 유출만 주목한다. 수천만 명의 개인정보 유출은 물론이고 기업의 기밀 유출 역시 심각하다. 해커가 개인정보 서버에만 침투하고 기업의 기밀이 담긴 서버를 지나쳤을 것 같지 않다.
개인정보 유출은 법적 공시 의무가 있으나 기밀 유출은 그렇지 않다. 의무가 없는데 기업이 이실직고할 리 없다. 그랬다가는 주가 하락, 소송, 영업비밀 분쟁 등 심각한 문제가 발생한다. 그래서 기업이 전략적인 침묵을 선택할 가능성이 높다.
전문적인 해커라면 서버에 장기간 잠복하며 로그를 삭제한다. 그렇게 탈취한 정보를 암시장에 내놓지 않는다. 그러니 기밀 유출을 입증하는 게 쉽지 않다. 그걸 밝힐 수 있는 직원은 정직하게 보고하지 않는다. 자기 목이 날아가기 때문이다.
고도로 훈련된 해커들의 목표는 기업의 핵심 기밀을 빼내는 데 있다. 그들은 침입 후 권한 상승, 내부 이동(lateral movement)을 통해 가치 있는 데이터를 선별하는 작업에 돌입한다. 따라서 개인정보 유출은 털린 정보의 하한선에 지나지 않는다.
한국 자본시장법은 '기업가치에 중대한 영향을 미치는 사항'에 대한 공시를 요구하나, 사이버보안 사고가 이에 해당하는지는 개별 판단 사항이며 명시적 규정은 없다. 미국 SEC는 '중대한 사이버보안 사고'(material cybersecurity incident) 보고 의무 기한이 4일, 유럽연합(EU) NIS2는 24시간이다. 하지만 이 규제들도 사고 발생 사실과 재무적 영향의 공시만 요구할 뿐, 어떤 정보가 유출됐는지는 밝히지 않아도 된다. 미국 상장기업인 쿠팡이 사고 후 4일 조항을 어겨 기한 해석을 둘러싼 논란이 있었다.
금융기관, 통신사, 빅테크 기업에 집중된 해커의 공격이 이제는 달라졌다. 이곳의 보안 역량이 강화되자 해커들이 두 방향으로 움직이고 있다. 첫째, 디지털자산 기업. 거래소에는 현금이나 다름없는 비트코인이나 스테이블코인이 산적해 있다. 둘째, 제조업체. 로봇과 피지컬 인공지능(AI)이 필수 요소가 되면서 네트워킹이 확대됐지만 보안은 상대적으로 느슨하다.
블록체인에는 거래 당사자의 지갑 주소와 거래 금액이 공개된다. 지갑 주소는 유일한 식별자로 가명 정보인데, 다른 정보와 결합하면 개인을 식별할 수 있어 개인정보로 볼 수 있다. 다만, 당사자가 사전에 노출될 것을 알고도 썼다면 정보 공개의 자기 결정권 행사로 해석될 여지가 있다. 금액 정보도 마찬가지다. 하지만 진정한 권한 행사로 볼 수 있으려면, 자발적이고 명확한 동의가 있었는지 따져야 한다는 주장도 있다.
블록체인에서 거래 정보 노출이 보안을 강화할 거라 기대하면 큰 오산이다. 지갑 주소는 실명이 아닌 가명 정보인데 한 개인이 수백·수천개의 지갑 주소를 만들어 사용할 수 있다. 따라서 수백만개의 지갑 주소, 초당 수천건의 트랜잭션, 체인간 이동까지 포함하면 인간이 의미 있는 패턴을 식별하기는 불가능에 가깝다.
보안업체들이 AI를 가장 먼저 적용한 영역은 이상거래 패턴 탐지다. 기존의 룰 기반 시스템은 금액과 빈도 같은 정형 조건에 의존했지만, AI는 거래의 맥락 자체를 학습한다. 정상 사용자들이 만들어내는 행동 패턴과 어긋나는 흐름을 실시간으로 감지하는 방식이다. 최근에는 지갑 간 관계를 네트워크로 분석하는 그래프 신경망(GNN)까지 활용되며, 단일 주소가 아니라 집단적 위험을 포착하는 수준까지 발전했다.
보안 관점에서 디지털자산 거래소가 특별히 중요한 건 두 가지 이유에서다. 첫째, 엄청난 자산이 한 곳에 집중돼 있다. 거래소가 뚫리면 수억 달러가 실시간으로 탈취될 수 있다. 둘째, 지갑 주소와 연관된 개인정보와 금융정보를 동시에 관리한다. 지갑 주소와 실명, 전화번호 등이 노출되면 그 주소와 연관된 모든 거래가 고구마 줄기처럼 드러난다. 이때의 개인정보 유출은 사고를 넘어 재앙이 된다.
지금까지는 거래소의 자산 탈취 사고에만 주목했다. 그러나 2017년 빗썸의 개인정보 유출 사고를 되돌아볼 필요가 있다. 당시 이름, 휴대폰 번호, 이메일이 유출됐고, 일부는 2차 피싱 공격으로 자산 피해를 입었다. 만약 여기에 지갑 주소까지 함께 유출됐다면, 그 주소와 연관된 모든 거래 내역이 고구마 줄기처럼 드러났을 것이다. 중요한 교훈은 개인정보와 지갑 주소를 함께 저장하고 관리해서는 안된다는 점이다.
김형중 국민대 차세대통신사업단 특임교수 khj-@korea.ac.kr
![[전문가기고] 해외로 빠져나간 5조원, 가상자산 규제의 역설](https://img.etnews.com/news/article/2026/01/21/news-p.v1.20260121.92cdc7d8b42f4d4890df591c68073070_P2.jpg)
![[포토] 코스피 5000선 붕괴...'검은 월요일'](https://img.etnews.com/news/article/2026/02/02/news-p.v1.20260202.c3f531ef83464e0aba15f7a70a9105de_P1.jpg)
![[유재수의 특이점(Singularity) 시대]〈5〉분절의 시대, 한국 경제 생존 공식은 '내수 근력'](https://img.etnews.com/news/article/2025/12/02/news-p.v1.20251202.46faab3da5c644b18d94fededee980be_P2.jpg)
![애플, AI 시리에 구글 '제미나이'채택…올해 대대적 업그레이드 [종목+]](https://img.hankyung.com/photo/202601/01.42945361.1.jpg)
English (US) · 