소프트웨어 개발 수명주기(SDLC) 전반의 보안 감사 체계와 금융권 비교

소프트웨어 개발 수명주기(SDLC) 전반의 보안 감사 체계와 금융권 비교

1. 서론: 디지털 플랫폼 시대의 보안 위기와 구조적 맹점

1.1 연구의 배경 및 목적

디지털 대전환(Digital Transformation)이 가속화되면서 정보통신기술(ICT) 기업들은 그 어느 때보다 방대한 양의 개인정보와 민감 데이터를 처리하고 있다. 클라우드 네이티브(Cloud-Native), 마이크로서비스 아키텍처(MSA), 데브옵스(DevOps) 등 최신 기술의 도입은 서비스의 속도와 유연성을 비약적으로 향상시켰으나, 동시에 기존의 보안 경계(Perimeter)를 모호하게 만들고 공격 표면(Attack Surface)을 기하급수적으로 확장시키는 결과를 초래했다.

최근 발생한 SK텔레콤(이하 SKT)과 쿠팡의 대규모 해킹 및 개인정보 유출 사고는 국내 대표적인 테크 기업들이 직면한 보안 거버넌스의 구조적 한계를 여실히 드러낸 사례다. SKT 사고에서는 공격자가 내부망에 장기간 잠복하며 고객 정보를 유출했음에도 탐지되지 않았고 1, 쿠팡 사고에서는 퇴사자의 인증 키가 폐기되지 않아 수천만 명의 정보가 무방비로 노출되었다.3 이러한 사고들은 단순한 기술적 결함(Bug)을 넘어, 조직의 소프트웨어 정책, 설계, 개발, 운영 등 수명주기 전반에 걸친 통제 시스템의 실패를 시사한다.

본 보고서는 이 두 사건을 심층 분석하여 사고의 근본 원인이 ’외부 감사 시스템의 부재’에 있는지, 혹은 ’현행 감사 체계의 실효성 부족’에 있는지를 규명하고자 한다. 특히, 대량의 금융 정보를 다루면서도 상대적으로 대규모 유출 사고가 적은 금융권(Financial Sector)의 보안 체계와 비교함으로써, ICT 기업들이 벤치마킹해야 할 요소와 반면교사로 삼아야 할 지점을 도출한다. 아울러, 애자일(Agile) 환경에서 소홀히 다루어지기 쉬운 ’설계 단계의 문서화’와 ’보안 내재화(Security by Design)’가 외부 감사의 실효성을 높이는 데 어떤 역할을 하는지 논의하고, 궁극적으로 기업의 보안 회복탄력성(Resilience)을 강화하기 위한 정책적, 기술적 제언을 제시한다.

1.2 연구의 범위 및 방법

본 연구는 소프트웨어 개발 수명주기(SDLC: Software Development Life Cycle)의 4단계인 **정책(Policy), 설계(Design), 개발(Development), 운영(Operation)**을 분석 프레임워크로 설정한다. 각 단계별로 SKT와 쿠팡 사고에서 드러난 취약점을 진단하고, 이에 대응하는 금융권의 규제 및 관행을 대조 분석한다.

  • 정책 단계: 보안 거버넌스, 리스크 관리 정책, 조직 구성 및 R&R(Role and Responsibility).
  • 설계 단계: 아키텍처 보안, 위협 모델링(Threat Modeling), 망 분리 및 접근 제어 설계.
  • 개발 단계: 시큐어 코딩(Secure Coding), 소스 코드 보안, 자격 증명(Credential) 관리, CI/CD 파이프라인 보안.
  • 운영 단계: 모니터링, 로그 감사, 접근 권한 수명주기 관리, 침해 사고 대응.

분석에는 최신 언론 보도, 보안 전문 매체 리포트, 정부(금융위원회, 과학기술정보통신부) 발표 자료, 글로벌 보안 표준(ISO 27001, ISMS-P, NIST) 및 학술 연구 자료가 활용되었다.

2. ICT 기업 보안 사고의 심층 분석: SKT와 쿠팡의 SDLC 단계별 실패 요인

SKT와 쿠팡의 사고는 표면적으로는 해킹과 내부자 소행이라는 서로 다른 형태를 띠지만, 그 이면에는 SDLC 각 단계에서 보안 검증이 누락되거나 외부 감사가 작동하지 않았다는 공통적인 문제점이 존재한다.

