2025년 보안 사고의 핵심은 ‘사람’이었다
2025년 보안 위협의 중심에는 ‘사람’이 있었다. 내부자, 퇴직자, 협력사까지 범위가 넓어지면서 기업들은 접근 권한 관리를 전면 재점검하기 시작했다. 이에 따라 2026년 보안 키워드는 ‘다중인증과 접근관리’로 집약되고 있다.
글로벌 보안기업 카스퍼스키의 ‘2025 리테일 및 이커머스 보안 리포트’에 따르면, 온라인 유통기업을 대상으로 한 랜섬웨어 공격이 2년 새 152% 증가한 것으로 나타났다. 특히 온라인 유통기업을 겨냥한 공격이 급증하면서 산업계 전반에 경보가 울리고 있다.
국가 차원의 사이버 공격도 대규모로 발생
2025년 12월 이란 해킹 조직 한다라(Handala)가 이스라엘 주요 정치인 2명의 모바일 기기를 장악하고 1900개의 텔레그램 대화내용을 유출하는 ‘문어 작전’을 감행했다. 국가 간 사이버 전쟁이 본격화되고 있는 가운데, 베네수엘라 공습 이전 미국의 사이버 작전 의혹도 제기되고 있다.
트럼프 대통령이 카라카스의 전력망 등에 사이버 공격 등 기술적 수단을 통해 개입했을 가능성이 거론되면서, 공개 표적 공격으로 주목받고 있다.
정부 부문 보안 사고도 이어져
미국 대형 보험 및 리스크 관리 기업 세드윅(Sedgwick)의 정부 전용 서비스 부문 자회사가 사이버 보안 사고를 겪으면서 CISA 등 정부 보안 부처의 데이터 유출 우려가 제기되고 있다.
주목할 만한 점은 미국 재무부 해외자산통제국(OFAC)이 상업용 스파이웨어 프레데터의 지주회사인 인텔렉사 컨소시엄과 연결된 개인 3명을 특별제재대상(SDN) 목록에서 제외한 것이다.
국내 공공기관 사이버보안 수준은?
국가정보원이 국가·공공기관의 사이버보안 수준을 점검한 결과, ‘우수’ 등급 공공기관은 한국지역난방공사 등 32개로 2024년 대비 3개 증가했다.
한국토지주택공사와 한국석유관리원은 사이버보안 전담조직 확대와 용역사업장 보안관리 개선 노력으로 ‘보통’에서 ‘우수’ 등급으로 상향됐다. 반면 6개 기관은 ‘미흡’ 등급을 받았다.
중앙부처 보안 등급은 ‘충격’
국정원이 발표한 중앙부처 보안 등급 평가 결과, ‘우수’ 등급을 받은 곳이 한 곳도 없는 것으로 나타났다. 사이버 보안과 개인정보를 다루는 과학기술정보통신부와 개인정보보호위원회도 ‘보통’ 등급에 그쳤다.
이에 따라 국민연금공단은 삼성전자 출신 정보보안 전문가 서영규를 신임 정보보안부장으로 영입하며 사이버 보안 역량 강화에 나섰다.
AI 기반 서비스 확대와 보안 강화 동시 추진
금융보안원은 2026년을 금융 인공지능(AI) 대중화의 원년으로 삼고, AI의 신뢰성과 안전성을 확보하기 위한 금융보안 전략을 추진하며 AI 전담 조직을 2배 확대할 예정이다.
네이버클라우드와 부산시는 생성형 AI를 활용한 행정 서비스를 올해부터 단계적으로 도입하며, 부산시 전 부서에 AI 행정 체계를 구축한다.
방송미디어와 국방 분야도 기술개발 본격화
방송미디어통신위원회는 2026년 한 해 동안 총 137억원 규모의 방송미디어 연구개발사업 시행계획을 확정하고 신규 과제 공모에 착수했다.
방위사업청은 AI 등 소프트웨어 중심 첨단 무기체계 개발 속도와 효율성을 높이기 위해 애자일 개발 지침을 제정하고 AI 파일럿을 추진한다.
조달청, 조달환경 변화 대응 제도 개선
조달청은 1월 1일부터 인공지능(AI) 활성화 등에 대응하기 위해 디지털 서비스 카탈로그 계약과 상용소프트웨어 관련 계약 규정을 개정했다.
또한 단가계약물품 의무구매 자율화 시범운영을 경기도 및 전북특별자치도를 대상으로 시작하며, ‘녹색제품의 공공구매 촉진을 위한 구매요령’과 ‘공공조달 최소녹색기준 제품’을 개정해 1월 2일부터 시행한다.
안전관리 강화 본격화
행정안전부는 2026년 상반기 재난안전제품 인증 신청을 2월 2일까지 접수하며 우수 재난안전제품 발굴에 나섰다. 고용노동부는 유해·위험기계에 대한 임의안전인증 기준을 강화해 일정 유예기간 경과 후에는 기존 인증기준 제품에 S마크 사용을 금지한다.
조달청도 공공주택 건설현장의 중대재해 예방을 위해 입찰 단계부터 중대재해 발생업체 감점을 강화하고 안전관리 우수기업에는 가점을 부여하는 집행기준을 1월 5일부터 시행한다.
스마트시티와 규제 혁신도 활발
국토교통부는 제31차 국가스마트도시위원회에서 생활형숙박시설 1객실 운영을 위한 온라인 플랫폼(미스터멘션) 등 스마트도시 서비스 2건에 대해 규제 특례를 승인했다.
고양특례시는 CCTV 9671대와 관제 3576대를 활용해 예측 중심의 스마트시티 구축에 박차를 가하고 있다.
보안 인증 및 교육 프로그램 확대
한국공항보안이 2025년 12월 말 공식 홈페이지에 대한 웹접근성(정보통신접근성) 인증을 획득하며, 한국공항공사 자회사 3사 중 최초로 이를 달성했다.
엑스게이트는 아마존 웹서비스(AWS)의 ‘AWS 파트너 소프트웨어 패스’를 획득했으며, 이로써 엑스게이트 차세대방화벽(NGFW)과 통합보안솔루션(UTM)은 AWS와 손쉬운 연동이 가능해졌다.
한국정보통신자격협회는 2026년도 국가공인 및 등록민간 자격검정 시행 일정을 확정하고 공개했으며, 크라우드아카데미가 한국기술교육대학교가 발주한 ‘제조업 특화 AI 교육과정 개발’ 사업을 수주하고 과정 개발에 착수했다.
2026년, 보안 패러다임의 전환점
정부의 ‘국민 안전 중심 국정 운영’ 선언에 따라 숙박 및 소상공 분야의 안전관리 강화와 디지털 관제 인프라 확충이 가속화되고 있으며, 스마트 안전 기술이 재난 대응 표준 솔루션으로 급부상하고 있다.
2026년은 다중인증과 접근관리를 중심으로 한 보안 체계 재편의 해가 될 전망이다. 내부자 위협에 대한 경각심이 높아지면서 기업과 공공기관 모두 제로 트러스트(Zero Trust) 보안 모델 도입을 본격화할 것으로 보인다.
#사이버보안 #다중인증 #접근관리 #내부자위협 #랜섬웨어 #AI보안 #국가정보원 #정보보안 #제로트러스트 #스마트시티