2025년 해킹 사건 대응 과정은 일정한 패턴을 보였다. 해킹 발생이 접수되고, 조사가 시작되며, 수개월의 시간이 흐른 뒤 결과가 발표된다. 그러나 정작 발표의 핵심은 반복됐다. 로그가 없어 제대로 조사하지 못했다는 게 반복된 결론이다. 사건은 있었지만, 무엇이 어떻게 일어났는지는 끝내 명확히 설명되지 못했다.
이 문제는 단순한 대응 실패가 아니다. 우리는 해킹을 당한 이후에도 그 실체를 정확히 파악하지 못하는 구조에 놓여 있다. 누가 침입했는지, 어떤 경로를 거쳤는지, 실제로 무엇이 유출됐는지조차 불분명한 경우가 적지 않다. 사건보다 더 심각한 것은 사고를 설명할 수 없다는 점이다.
이 지점에서 보안을 다시 생각해야 한다. 더 많은 장비를 들이고 새로운 이름의 솔루션을 추가하는 문제 이전에 먼저 물어야 할 질문이 있다. 우리는 과연 볼 수 있도록 기록하고 있는가.
정보보안의 출발점은 로그다. 해킹 여부, 데이터 유출, 공격 경로, 대응까지 모든 판단은 로그로 결정된다. 로그가 없으면 분석은 추정이 된다.
문제는 필요한 로그가 자동으로 남지 않는다는 현실이다. 운영체제와 서버, 애플리케이션은 관리자가 직접 무엇을 기록할지 설정해야 한다. 어떤 이벤트를 감사할지, 어느 수준까지 남길지 정하지 않으면 중요한 흔적은 사라진다.
로그는 자동으로 남는 것이 아니라, 설정해야만 남는다.
하지만 우리는 그동안 “무엇을 기록해야 하는가”를 충분히 논의하지 않았다. 방화벽, 웹방화벽, EDR, 백신, 인증, 망분리 같은 대책은 많이 이야기했지만, 정작 사고 분석의 출발점인 로그 기준은 모호했다. 국가 지침과 각종 인증 기준에도 로그 관리라는 표현은 있지만, 현장에서 필요한 것은 구체적인 기준이다.
예를 들어 운영체제에서는 계정 사용, 권한 변경, 프로세스 실행, 원격 접속 같은 핵심 행위를 어떤 수준으로 남겨야 하는지 표준이 필요하다. 웹 서비스도 마찬가지다. 이제 공격은 단순 URL이 아니라 요청 본문, 응답 데이터 속에 숨어든다. 그렇다면 그에 맞는 로그 기준도 함께 제시돼야 한다.
각 기관과 기업이 각기 다른 기준으로 로그를 운영해 온 결과, 해킹 발생 이후 자체 조사와 정부 조사 모두에서 정작 분석에 필요한 로그가 충분히 확보되지 않는 상황이 반복됐다. 결국 사고는 발생했지만, 이를 설명할 근거가 부족한 상태가 이어진 것이다. 우리는 많은 실수와 실패를 통해 교훈을 쌓아 왔지만, 유독 사이버보안에서는 이러한 축적이 제대로 이어지지 않고 있다. 기록이 없기 때문이다.
지금 정부가 가장 먼저 해야 할 일은 인증 강화가 아니라 표준 로그 가이드라인을 만드는 일이다. 운영체제는 사이버 공격자의 전술과 기법을 체계적으로 정리한 글로벌 지식 기반 MITRE ATT&CK 같은 실제 공격 행위 기준에 맞춰 감사 정책을 설정하도록 해야 한다. 아울러 웹 서비스는 요청 본문과 응답 분석까지 포함한 로그 기준을 마련해야 한다. 데이터 유출 탐지를 위해서는 파일 접근, 다운로드, 대량 전송 같은 행위도 빠짐없이 기록할 수 있어야 한다.
보안의 수준은 장비 숫자로 결정되지 않는다. 무엇을 기록하고, 어떻게 분석하며, 무엇을 증명할 수 있는가로 결정된다. 2025년의 해킹 사건이 남긴 교훈도 여기에 있다. 우리는 배울 수 있는 기록조차 남기지 못했다.
지금 정보보안 정책이 현장에서 힘을 잃는 이유도 여기에 있다. “로그를 관리해야 한다”는 선언만으로는 부족하다. 무엇을 기록해야 하는지에 대한 기준이 없으면, 그 지침은 현장에서 작동하지 않는다.
이제는 원리로 돌아가야 한다. 보안의 제1원칙은 기록이다. 로그가 있어야 공격을 이해할 수 있고, 로그가 있어야 유출을 증명할 수 있으며, 로그가 있어야 대응도 가능하다. 보안을 다시 세운다는 것은 제품 하나를 더 도입하는 일이 아니다. 무엇을 남길 것인가를 먼저 정하는 일이다.
이제 정부는 표준 로그 가이드라인 마련으로 정책 전환에 나서야 한다. 해킹 피해가 더 이상 원리에 기반한 대응 없이 반복되어서는 안 된다.