2.1 SKT 해킹 사고: 인프라 가시성 상실과 경계 보안의 붕괴

SKT 사고는 2022년부터 2025년까지 장기간에 걸쳐 공격자가 내부망을 장악하고 고객 정보를 유출한 지능형 지속 위협(APT) 사례이다.2

2.1.1 [정책 단계] 네트워크 통제권의 공백과 감사 범위의 한계

가장 먼저 지적되어야 할 점은 보안 정책과 거버넌스의 실패다. 보도에 따르면 SKT의 정보보호최고책임자(CISO) 조직은 네트워크 보안에 대한 실질적인 통제권을 갖지 못했던 것으로 보인다.4 통신사는 그 특성상 네트워크 인프라가 곧 서비스(Product)이자 비즈니스 플랫폼이다. 그러나 서비스 가용성과 속도를 중시하는 네트워크 운영 부서와 보안 부서 간의알력이나 정책적 괴리가 존재할 경우, 보안 정책은 구호에 그치기 쉽다.

외부 감사의 관점에서 볼 때, ISMS-P와 같은 인증 심사는 주로 ’정책의 수립 여부’와 ’문서화된 절차의 존재’를 확인한다. 실제 네트워크 장비의 설정(Configuration)이나 패킷 레벨에서의 이상 징후를 실시간으로 감사하는 것은 인증 심사의 범위를 벗어난다. SKT의 정책적 실패는 ’네트워크 인프라에 대한 보안 부서의 직접적인 통제권’을 명시하지 않거나, 이를 강제할 수 있는 내부 감사 권한이 부여되지 않았다는 데 있다.

2.1.2 [설계 단계] 망 분리 설계의 미흡과 횡적 이동(Lateral Movement) 허용

공격자는 초기 침투 후 시스템 관리망을 통해 고객 관리망 내 서버로 이동했다.1 이는 내부망 간의 경계(Segmentation)가 제대로 설계되지 않았음을 의미한다.

  • 트러스트 존(Trust Zone) 설계 부재: 시스템 관리망은 최고의 권한을 가진 영역이므로 고객 데이터를 다루는망과는 엄격히 분리되거나, 접근 시 강력한 다중 인증(MFA) 및 점프 호스트(Jump Host)를 경유하도록 설계되어야 했다.
  • 위협 모델링의 부재: 설계 단계에서 “관리자가 아닌 제3자가 관리망에 접속했을 때 어떤 피해가 발생할 수 있는가?“에 대한 위협 모델링이 수행되었다면, 관리망에서 고객망으로 향하는 트래픽에 대한 이상 탐지 설계가 반영되었을 것이다.5

2.1.3 [개발 및 운영 단계] BPFdoor와 스텔스 악성코드의 미탐지

기술적으로 이번 사고의 핵심은 ’BPFdoor’라는 고도화된 백도어의 사용이다.4 BPF(Berkeley Packet Filter)는 리눅스 커널 수준에서 네트워크 패킷을 처리하는 기술로, 주로 네트워크 모니터링이나 성능 분석에 사용된다. 공격자는 이를 악용하여 방화벽 규칙(iptables)을 우회하고 특정 패킷만을 필터링하여 통신했다.

  • 운영 감사의 사각지대: 일반적인 호스트 기반 침입 탐지 시스템(HIDS)이나 백신은 커널 레벨에서 동작하는 BPF 필터를 악성 행위로 식별하지 못할 수 있다. 이는 운영 단계에서의 보안 모니터링 도구가 최신 위협 기술을 따라가지 못했음을 보여준다.
  • 외부 감사의 한계: 외부 감사는 통상 샘플링된 서버의 OS 설정, 패치 현황 등을 점검한다. 수만 대의 서버 중 특정 서버의 커널 메모리에 로드된 악성 BPF 프로그램을 찾아내는 것은 정밀 포렌식 감사가 아닌 일반적인 컴플라이언스 감사로는 불가능에 가깝다.

2.2 쿠팡 개인정보 유출: 자격 증명(Credential) 관리와 내부 통제 실패

쿠팡 사고는 3,370만 명에 달하는 고객 정보가 유출된 초대형 사고로, 기술적 해킹보다는 관리적 보안의 실패, 즉 ’휴먼 에러’와 ’프로세스 미비’가 결합된 형태다.3

2.2.1 [정책 및 설계 단계] 인증 아키텍처와 키 관리 정책(Key Management Policy)의 부재

사고의 직접적 원인은 퇴사한 직원이 보유했던 API 인증 키(서명 키)가 갱신되거나 폐기되지 않았다는 점이다.3 이는 설계 단계에서부터 보안 원칙이 무시되었음을 시사한다.

