관련 통계자료 다운로드 2024년 중소기업 정보유출 침해사고 원인
지난해 정보유출 사고가 발생한 중소기업 3곳 중 1곳이 인증 관리 취약함으로 인해 사고를 당한 것으로 나타났다. 중소기업의 사이버 보안 사고 예방을 위해 제로 트러스트 모델 도입과 보안 인식 제고를 위한 임직원 교육 등이 필요하다는 제언이 나온다.
한국인터넷진흥원(KISA)은 최근 이 같은 내용을 담은 '2024년 중소기업 침해사고 피해지원 서비스 동향 보고서'를 발표했다.
KISA가 지난해 접수한 중소기업 정보유출 침해사고를 분석한 결과 '취약한 인증 및 세션 관리'(33.3%)가 주요 침투 경로로 꼽혔다. 이어 'SQL 인젝션'(25%), '취약한 접근 통제'(19.4%) 순으로 조사됐다.
특히 신고접수 된 정보유출 침해사고의 4건 중 1건(약 27.5%)은 공격자가 탈취한 정보를 텔레그램 등 공개 채널을 통해 유포한 것으로 집계됐다. 정보유출 사고가 기업 핵심기술 유출은 물론 고객사·협력사 정보 유출에 따른 대외 신인도 하락 등 유무형 손실로 이어질 가능성이 크다.
해커가 랜섬웨어를 실행해 업무를 마비시키거나 피해기업에 직접 해킹 사실을 알려 협상을 벌이는 않으면 피해기업이 정보 유출 사실조차 인지하지 못해, 드러난 피해 규모는 빙산의 일각일 수 있다. 공격자가 정보 탈취만 수행하는 경우 피해기업은 당하고도 모를 수 있는 것이다.
우려되는 부분은 국제 해킹그룹이 상대적으로 보안 관리가 취약한 국내 중소 협력사를 노리고 있다는 점이다. 실제 지난해 글로벌 랜섬웨어그룹 헌터스 인터내셔널, 스페이스 베어스, 언더그라운드 등은 국내 대기업의 주요 협력사 내부 자료를 탈취해 공개했다.
KISA는 중소기업 보안 강화 전략으로 제로 트러스트 보안 모델 도입을 제안했다.
제로 트러스트 보안 모델은 '절대 믿지 말고 항상 검증하라'(Never Trust, Always Verify)는 핵심 철을 바탕으로 모든 사용자와 디바이스를 지속적으로 인증하고 최소 권한만 부여해 내·외부 위협을 방지한다.
또 KISA는 유관기관과 협력을 통해 최신 보안 동향과 취약점 정보를 공유·활용해야 한다고 강조했다. 업계 내 다른 기업과 정보유출 사고 사례와 대응 방법을 공유해 유사 사고를 예방하고 전체적인 보안 수준을 끌어올릴 수 있어서다.
알려진 취약점 문제에 대해 신속히 대응하기 위해 운용체계(OS)와 모든 서드파티 소프트웨어 보안 패치를 즉시 적용해야 한다. 서버 관리에 있어 최소 권한 원칙을 철저히 적용하는 한편 원격 접속 시 가상사설망(VPN)을 통한 암호화된 연결로 안전성도 제고할 수 있다.
아울러 임직원을 대상으로 정기적인 보안 교육을 실시하고 다양한 캠페인을 펼치는 등 보안 인식 제고를 위한 적극적인 활동이 필요하다고 당부했다.
KISA는 “정보유출 사고는 단순히 개인정보 유출에 그치지 않고 기업 핵심 정보와 사업 전략까지 노출될 수 있는 심각한 문제”라면서 “기업과 개인이 협력해 최신 보안 기술과 대응책을 활용하고, 일상적으로 정보보호 문화를 실천하는 노력이 필요하다”고 전했다.
조재학 기자 2jh@etnews.com
