2025년은 대한민국 정보보호 역사상 가장 뼈아픈 해로, ‘디지털 재난의 원년’으로 기록될 것이다.

국가 기간 통신망의 중추인 KT와 SKT, 그리고 이커머스 시장의 절대 강자인 쿠팡까지 연이어 침해 사고를 겪었다. 특정 기업의 일회성 사고로 치부하기에는 피해 규모와 사회적 파장이 너무 컸다. 개인정보 유출은 단순한 정보 손실이 아니라, 국민의 일상과 기업의 존립을 위협하는 사회적 재난으로 확장되고 있다.

지난 한 해 동안 발생한 일련의 사태는 하나의 질문으로 귀결된다.

“왜 이렇게 많은 보안 투자를 하고도 사고는 반복되는가?”

그 답은 기술의 부족이 아니라 통제의 실패, 더 정확히는 신원(Identity)에 대한 관리 부재에 있다. 수천억 원을 들여 네트워크 보안 장비와 방화벽을 구축했지만, 정작 시스템의 출입문을 여는 가장 기본적인 계정 관리에는 여전히 수동적인 업무 관행이 남아 있었다. 그 결과 기업들은 데이터 주권을 상실했고, 고객의 신뢰는 회복하기 어려운 수준까지 훼손됐다.

보안 사고 이후에 발생하는 사회적 비용 또한 간과할 수 없다. 기업은 과징금과 소송 비용을 감당해야 하고, 고객은 장기간의 2차 피해 위험에 노출된다. 나아가 산업 전반에 대한 불신이 확산되며, 이는 결국 디지털 전환 속도를 늦추는 요인으로 작용한다. 보안 사고는 더 이상 개별 기업의 문제가 아니라, 국가 경쟁력과 직결된 구조적 리스크다.

본 칼럼에서는 2025년을 뒤흔든 주요 보안 사고의 원인을 복기하고, 무너진 신뢰를 회복하기 위한 해법으로서 제로트러스트 기반 통합 계정 관리(IAM) 전략이 왜 선택이 아닌 필수인지 살펴보고자 한다.

1. 2025년, 대한민국의 디지털 요새는 왜 무너졌나?

지난해 발생한 대형 보안 사고들은 고도화된 외부 해킹 기술보다는, 내부의 관리 부실과 기본 원칙의 실종이라는 공통된 원인을 갖는다. 이는 보안이 기술의 문제가 아니라, 운영과 거버넌스의 문제임을 분명히 보여준다.

보안 체계는 언제나 가장 약한 고리에서 무너진다. 그리고 그 고리는 대부분 사람과 계정관리 시스템이었다. 접근 권한을 누가 갖고 있는지, 그 권한이 왜 필요한지, 지금도 유효한지에 대한 질문이 조직 내에서 체계적으로 관리되지 않았다.

KT·SKT 사태: IoT 시대, 초연결의 역설

2025년 4월 SKT에서 2,600만 명의 가입자 정보가 유출된 데 이어, 9월에는 KT의 펨토셀(초소형 기지국) 해킹 사건이 발생하며 통신 인프라 전반에 대한 불안이 커졌다.

특히 KT 사례는 기기 인증(Device Identity) 관리의 구조적 취약성을 그대로 드러냈다. 수만 대에 달하는 장비가 제조사 기본 비밀번호를 그대로 사용하거나, 동일한 인증서를 공유하고 있었던 것이다. 이는 단순한 설정 실수가 아니라, 기기 자체를 하나의 ‘신원 주체’로 관리하지 않았다는 점에서 근본적인 문제다.

초연결 환경에서는 하나의 검증되지 않은 기기가 전체 네트워크의 신뢰를 무너뜨릴 수 있다. 5G, 6G로 이어지는 통신 기술의 진화 속에서, 기기 수는 기하급수적으로 늘어나고 있다. 그럼에도 불구하고 많은 조직이 여전히 사람 중심의 보안 정책에 머물러 있다는 점은 심각한 경고다.

쿠팡 사태: 클라우드 환경의 ‘유령 계정’ 리스크

3,370만 명의 개인정보가 유출된 쿠팡 사태의 원인은 기술적으로 복잡하지 않았다. 침해의 통로는 다름 아닌 퇴사자의 접근 키(Access Key)였다.

클라우드 네이티브 환경에서는 개발 속도와 유연성을 위해 수많은 계정과 권한이 생성된다. 그러나 인사 시스템과 보안 시스템이 분리된 조직에서는, 직원이 회사를 떠난 이후에도 그의 권한이 그대로 남아 있는 경우가 반복적으로 발생한다.

해커는 이 방치된 계정을 활용해 정상 사용자처럼 시스템에 접근했고, 장기간 탐지되지 않은 채 대규모 데이터 유출로 이어졌다. 이는 단순한 관리 실수가 아니라, 계정 라이프사이클을 통제하지 못한 조직 구조의 실패였다. 특히 빠른 배포와 자동화를 중시하는 DevOps 환경에서는 이러한 위험이 더욱 증폭된다.