  • 비인가 접근 허용 설계: 인증 토큰만 있으면 별도의 로그인 절차 없이 데이터베이스나 API에 접근할 수 있도록 설계된 아키텍처 자체가 문제다.3 이는 ‘심층 방어(Defense in Depth)’ 원칙에 위배되며, 인증(Authentication)과 인가(Authorization)가 분리되지 않은 구조적 취약점이다.
  • 키 수명주기 정책(Key Lifecycle Policy) 부재: 모든 암호화 키와 인증 토큰은 생성, 사용, 저장, 갱신(Rotation), 폐기의 수명주기를 가져야 한다. 쿠팡은 퇴사자 발생 시 관련 키를 즉시 폐기하거나 교체하는 정책이 수립되어 있지 않았거나, 정책이 있어도 시스템적으로 강제되지 않았다.

2.2.2 [개발 단계] 하드코딩된 시크릿과 데브옵스의 명암

빠른 개발과 배포를 중시하는 쿠팡의 문화에서 개발자들은 편의를 위해 소스 코드나 설정 파일에 인증 키를 하드코딩하거나, 유효 기간이 무제한인 토큰을 생성하여 사용했을 가능성이 높다.

  • 시크릿 스캔(Secret Scanning) 미비: 개발 단계에서 소스 코드가 저장소(Git 등)에 커밋되기 전, 인증 키나 패스워드가 포함되어 있는지 검사하는 자동화된 감사 도구(SAST 등)가 제대로 작동하지 않았다.7
  • 코드 리뷰의 형식화: 동료 검토(Peer Review) 과정에서 이러한 보안 취약점이 걸러지지 않았다는 것은 개발자들의 보안 인식(Security Awareness) 부족과 리뷰 프로세스의 형식화를 의미한다.8

2.2.3 [운영 단계] 퇴사자 프로세스(Off-boarding)와 접근 제어의 불일치

가장 치명적인 운영 실패는 인사 시스템(HR)과 IT 접근 제어 시스템의 연동 실패다. 직원이 퇴사 처리되어 HR 시스템상에서는 ’퇴사자’로 분류되었으나, 그가 사용하던 시스템 계정이나 그가 생성한 API 키는 여전히 ‘유효’ 상태로 남아 있었다. 외부 감사는 보통 ’퇴사자 계정 삭제 여부’를 체크리스트로 확인하지만, ’퇴사자가 생성한 시스템 간(Machine-to-Machine) 인증 키’까지 추적하여 감사하는 경우는 드물다. 이는 클라우드 및 MSA 환경에서 기계 계정(Machine Identity)이 급증하면서 발생하는 새로운 감사의 사각지대이다.9

3. 금융권과의 비교 분석: 대량 유출 사고가 적은 구조적 이유

금융권 역시 해킹 시도의 주요 타겟이지만, SKT나 쿠팡과 같은 형태의 내부망 장악 및 대량 데이터 반출 사고는 현저히 적다. 이는 금융권 특유의 강력한 규제 환경과 **‘망 분리(Network Separation)’**라는 물리적/논리적 장벽, 그리고 ‘상시 평가’ 체계 덕분이다.

3.1 망 분리: 물리적 단절이 제공하는 강력한 보안성

금융권 보안의 알파이자 오메가는 「전자금융감독규정」에 따른 망 분리 의무화이다.10 금융회사의 통신망은 외부 인터넷망과 업무망(내부망)으로 분리되어야 하며, 내부망에서는 인터넷 접속이 원천적으로 차단된다.

