인공지능(AI)과 자율주행, 빅데이터 등 디지털 데이터를 활용한 기술과 산업이 급성장하고 있다. 덩달아 이들 데이터를 노리는 사이버 공격도 폭발적으로 늘었다. 특히 기업 IT시스템과 데이터를 해킹해 돈을 요구하는 랜섬웨어가 급증했다. 랜섬웨어에 당하면 비즈니스가 중단될 뿐 아니라 기업이 보유한 중요 정보가 유출돼 심각한 피해를 받게 된다. 최근엔 기업 이메일을 해킹해 무역대금을 편취하는 무역사기 피해도 급증했다. 금융감독원이 최근 이메일 해킹 무역사기 관련 금전 피해사례를 조사한 결과 지난 5년간 피해사례가 2582건이나 발생한 것으로 나타났다. 사이버 공격으로 인한 피해사례가 끊이지 않고 있는 이유는 정보보호에 대한 인식 부족, 취약한 정보시스템, 전문인력 부족 등 다양한 원인이 있다. 특히 비수도권 지역의 경우 보안관련 정보와 전문기업이 부족한 정보보안 사각지대에 놓여 해킹 피해사례가 꾸준히 늘고 있다. 경북정보보호지원센터가 경북지역 중소기업의 소중한 정보를 보호하는 지킴이 역할을 톡톡히 하고 있다. 컨설팅부터 웹 취약점 점검, 정보보호조치, 전문교육, 기술 세미나에 이르는 전 과정을 무료로 지원해 향후 발생할 수 있는 사이버 공격으로부터 기업을 철통방어할 수 있는 해법을 제시하고 있다.
경북지역 중소기업은 34만여개, 소상공인은 32만여개에 달한다. 대부분 영세 중소기업으로 예산과 인력 부족, 조직 부재 등으로 정보보호에 대한 인식이 낮고, 각종 사이버 침해에 그대로 노출돼 있다.
경북정보보호지원센터(이하 센터)는 사업수행 파트너 보안전문기업 와이닷에스아이와 함께 2500여개 정보보호 서비스 대상 기업 현황을 파악하고 수요를 발굴했다. 이 가운데 492개 정보통신기술(ICT)과 소프트웨어(SW) 관련 중소기업 리스트를 확보, 정보보호지원사업 참여를 독려했다.
중소기업 정보보호 서비스는 신청서 접수와 현장방문 컨설팅, 후속조치의 3단계로 진행된다. 현장방문 컨설팅은 기업 업무현황과 요구사항을 분석하고, 실제 정보보호 수준을 진단하는 절차다. 컨설팅 점검 항목은 정보보호 정책과 조직, 교육 및 인식, 자신관리 등 8개 분류, 22개 항목이다. 올해는 총 158건(중소기업 105건, 소상공인 38건, 비영리단체 15건)의 현장 컨설팅을 진행했다. 업종별로는 기업 중요 정보와 민감정보를 주로 다루는 제조와 서비스 업종이 각각 56%(88건), 20%(31건)으로 가장 많았다.
센터는 현장컨설팅 점검 항목 가운데 정보보호 관련 서비스, 취약점 점검, 정책 및 규정 미흡 등 가장 취약한 5개 항목을 분석한 결과 경북지역 중소기업의 정보보호 수준이 심각하게 낮다는 것을 확인했다. '정보보호를 위해 관련 서비스를 이용하고 있는가'의 질문에 97%(153건)가 '아니다'라고 답했으며, 홈페이지나 시스템, 네트워크에 대해 매년 1회 이상 보안점검을 실시하는지의 질문에는 94%(148건)가 '그렇지 않다'라고 응답했다. 컨설팅에 응한 기업 가운데 23%(36건)는 실제로 해킹이나 개인정보 유출 등 침해사고를 당한 경험이 있는 것으로 나타났다.
경북지역 A제조사는 랜섬웨어로 피해를 본적이 있어 이를 방지하는 솔루션을 사용하고 있지만 데이터 손실을 미연에 방지할 수 있는 저장소(NAS:Network-Attached Storage)는 사용하지 않고 있는 것으로 나타났다. 빅데이터기반 헬스케어 프로그램 개발사 B사의 경우 고객 개인정보를 취급하고 있지만 사내에 정보보호 및 개인정보 정책 지침을 서류상으로만 보유하고 있어 데이터 백업에 대한 컨설팅과 보호조치가 필요했다. 지역 기업을 대상으로 현장 진단 결과 제조와 서비스업종은 물론 심지어 IT기업 상당수가 정보보호 역량 강화가 필요한 것으로 나타났다.
센터는 이에 따라 올 한해 경북지역 중소기업과 소상공인, 비영리단체의 소중한 정보보호를 위해 다양한 활동을 전개했다. 수도권에 비해 기업들이 경북 전 지역에 흩어져 있는 탓에 일일이 기업을 방문, 현장 컨설팅을 실시해야 하는 어려움에도 목표를 초과 달성하는 성과를 거뒀다. 특히 코로나19로 지원대상 기업인들과 접촉이 힘든 상황에서도 대면과 비대면 등 다양한 방법을 동원해 지원받은 기업들의 만족도도 상당히 높다.