금융·유통업계: 크리덴셜 스터핑과 패스워드의 한계

롯데카드와 GS리테일 사례는 여전히 많은 기업이 비밀번호 중심 인증 체계에 의존하고 있음을 보여준다. 다크웹에 유출된 계정 정보를 무차별 대입하는 크리덴셜 스터핑 공격은 기술적 난이도가 낮음에도 불구하고, 반복적으로 대형 사고를 만들어내고 있다.

여기에 오래된 미들웨어 취약점과 미흡한 패치 관리가 결합되면서, 금융권과 유통업계의 방어선은 허무하게 무너졌다. 이는 비밀번호가 더 이상 신원을 증명하는 수단으로 기능하지 못한다는 사실을 다시 한번 입증한 사례다.

2. 경계는 사라졌다: 제로트러스트와 내부 통제의 재정의

2025년의 사고들이 공통적으로 보여주는 메시지는 분명하다.

“방화벽 안은 안전하다”는 전제는 이미 무너졌다.

클라우드, 원격 근무, 외주 및 협력사 접속이 일상화된 환경에서 내부와 외부를 구분하는 전통적인 경계는 의미를 잃었다. 이제 보안은 네트워크가 아니라 신원과 행위 중심으로 재설계되어야 한다.

제로트러스트는 이를 전제로 한다. 한 번의 인증으로 신뢰를 부여하는 것이 아니라, 접속 시점마다 사용자, 기기, 위치, 행위를 지속적으로 검증하는 방식이다. 그리고 이 구조의 출발점에 통합 계정 관리(IAM)가 있다.

① 계정 라이프사이클의 완전 자동화 – Magic IAM

엑셀과 수동 승인에 의존하는 계정 관리는 더 이상 내부 통제라 할 수 없다. 입사·이동·퇴사(JML) 전 과정이 자동화되지 않으면, 유령 계정은 필연적으로 발생한다.

Magic IAM은 인사 시스템과 실시간 연동을 통해 계정 생성부터 회수까지를 일관되게 통제한다. 이는 단순한 관리 효율화가 아니라, 보안 공백 자체를 구조적으로 제거하는 접근이다. 특히 대규모 조직이나 복수의 클라우드 환경을 운영하는 기업일수록 이러한 자동화의 필요성은 더욱 커진다.

② 패스워드 없는 강력한 인증 – Magic SSO

비밀번호는 여전히 많은 조직에서 기본 인증 수단으로 사용되고 있지만, 동시에 가장 취약한 고리이기도 하다. Magic SSO는 단일 로그인 편의성과 함께 MFA, FIDO 생체 인증, 상황 기반 인증을 결합해 인증의 신뢰도를 근본적으로 끌어올린다.

이는 보안을 강화하면서도 사용자 경험을 해치지 않는 현실적인 대안이며, 크리덴셜 스터핑과 계정 탈취 공격을 원천 차단하는 효과를 제공한다.

③ 투명한 감사와 컴플라이언스 대응

사고 이후 “누가, 언제, 무엇을 했는가”를 설명할 수 없다면, 그 조직은 같은 사고를 반복할 수밖에 없다. 통합 IAM은 모든 접근 이력과 권한 변경을 일관되게 기록해, 사고 대응과 포렌식의 기반을 제공한다.

이는 ISMS-P, 개인정보보호법, GDPR 등 점점 강화되는 규제 환경에서 기업이 감당해야 할 컴플라이언스 리스크를 체계적으로 줄이는 수단이기도 하다.

구조적 보안 전환이 필요한 이유

더 중요한 문제는 이러한 보안 사고가 단기적인 기술 보완만으로는 해결되지 않는다는 점이다. 사고 이후 임시로 비밀번호 정책을 강화하거나, 일부 시스템에 MFA를 추가하는 방식은 근본 대책이 될 수 없다. 이는 이미 무너진 구조 위에 보수 공사를 하는 것에 불과하다. 계정과 권한을 중심으로 한 내부 통제 체계가 재설계되지 않는 한, 다음 사고는 시점만 다를 뿐 동일한 경로로 반복될 가능성이 높다. 보안 전략의 초점은 사고 대응이 아니라 사고가 불가능한 구조를 만드는 데 있어야 한다.

3. 보안은 비용이 아니라 기업의 생존 전략이다

2025년은 대한민국 기업들에게 명확한 경고장이었다.

통제되지 않은 계정은 내부에 숨겨진 시한폭탄이다.

해커는 더 이상 방화벽을 정면으로 공격하지 않는다. 관리되지 않은 계정 하나를 이용해, 정문으로 들어온다. 그리고 그 침입은 대부분 정상 행위처럼 보이기 때문에 탐지조차 어렵다.

이제 보안은 IT 부서만의 과제가 아니다. 경영진과 C-Level이 직접 책임져야 할 거버넌스의 문제다. 통합 계정권한관리 IAM과 같은 전문 솔루션을 통해 내부 통제 체계를 확립하는 것은 고객 신뢰를 지키고, 막대한 과징금과 평판 리스크를 줄이며, 기업의 지속 가능성을 담보하는 가장 확실한 투자다.

2026년이 시작된 지금, 내부 통제 체계를 확립하지 못한다면 다음 위기는 시간문제다.

지금 빗장을 걸지 않으면, 내일은 없다.