비교 항목금융권 (Financial Sector)ICT/빅테크 기업 (Tech Sector)보안 사고에 미치는 영향
망 구성폐쇄망 (Air Gap): 인터넷 PC와 업무용 PC가 물리적/논리적으로 분리됨. 업무망에서 인터넷 접속 불가.개방형: 업무 효율을 위해 인터넷 접속이 자유로우며, 클라우드 SaaS 활용이 활발함.금융권은 외부 공격자가 내부망으로 침투하더라도, 인터넷으로 데이터를 반출할 경로(Outbound Traffic)가 차단되어 대량 유출이 구조적으로 어려움.11
데이터 접근VDI 및 단말기 통제: 개인신용정보 접근 시 지정된 단말기에서만 가능.VPN 및 원격 접속: 재택근무 등으로 외부에서 내부망 접속이 허용되는 경우가 많음.SKT 사고와 같은 원격 접속을 통한 침투가 금융권에서는 VPN + 망연계 솔루션 + 2차 인증 등 다중 관문을 통과해야 하므로 난이도가 매우 높음.
개발 환경소스 코드 반출입 통제: 인터넷의 오픈소스를 내부로 가져오거나 내부 코드를 외부로 보낼 때 승인 절차 필수.오픈소스 직접 연결: GitHub 등 외부 저장소와 내부 개발 환경이 직접 연결됨.쿠팡 사례처럼 외부에서 내부 API 키를 이용해 데이터를 긁어가는 행위가 금융권 망 구조에서는 불가능에 가까움.

이러한 ‘에어 갭(Air Gap)’ 환경은 업무 생산성을 저하시키고 최신 기술(AI, 클라우드) 도입을 지연시키는 단점이 있지만 12, 보안 관점에서는 외부 위협을 차단하는 가장 확실한 방어선 역할을 해왔다. SKT 사고에서 공격자가 외부 C2(Command & Control) 서버와 통신하며 데이터를 유출한 경로는 금융권의 망 분리 환경에서는 존재하지 않거나 극도로 제한적이다.

3.2 외부 감사의 강제성과 깊이: 규제 준수의 차이

금융권과 ICT 기업의 또 다른 결정적 차이는 외부 감사의 ’강제성’과 ’밀도’에 있다.

3.2.1 금융보안원(FSI)의 전문적이고 강제적인 감사

금융권은 금융보안원과 금융감독원의 이중 감시를 받는다.

  • 취약점 분석·평가 의무: 전자금융기반시설에 대해 매년 주요 정보통신기반시설 취약점 분석·평가를 수행해야 하며, 그 결과와 이행 계획을 금융위원회에 보고해야 한다.14 이 평가는 단순한 체크리스트 점검이 아니라, 모의해킹을 포함한 기술적 진단을 포괄한다.
  • 정보보호 상시 평가제: 금융권은 정보보호 수준을 점수화하여 관리하며, 이를 통해 보안이 일회성 이벤트가 아닌 상시적인 프로세스로 관리되도록 유도한다.15
  • 시큐어 코딩 감사: 금융권은 프로젝트 감리 시 시큐어 코딩 준수 여부를 필수적으로 점검해야 하며, 이는 법적 의무 사항이다.17

3.2.2 ISMS-P 및 자율 규제의 한계

반면 ICT 기업들이 주로 받는 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증은 매우 훌륭한 표준이지만, 그 본질이 ’자율 규제’에 가깝고 ’관리체계의 수립’에 초점이 맞추어져 있다.18

  • 샘플링의 한계: ISMS-P 심사는 전체 자산의 일부를 샘플링하여 점검한다. 쿠팡과 같이 수만 개의 마이크로서비스를 운영하는 기업에서 샘플링된 일부 서비스만 양호하다면 인증을 획득할 수 있다.
  • 기술적 깊이의 차이: 인증 심사원은 제한된 시간 내에 방대한 항목을 점검해야 하므로, SKT의 BPFdoor와 같이 커널 레벨의 백도어를 찾아내거나, 쿠팡의 API 키 관리 로직을 소스 코드 레벨에서 검증하기는 현실적으로 불가능하다.

3.3 금융권 망 분리 규제 완화의 양날의 검

최근 금융당국은 AI와 클라우드 등 신기술 도입을 위해 금융권의 망 분리 규제를 단계적으로 완화하는 로드맵을 발표했다.20 개발·테스트 망에서의 인터넷 접속을 허용하고, 생성형 AI 활용을 위한 샌드박스를 운영하는 것이 골자다.

이는 금융권 보안 환경이 점차 ICT 기업의 환경과 유사해짐을 의미한다. 전문가들은 망 분리가 완화될 경우, 금융권 역시 SKT나 쿠팡이 겪은 형태의 사이버 공격에 노출될 위험이 커질 것으로 경고한다.10 즉, 금융권이 지금까지 대량 유출 사고가 적었던 것은 **’소프트웨어 보안 역량이 뛰어나서’라기보다는 ‘망 분리라는 물리적 족쇄가 있었기 때문’**일 수 있다. 이 족쇄가 풀릴 때, 진정한 의미의 소프트웨어 보안 정책, 설계, 개발 역량이 시험대에 오를 것이다.

