NHS 소프트웨어 제공업체, 랜섬웨어 공격으로 3백만 파운드 벌금…한국 기업들도 배워야 할 보안 교훈

최근 영국에서 벌어진 대규모 사이버 보안 사고가 기업들에게 중요한 경고를 던지고 있습니다. NHS(영국 국민건강보험 서비스)에 IT 솔루션을 제공하던 Advanced Computer Software Group이 랜섬웨어 공격으로 인해 79,404명의 개인 정보를 유출했고, 이에 따라 영국 정보위원회(ICO)로부터 3백만 파운드(약 50억 원)의 벌금을 부과받았다는 소식입니다.

많은 기업이 데이터 보안의 중요성을 알고 있지만, 실제 보안 수준이 충분하지 못한 경우가 많습니다. 이번 사건을 통해 한국 기업들이 얻을 수 있는 보안 교훈을 살펴보겠습니다.

1. 다중 인증(MFA)이 필수다

이번 랜섬웨어 공격의 핵심 원인은 단순했습니다. 고객 계정 중 하나에 다중 인증(Multi-Factor Authentication, MFA)이 적용되지 않아 해커가 로그인할 수 있었던 것!

"Advanced의 보안 시스템이 일정 부분 MFA를 적용하고 있었지만, 전체적으로는 부족했다" – 영국 정보위원회(ICO)

기업 시스템에 MFA를 적용해야 하는 이유는 다음과 같습니다.

✅ 비밀번호 탈취 사고 방지 – 단순한 계정/비밀번호 조합만으로 접근할 수 없도록 함
✅ 부정 로그인 차단 – 추가 인증 절차를 요구해 해커의 무단 접근 차단
✅ 접근 로그 관리 강화 – 누가, 언제, 어디서 로그인했는지도 확인 가능

💡 국내 사례: 2022년, 국내 한 전자상거래 기업이 내부 직원 계정을 통해 고객 데이터가 유출된 사건이 있었습니다. 하지만 이 계정에 MFA가 적용되어 있었다면, 해커가 비밀번호만으로 침입하는 것이 불가능했을 겁니다.

👉 해결 방법:

모든 중요 시스템에 대한 MFA 적용은 기본!
카카오톡 OTP, Google Authenticator, SMS 인증 등 다양한 방식을 활용하세요.

2. 보안 취약점, '완전한 적용'이 필요하다

Advanced는 일부 시스템에 보안 조치를 적용했지만, 전 시스템을 커버하지 못한 것이 큰 문제가 됐습니다.

"보안 기준이 기업 내 모든 영역에 동일하게 적용되지 않으면 ‘구멍’이 생길 수밖에 없다." – 영국 정보위원회(ICO)

많은 기업이 일부 시스템에 보안 조치를 적용하지만, 전체적으로 누락되는 경우가 많습니다.

🔎 예를 들어, 네트워크 방화벽을 적용했지만 내부 직원들의 VPN 사용이 관리되지 않는다면?
🔎 데이터베이스 암호화는 진행했지만 백업 파일이 평문(Plain Text)으로 저장된다면?

💡 국내 사례: 2021년, 국내 한 게임 회사에서 사용자 계정 정보 유출 사고가 발생했는데, 원인은 게임 서버는 보안이 강력했지만 관련 로그인 API 서버가 보안 적용이 안 되어 있던 문제 때문이었습니다.

👉 해결 방법:

✅ 보안 점검은 ‘일부'가 아닌 ‘전체'를 대상으로 실행
✅ ‘부분적 적용'이 아닌 ‘범용적인 보안 원칙' 수립
✅ 모든 시스템이 동일한 보안 정책을 따를 수 있도록 관리

3. 랜섬웨어 공격 후, 대응이 얼마나 빠르냐가 승패를 가른다

이번 사고에서 Advanced는 해킹 피해를 받은 후 영국 경찰, 보안 기관, NHS와 적극적으로 협력했으며, 결국 벌금이 원래 예정된 600만 파운드에서 300만 파운드로 줄어들었습니다.

🎯 사이버 공격을 100% 방어하기는 현실적으로 어렵습니다. **그러나 피해를 최소화하는 핵심은 ‘빠른 대응'**에 있는데요.

"보안 사고가 발생한 후 ‘침묵'하거나 ‘모른 척'하면 더 강한 제재를 받을 수 있다!"

💡 국내 사례: 2022년 국내 엔터프라이즈 기업 A사는 고객 데이터 유출 사건이 발생했지만, 초기에 이를 부인하며 문제를 축소하려다 대중의 신뢰를 잃었고, 결국 수십억 원 규모의 추가 소송을 당하는 결과를 맞았습니다.

반면, 같은 해 금융권 B사는 내부 서버가 악성코드에 감염되었을 때 즉시 한국인터넷진흥원(KISA)에 신고하고 금융감독원과 협력해 해결책을 강구, 신뢰를 유지할 수 있었습니다.

👉 해결 방법:

✅ 사이버 사고 대응 매뉴얼을 미리 준비할 것
✅ 신속하게 법적·행정적 기관과 협력해 피해 최소화
✅ 고객 및 대중과 솔직하게 소통해 신뢰를 지킬 것

결론: 한국 기업들이 즉시 실행해야 할 보안 체크리스트

🔍 이 사건을 통해 한국 기업들이 반드시 점검해야 할 보안 사항은?

✅ 모든 계정에 다중 인증(MFA) 적용 필수
✅ 전체 시스템을 대상으로 보안 점검 실행(부분적 적용은 NO!)
✅ 랜섬웨어 및 해킹 사고 대응 매뉴얼 사전 구축
✅ 사이버 보안 사고 발생 시 즉시 기관과 협력해 피해 최소화

🇰🇷 우리나라에서도 데이터 보호 규제가 강화되는 추세이므로, 기업들은 보안 투자를 ‘비용'이 아닌 ‘생존'의 문제로 인식해야 합니다. 오늘 당장 여러분의 회사도 보안 점검을 실행해 보세요! 🚀

📌 여러분의 기업 보안, 안심할 수 있나요?
💬 아래 댓글로 여러분의 보안 고민을 나눠보세요!