올해 정보보호서비스 핵심사업인 웹 취약점 점검, 현장방문 컨설팅, 민감정보 보호조치뿐만 아니라 전문교육과 각종 세미나 개최 등에서 목표치를 초과했다. 웹 취약점 점검은 235건 실시했고, 체크리스트 기반 정보보호 점검 및 기술지원인 현장방문 컨설팅은 158건 수행했다. 개인정보 관리 및 조치방안 안내, 점검도구 배포 등 민감정보 보호조치 실적은 141건에 달한다. 그외 정보보호 실무인재양성 및 역량강화 위한 교육은 249명을 대상으로 실시했고, 인식제고를 위한 기술세미나는 12회 개최했다.
웹 취약점 점검은 웹서버에 보안 취약점이 있는지를 원격으로 점검한다. 모의해킹을 통해 실제로 해킹이 가능한지 유무도 확인한다. 보통 한 기업당 짧게는 하루, 길게는 이틀 정도 걸리는 작업이다. 현장컨설팅을 받은 기업에는 기술 솔루션을 제공했다. 랜섬웨어 피해 예방을 위해 25만원 상당 NAS나 랜섬웨어 예방SW, 백신(1년 라이선스)을 제공했다. 컨설팅 이후에는 정보보호 가이드와 함께 맞춤형 보안강화 방안이 추가된 컨설팅 결과보고서도 제공했다. 보고서만으로도 해당 기업의 정보보안 현황을 한눈에 볼 수 있도록 했다.
정보보호 우수기업 3곳(웨보노믹스, 원소프트다임, 경북경영자총협회)도 선정했다. 정보보호 현장진단 및 기술대안 지원 효과가 큰 기업들이다. 우수사례 발굴은 향후 경북지역에 정보보호의 중요성을 널리 알려 활성화시키겠다는 취지다. 이와 관련해 센터는 6일 포항테크노파크 경북SW진흥본부에서 성과보고회를 개최한다.
센터는 내년엔 보다 업그레이드된 방향으로 사업을 추진한다. 올해 중소기업이 가장 많은 피해를 본 랜섬웨어에 대응할 수 있는 현장컨설팅 기업을 대상으로 기술솔루션을 주로 제공했다면 내년엔 '선택과 집중'으로 기업 정보보안 역량을 높이는 질적 수준 향상에 집중할 계획이다.
내년 사업방향은 ▲정보보호 스타 중소기업 육성, ▲안전한 웹개발 프로세스 내재화, ▲취약지역 집중 정보보호 지원 등 3개 사업에 비중을 둔다. 정보보호는 지속적인 관리를 통해 기업 정보보호 역량을 강화하는 것이 중요하다는 판단에서다. 주요 타깃 기업은 스마트팜이나 스마트팩토리, SW 등 경북지역 특화산업 분야가 우선이지만 경북지역 중소기업은 누구나 대상이다.
우선 정보보호 스타 중소기업 육성의 경우 정보보호 의지가 강한 기업을 선정해 수년간 집중 지원, 정보보호체계구축 모범기업으로 육성하기로 했다. 정보보호 및 개인정보 관리체계인증(ISMS-P)을 받을 수 있도록 기술 및 관리분야 지원에 나선다. 보안 관련 전문가를 활용해 매년 한차례 평가를 거쳐 지속지원 여부를 결정하는 방식을 도입한다.
안전한 웹개발 프로세스 내재화는 지역 웹개발 업체를 대상으로 시큐어 코딩, 보안모듈 등 웹개발 단계에서 보안관련 기술을 적용할 수 있도록 지원한다는 것이 핵심이다. 개발자 전문교육을 통해 웹 개발단계부터 보안를 강화해 웹 취약점을 사전에 차단하자는 취지다.
취약지역 집중 정보보호 지원은 울릉군이나 문경, 영덕 등 경북지역 취약지역을 대상으로 정보보호 교육 및 기술솔루션 제공 활동을 강화하는 내용이다. 해당 지자체와 협력해 정보보호 교육수요를 발굴하고, 민관 통합 교육을 기반으로 교육 실효성을 높인다는 계획이다.
내년엔 정보보안에 대한 관심이 높은 기업을 우선적으로 선별, 정밀 현장 컨설팅 및 기술솔루션을 제공하고, 경북지역 특화분야·취약지역의 보안 수준을 끌어 올리는것이 핵심이다. 정보보호 의지가 강한 기업을 선정 평가해 시범적으로 시행하고, 연말 평가를 통해 지속여부를 결정하는 방식으로 진행할 계획이다.
경북정보보호지원센터는?
경북정보보호지원센터는 과학기술정보통신부와 한국인터넷진흥원(KISA), 경상북도, 포항테크노파크가 함께 추진해 지난해 7월 개소했다. 경북도, 포항테크노파크, KISA가 협약을 맺고 포항테크노파크 4벤처동에 자리잡고 활동을 시작했다. 정보보호 활동에 어려움을 겪고 있는 경북지역 중소기업을 대상으로 맞춤형 정보보호 기술지원, 정보보호 교육, 세미나 개최 등 중소기업 정보보호 수준 향상과 정보보호 산업 기반 조성이 목적이다.
포항=정재훈기자 jhoon@etnews.com