4. 소프트웨어 정책·설계·개발·운영 과정의 외부 감사 부재 분석

사용자의 질의인 “외부 감사 시스템 부재가 원인인가?“에 대한 답은 **“부재(Absence)가 아니라, 현대적 환경에 맞지 않는 구시대적 감사(Ineffective Audit)가 원인”**이라고 정의할 수 있다. SDLC 각 단계별로 외부 감사가 어떻게 실패했는지, 그리고 무엇이 필요한지 분석한다.

4.1 [정책 & 설계] 문서화 실종과 감사의 기준선 상실

4.1.1 애자일과 문서화의 딜레마

현대 ICT 기업들은 애자일 방법론을 채택하면서 “포괄적인 문서보다 작동하는 소프트웨어“를 중시한다. 이 과정에서 보안 아키텍처, 데이터 흐름도(DFD), 보안 요구사항 명세서와 같은 필수적인 문서들이 생략되거나 현행화되지 않는다.23

  • 감사 기준의 부재: 외부 감사는 ’계획(Plan)’과 ’실행(Do)’을 비교하는 과정이다. 그러나 설계 문서(계획)가 없거나 부실하면, 감사는 현재 구현된 시스템이 올바른지 판단할 기준선(Baseline)을 잃게 된다. 코드가 곧 문서라고 주장하지만, 수백만 줄의 코드를 감사자가 읽을 수는 없다.
  • 보안 부채(Security Debt)의 누적: 설계 단계에서 보안을 고려하지 않고(Security by Design 미적용) 개발 속도만 높이면, 이는 결국 보안 부채로 쌓인다.24 쿠팡의 하드코딩된 키는 전형적인 보안 부채다. 설계 단계에서 문서화된 ’키 관리 정책’이 있었고 이를 감사가 확인했다면 예방 가능했을 것이다.

4.1.2 위협 모델링(Threat Modeling)의 감사 의무화 필요성

설계 단계의 문서화 중 가장 시급한 것은 위협 모델링이다.5 시스템의 데이터 흐름을 분석하고 잠재적 위협을 식별하는 이 과정은 보안의 청사진이다.

  • 강화 방안: 외부 감사는 기업이 신규 서비스를 런칭할 때 위협 모델링을 수행했는지, 도출된 위협에 대한 완화 조치(Mitigation)가 설계에 반영되었는지를 확인해야 한다. SKT 사고에서 “관리망 침투 시나리오“에 대한 위협 모델링이 있었다면, BPFdoor와 같은 횡적 이동 공격에 대한 방어책이 설계에 포함되었을 것이다.

4.2 [개발] 자동화된 감사(Audit as Code)의 도입

4.2.1 소스 코드 및 인프라 코드(IaC) 감사

전통적인 외부 감사는 인터뷰와 샘플링 문서 확인에 의존한다. 그러나 클라우드 환경에서 인프라는 코드(Terraform, Ansible 등)로 정의된다.

  • 실패 원인: 쿠팡 사고에서 감사가 실패한 이유는 개발자의 PC나 Git 저장소에 있는 코드를 감사자가 직접 들여다보지 않았기 때문이다.
  • 강화 방안: 외부 감사는 기업이 SAST(정적 분석), DAST(동적 분석), SCA(소프트웨어 구성 분석) 도구를 CI/CD 파이프라인에 통합하여 운영하고 있는지, 그리고 그 결과가 배포 승인(Gate)에 강제적으로 적용되는지를 점검해야 한다.25 더 나아가, 감사인인 직접 자동화된 스크립트를 통해 기업의 저장소를 스캔하여 하드코딩된 시크릿을 탐지하는 ’기술적 감사’를 수행해야 한다.

4.2.2 공급망 보안과 오픈소스 감사

최근의 해킹은 직접 침투보다 오픈소스 라이브러리나 서드파티 모듈을 통한 공급망 공격이 주를 이룬다.27 외부 감사는 기업이 사용하는 오픈소스의 목록(SBOM: Software Bill of Materials)을 관리하고 있는지, 취약점이 발견된 라이브러리를 즉시 패치하는 프로세스가 작동하는지 확인해야 한다. SKT와 쿠팡 모두 복잡한 공급망을 가지고 있으나, 이에 대한 외부 감사의 깊이는 얕았을 가능성이 크다.

