[뉴스웍스=박광하 기자] 국가적인 사이버 위협이 심각한 수준이다. 기상청을 향한 해외 해킹 시도부터 급증하는 보이스피싱, 정보보호 인증제도의 사각지대까지 다양한 보안 허점이 국정감사에서 쟁점으로 떠오를 전망이다.

이용우 더불어민주당 의원이 최근 기상청으로부터 받은 자료에 따르면 2021년부터 2025년 8월까지 기상청에 대한 해킹 시도 건수는 18만502건에 달했다. 연도별로는 2021년 4414건, 2022년 4145건, 2023년 3765건, 2024년 3751건, 2025년 8월까지 2427건으로 집계됐다.

주목되는 점은 해킹 시도의 출발지다. 지난 5년간 중국 IP를 통한 공격이 28.8%(5344건)로 가장 많았고, 미국 13.3%(2472건), 인도 9.8%(1804건) 순으로 나타났다. 독일, 네덜란드, 러시아 등도 해킹 시도 국가에 포함됐다. 정보보호 업계에서 "중국 IP만 막아도 해킹 시도 절반을 줄일 수 있다"는 식의 '농담 아닌 농담'이 나오는 이유다.

공격 유형별로는 웹해킹이 1만1664건(63%)으로 압도적 1위를 차지했다. 비인가접근이 22.6%(4196건), 스캔시도가 14.1%(2626건) 순으로 집계됐다. 이용우 의원은 "기상청은 한국에서 유일하게 기상정보 데이터를 축적하고 있는 기관으로 해킹이나 정보 유출 위험이 높은 곳"이라며 "망분리 정책이 더 이상 안전을 보장할 수 없는 상황"이라고 지적했다.

보이스피싱 급증 문제도 도마에 올랐다. 송석준 국민의힘 의원이 법무부와 대검으로부터 받은 자료에 따르면 검찰 사칭 보이스피싱 상담 처리 건수가 2024년 2만7496건에서 올해 8월 말 기준 5만920건으로 2배 가까이 늘었다. 월평균 상담 건수는 지난해 2291건에서 올해 6365건으로 3배 가까이 급증했다.

보이스피싱 수법도 갈수록 지능화되고 있다. 검사 프로필 사진 제시 후 상품권 구매 유도, 전 법원행정처장 명의 압수수색 및 구속영장 허가서 제시, 대검찰청 사칭 웹사이트 접속 유도 등 범죄 수법이 치밀하고 체계적으로 변하고 있다.

송석준 의원은 "찐센터 소속 수사관 2명이 매일 200건 이상의 상담을 처리하고 있지만 전담 수사관은 1명으로 검찰 사칭 보이스피싱 진위 여부만 확인하는 데 급급한 상황"이라며 "수사기관과 체계적 연계와 공조체제 구축이 필요하다"고 강조했다.

정보보호 관리 체계(ISMS) 인증제도의 사각지대 문제도 제기됐다. 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)으로부터 받은 자료에 따르면 초소형 이동통신기지국(팸토셀)과 무선 기지국 등 핵심 설비들이 ISMS-P 인증 범위에서 제외돼 있는 것으로 확인됐다.

KISA는 "인력·예산 한계로 코어망 중심으로만 진행하고 있으며, 무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다"고 설명했다. 하지만 중앙전파관리소와 한국방송통신전파진흥원의 무선기지국 검사는 장비 성능과 전파 혼·간섭 여부만 확인할 뿐 보안성 검증은 실시하지 않는다.

이해민 의원은 "해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받은 곳이었다"며 "형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다"고 촉구했다.