사이버 침해 사고가 늘어나는 가운데 피해가 주로 중소기업에 집중된 것으로 나타났다.
1일 한국인터넷진흥원(KISA)에 따르면 사이버 침해 사고 신고 건수는 2020년 630건, 2021년 640건, 2022년 1142건, 2023년 1227건으로 상승 곡선을 그리고 있다. 2년 만에 2배 가까이 불어난 셈이다.
이중 디도스(DDoS·분산서비스거부) 공격은 2020년 213건, 2021년 123건, 2022년 122건으로 감소 흐름을 보이다 지난해 다시 213건으로 늘었다. 통신사와 웹호스팅 사를 대상으로 한 디도스 공격이 과반인 51.5%로, 전년(9.8%)보다 급증했다.
랜섬웨어(악성 소프트웨어로 데이터나 PC 등을 암호화한 뒤 이를 풀려면 보상을 요구하는 형태의 공격) 피해 신고는 지난해 258건으로 전년보다 30% 가까이 줄었지만, 중소기업이 피해 기업의 78%를 차지했다. 중소기업은 랜섬웨어를 포함한 전체 사이버 침해사고 건수의 81%를 차지한 것으로도 조사됐다.
임진수 KISA 침해예방단장은 공격 대상은 "(해커들이) 뚫기 쉬운 중소기업부터 공격하고 거기에서 금전적 이득을 챙기고 있다"고 말했다.
해커들이 중소기업을 주로 겨냥하는 것은 기업 규모가 작을수록 정보보호에 덜 투자할 가능성이 크기 때문이다. 한국정보보호산업협회(KISIA)의 2023년 정보보호 실태조사 결과에 따르면 250인 이상 기업의 70.6%가 정보보호 조직을 보유한 반면, 50∼249인 기업의 정보보호 조직 보유율은 49.6%로 떨어졌고 50인 미만 기업은 27.4%에 불과했다. 정보보호 관련 예산이 전혀 없거나 사용하지 않았다는 기업도 42.2%나 됐다.
이에 따라 KISA는 소프트웨어 보안 개발, 기업 보안 점검, 기업 모의훈련, 보안 서비스 지원 등의 '사이버 침해사고 예방 체인'을 강화하겠다고 밝혔다.
실제 해킹 기법을 이용한 보안 점검 기법인 '모의 침투' 지원 대상을 중요 기술을 보유한 기업과 교통·통신·플랫폼 등 국민 생활과 밀접한 플랫폼 기업으로 확장하고, 사이버 위기 대응 모의훈련을 기존 3종에서 4종으로 늘리기로 했다.
또 디도스 공격 트래픽을 우회시켜 정상 트래픽만 걸러내 전달하는 '사이버 대피소' 서비스를 디도스뿐 아니라 웹 해킹 전반을 방어하는 종합보안 서비스로 강화하겠다고 KISA는 전했다.
임 단장은 "여력이 안 되는 중소기업이나 영세기업을 직접 도와주고 있다"면서 "황사가 심해지면 마스크를 착용하는 것처럼 '사이버 황사'인 해킹이 다가오면 IT 시스템도 예방 조치를 해야 한다"고 말했다.
헬로티 이창현 기자 |