4.3 [운영] 시점 기반(Point-in-Time) 감사의 한계 극복

4.3.1 지속적 감사(Continuous Auditing)로의 전환

연 1회 수행되는 정기 감사는 감사 기간에만 보안을 강화하는 ’보여주기식 보안’을 초래한다. 해커는 감사 기간을 피해 공격한다.

  • 강화 방안: 클라우드 네이티브 환경에서는 **CSPM(Cloud Security Posture Management)**과 같은 도구를 통해 보안 설정 위반을 실시간으로 탐지하고, 이 로그를 외부 감사인에게 실시간으로 제공하거나, 감사인이 언제든 접근하여 모니터링할 수 있는 ’상시 감사 체계’를 구축해야 한다.28

4.3.2 레드팀(Red Teaming)과 모의해킹의 고도화

SKT의 BPFdoor를 탐지하려면 일반적인 취약점 점검이 아니라, 실제 적대 세력과 동일한 전술, 기술, 절차(TTPs)를 사용하는 레드팀 훈련이 필요하다. 외부 감사의 일환으로 불시에 수행되는 고강도 침투 테스트가 의무화되어야 한다. 현재의 인증 심사에서 수행하는 모의해킹은 범위와 심도가 제한적이다.

5. 설계 단계 문서화 및 외부 감사 강화 방안 논의

5.1 설계 문서화: 보안의 내재화를 위한 필수 조건

설계 단계의 문서화는 단순히 감사를 위한 증적(Evidence) 남기기가 아니다. 그것은 개발자와 운영자, 보안 담당자가 시스템의 보안 요구사항을 합의하고 공유하는 커뮤니케이션 도구이다.

  • Security Requirements Specification (SRS): 프로젝트 착수 시, 기능 요구사항뿐만 아니라 인증, 인가, 암호화, 감사 로그 등의 보안 요구사항을 명확히 문서화해야 한다. 이는 개발 완료 후 감사의 체크리스트가 된다.
  • Architecture Decision Records (ADR): 왜 특정 보안 기술을 선택했는지, 어떤 트레이드오프(Trade-off)가 있었는지를 기록하여, 향후 담당자가 바뀌더라도 보안 설계의 의도가 유지되도록 해야 한다. 쿠팡의 경우, 인증 키 관리 방식에 대한 ADR이 있었다면, 퇴사자 발생 시의 리스크가 사전에 인지되었을 것이다.

5.2 외부 감사 시스템의 혁신: 3세대 감사로의 진화

현재의 외부 감사를 2세대(프로세스 중심)라고 한다면, 앞으로는 3세대(데이터 및 기술 중심) 감사로 진화해야 한다.

구분1세대 감사 (초기)2세대 감사 (현재)3세대 감사 (미래 지향)
초점통제 유무 확인프로세스 및 정책 준수데이터 무결성 및 기술적 검증
방법체크리스트인터뷰, 문서 리뷰, 샘플링자동화 도구, 전체 데이터 분석, 코드 리뷰
주기비정기정기 (연 1회)상시 (Continuous) / 실시간
대상전산실 물리 보안관리체계 (ISMS 등)DevSecOps 파이프라인, 소스 코드, 클라우드 설정

5.2.1 제3자 기술 감사의 제도화

단순히 “보안 팀이 있는가?“를 묻는 것이 아니라, “보안 팀이 작성한 코드가 안전한가?“를 검증할 수 있는 기술적 역량을 갖춘 외부 감사 기관이 필요하다. 이를 위해 감사인의 자격 요건을 강화하고, 감사 도구의 표준화를 추진해야 한다.

5.2.2 감사 결과의 투명성 및 책임 강화

감사 결과 발견된 중대한 취약점에 대해서는 경영진(CEO/Board)에게 직접 보고하도록 의무화하고, 사고 발생 시 부실 감사를 수행한 외부 감사 기관에도 책임을 묻는 제도가 필요하다.19 이는 감사가 형식적인 통과 의례가 되는 것을 방지한다.

6. 결론 및 제언

SKT와 쿠팡의 해킹 사고는 급변하는 IT 환경 속에서 기존의 보안 거버넌스와 외부 감사 체계가 얼마나 취약해질 수 있는지를 보여주는 경종이다. 사고의 원인은 외부 감사가 ’없어서’가 아니라, 현재의 감사가 클라우드와 애자일 환경의 속도와 복잡성을 따라잡지 못하고, 설계와 개발의 깊은 곳(Deep Dive)까지 들여다보지 못하는 ’형식적 감사’에 머물러 있었기 때문이다.

