기업과 국가주요기반시설을 겨냥한 사이버 공격은 계속 증가한다. 해커는 오랜 시간에 걸쳐 표 나지 않게 조직적으로 지능형지속위협(APT) 공격을 한다. 반면 국내 정보보호 투자는 여전히 낙제점이다.
한국은 세계 평균보다 두 배나 많이 APT 공격에 노출됐다. 파이어아이는 ‘2015 상반기 지능형 위협 보고서’에서 한국 APT 노출률이 39%를 차지, 세계 평균 20%에 두 배 가까이 육박한다고 밝혔다. 한국은 해커 명령·제어(C&C) 서버와 감염된 네트워크 통신도 가장 많다. 해커는 국내 PC와 네트워크를 활용해 C&C 서버로 통신했다. 발달된 인터넷 인프라, 보안이 취약한 서비스와 서버를 악용했다.
지난해 4분기 한국을 노린 분산서비스거부(DDoS) 공격이 급증했다. 한국은 중국에 이어 세계 2위 DDoS 피해국이다. 카스퍼스키랩코리아는 2015년 4분기 DDoS 인텔리전스 보고서에서 한국이 3분기 3위에서 4분기 2위 피해국으로 올라섰다고 밝혔다. 3분기 세계 DDoS 공격 17%가 한국에서 발생했다. 4분기 23.2%로 증가했다.
미래창조과학부가 내놓은 2015 정보보호실태조사에 따르면 정보보호 정책을 수립한 사업체는 13.7%에 지나지 않는다. 정보보호조직을 운영하는 곳은 7.9%, 정보보호최고책임자를 임명한 곳도 11%다. 지난해 전체 IT예산 중 정보보호 비중이 5% 이상인 기업은 1.4%에 그쳤다. 2014년과 비교 정보보호 예산 편성은 8.1%P 상승했지만 아직 갈 길이 멀다.
정보보호 예산을 편성하지 않은 기업 중 60.1%는 사고 피해가 없어 필요성을 느끼지 못한다고 응답했다. 전문가는 사고 피해가 없는 게 아니라 알지 못하는 것이라고 지적했다. 정보보호를 어떻게 해야 하는지 모르는 사업체도 21.4%였다. 예산편성에서 정보보호가 우선순위가 아니라는 곳도 9.8%나 됐다.
정보보호가 허술한 중소기업은 표적이 된다. 국가주요기반시설이나 대기업 협력사인 중소기업 보안 취약은 사회 전체 약화로 이어진다. 공격자는 약한 고리를 공격한다. 이를 이용해 주요시설로 침투한다. 2014년 발생한 한국수력원자력 원전도면 유출사고 역시 보안이 취약한 협력사가 거점으로 활용됐다.
[표] IT예산대비 정보보호 예산(자료:미래부)
김인순 보안 전문기자 insoon@etnews.com