금융권이 보여주는 상대적인 안정성은 ’망 분리’라는 강력한 물리적 통제와 ‘강제적 상시 감사’ 덕분이다. 그러나 금융권 역시 규제 완화의 흐름 속에 있고, ICT 기업은 혁신을 위해 개방성을 포기할 수 없다. 따라서 해법은 **‘개방형 환경에서의 감사 고도화’**에서 찾아야 한다.

6.1 핵심 제언 요약

  1. Shift Left Audit (감사의 조기 개입): 외부 감사의 범위를 운영 단계에서 설계 및 개발 단계로 확장하라. 위협 모델링 결과와 소스 코드 보안성 검토(Secure Coding)를 감사 필수 항목으로 지정해야 한다.
  2. Document as Code (문서화의 현대화): 설계 문서를 종이가 아닌 시스템(Jira, Wiki, IaC)에 통합하여 관리하고, 이를 통해 보안 요구사항의 추적성(Traceability)을 확보하라. 문서가 없으면 코드도 없다는 원칙(No Doc, No Code)을 보안 중요 기능에 한해 적용해야 한다.
  3. Continuous Audit (상시 감사 체계 구축): 연 1회 감사를 넘어, 자동화된 모니터링 도구를 통해 24시간 365일 보안 컴플라이언스를 점검하는 체계(Compliance as Code)를 도입하라.
  4. Credential Management Audit (자격 증명 관리 집중 감사): 쿠팡 사태의 재발 방지를 위해, API 키, 패스워드, 인증 토큰의 생성부터 폐기까지의 수명주기 관리에 대한 특별 테마 감사를 주기적으로 수행하라.
  5. Technical Deep Dive (기술적 심층 감사): 정책 감사를 넘어, 실제 모의 침투(Red Teaming)와 아키텍처 리뷰를 수행할 수 있는 전문 감사 인력을 투입하여 ’실질적 보안 상태’를 검증하라.

결론적으로, 외부 감사 시스템은 기업의 보안 수준을 증명하는 ’자격증’이 아니라, 기업이 스스로 보지 못하는 사각지대를 찾아주는 ’진단 키트’가 되어야 한다. 이를 위해 소프트웨어 설계 단계부터의 철저한 문서화와 보안 내재화, 그리고 이를 검증할 수 있는 고도화된 외부 감사 체계의 도입이 시급하다.

Disclaimer: 본 보고서는 공개된 언론 보도와 연구 자료를 바탕으로 작성되었으며, 실제 기업의 내부 사정과는 일부 차이가 있을 수 있습니다. 제안된 내용은 일반적인 보안 베스트 프랙티스를 기반으로 합니다.

7. 참고 자료

  1. 2025 SKT 해킹 사건 정리 (Feat. BPFdoor 악성코드) - 감자 텃밭 - 티스토리, https://hg2lee.tistory.com/entry/2025-SKT-%ED%95%B4%ED%82%B9-%EC%82%AC%EA%B1%B4-%EC%A0%95%EB%A6%AC-Feat-BPFdoor-%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C
  2. SK텔레콤 유심 정보 유출 사고 - 나무위키, https://namu.wiki/w/SK%ED%85%94%EB%A0%88%EC%BD%A4%20%EC%9C%A0%EC%8B%AC%20%EC%A0%95%EB%B3%B4%20%EC%9C%A0%EC%B6%9C%20%EC%82%AC%EA%B3%A0
  3. [쿠팡 정보유출] “취약한 인증키 관리가 원인”..국회 2일 현안질의 …, https://www.4th.kr/news/articleView.html?idxno=2101744
  4. SK텔레콤 해킹, 정보보호 조직의 구조적 결함이 초래한 … - 데일리시큐, https://www.dailysecu.com/news/articleView.html?idxno=165875
  5. CMS Threat Modeling Handbook | CMS Information Security and Privacy Program, https://security.cms.gov/learn/cms-threat-modeling-handbook
  6. Threat Modeling Guide for Software Teams - Martin Fowler, https://martinfowler.com/articles/agile-threat-modelling.html
  7. Source Code Analysis Tools - OWASP Foundation, https://owasp.org/www-community/Source_Code_Analysis_Tools
  8. 21 Security Best Practices for GitHub - Check Point Software, https://www.checkpoint.com/cyber-hub/cloud-security/what-is-developer-security/21-security-best-practices-for-github/
  9. 10 Ways Microservices Create New Security Challenges - Kong Inc., https://konghq.com/blog/engineering/10-ways-microservices-create-new-security-challenges
  10. 잇따른 개인정보 유출 사고에…은행권 “‘계륵’ 망분리가 살렸다” - 인베스트조선, https://www.investchosun.com/site/data/html_dir/2025/10/20/2025102080183.html
  11. Five Common Challenges Posed by Air Gaps, and How They Can Be Solved, https://www.trentonsystems.com/en-us/resource-hub/blog/five-common-challenges-posed-by-air-gaps
  12. Mind the air gap: Network separation’s cost, productivity, and security drawbacks - Microsoft, https://www.microsoft.com/en-us/security/blog/2017/05/01/mind-the-air-gap-network-separations-cost-productivity-and-security-drawbacks/
  13. Overcoming Challenges of Air-Gapped Kubernetes - Cloud Native Now, https://cloudnativenow.com/features/overcoming-challenges-of-air-gapped-kubernetes/
  14. 취약점 분석·평가 < 주요업무 < 금융보안원, https://www.fsec.or.kr/bbs/103
  15. 체계적으로 점검하는“정보보호 상시평가제”가 도입됩니다. - 금융위원회, https://www.fsc.go.kr/no010101/74639?srchCtgry=&curPage=1&srchKey=&srchText=&srchBeginDt=&srchEndDt=
  16. 프라이버시리포트-금융권-정보보호상시평가제-가이드라인.pdf - SOMANSA, https://www.somansa.com/wp-content/uploads/2020/12/%ED%94%84%EB%9D%BC%EC%9D%B4%EB%B2%84%EC%8B%9C%EB%A6%AC%ED%8F%AC%ED%8A%B8-%EA%B8%88%EC%9C%B5%EA%B6%8C-%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%83%81%EC%8B%9C%ED%8F%89%EA%B0%80%EC%A0%9C-%EA%B0%80%EC%9D%B4%EB%93%9C%EB%9D%BC%EC%9D%B8.pdf
  17. SW 개발단계부터 보안약점 제거(시큐어코딩) 의무화 - 행정안전부, https://www.mois.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000022606&fileSn=1
  18. 한국인터넷진흥원_ISMS-P 인증기준 안내서_20190118 | 공공데이터포털, https://www.data.go.kr/data/15065027/fileData.do?recommendDataYn=Y
  19. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서, https://elsecu.co.kr/wp-content/uploads/2024/06/0.-ISMS-P-%EC%9D%B8%EC%A6%9D%EA%B8%B0%EC%A4%80-%EC%95%88%EB%82%B4%EC%84%9C2023.11.23.pdf
  20. 금융분야 망분리 개선 로드맵의 주요 내용 및 시사점(2024. 8. 13.), https://yulchonllc.com/fix/2024/fix-DF-2410/PDF/2410_YC_DF_NL_10_Sub02.pdf
  21. 금융분야 망분리 개선 로드맵, https://www.fsc.go.kr/comm/getFile?srvcId=BBSTY1&upperNo=82885&fileTy=ATTACH&fileNo=4
  22. FSC Introduces Roadmap to Make Improvements to Network Separation in Financial Industry - Press Releases - Financial Services Commission, https://www.fsc.go.kr/eng/pr010101/82884
  23. On the Challenges to Documenting Requirements in Agile Software Development: A Practitioners’ Perspective - ResearchGate, https://www.researchgate.net/publication/381055064_On_the_Challenges_to_Documenting_Requirements_in_Agile_Software_Development_A_Practitioners’_Perspective
  24. Practical Security Stories and Security Tasks for Agile Development Environments - SAFECode, https://safecode.org/publication/SAFECode_Agile_Dev_Security0712.pdf
  25. DevSecOps용 생성형 AI 사용 사례 - AWS 권장 가이드, https://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-accelerate-software-dev-lifecycle-gen-ai/generative-ai-capabilities-devsecops.html
  26. What Is Static Application Security Testing (SAST)? - Palo Alto Networks, https://www.paloaltonetworks.com/cyberpedia/what-is-sast-static-application-security-testing
  27. Black Duck: Application Security | Open Source Security | SAST/DAST/SCA Tools, https://www.blackduck.com/
  28. Guide to fulfilling SOC 2 security requirements with GitLab, https://about.gitlab.com/blog/guide-to-fulfilling-soc-2-security-requirements-with-gitlab/