한국인터넷진흥원(KISA)은 올해 사이버 침해사고 예방 체계를 강화하기 위해 교통, 통신, 디지털플랫폼 등 국민 생활과 밀접한 주요 사업자를 대상으로 실제 해킹 공격 기법을 이용한 '실전형 모의침투' 보안 점검을 확대한다고 밝혔다. '사이버 위기대응 모의훈련'과 더불어 영세·중소기업들이 디도스(DDos) 공격을 방어할 수 있도록 보안서비스 지원을 강화한다.
1일 KISA는 "사이버 위협을 줄이기 위해서는 개발, 점검, 관리, 지원 네 단계에 걸쳐 예방 체계를 구축해야 한다"며 이같이 밝혔다.
KISA에 따르면 사이버 침해사고 신고건수는 2020년 630건에서 지난해 1227건으로 4년간 2배 가량 증가했다. 랜섬웨어 신고 건수는 지난해 258건으로 전년 대비 30% 감소했으나, 중소기업의 피해는 여전히 심각한 것으로 파악됐다. 랜섬웨어 피해 기업 중 78%가 중소기업인 것으로 집계됐다. 디도스 공격 신고는 작년 213건으로 통신사, 웹호스팅사 대상 공격 등으로 인해 2년 만에 다시 증가 추세로 들어섰다.
임진수 침해예방단장은 "공격자들이 공격하기 쉬운 중소기업을 노리며 금전적 이득을 취하고 있다"며 가상자산 해킹에 대해서도 올해 대비가 필요한 부분"이라고 말했다.
한국정보보호산업협회(KISIA)가 발간한 '2023년 정보보호실태조사'에 따르면 조사 대상 기업의 75.5%는 정보보호의 중요성에 대해 인식하고 있고, 기업 규모가 클수록 정보보호 정책이나 관련 조직을 보유하고 있는 곳이 많은 것으로 집계됐다. 그러나 조사대상 기업의 42.2%는 정보보호 관련 예산이 없거나 아예 사용하지 않은 것으로 나타났다.
임 단장은 "국내 SW의 보안 약점이 지속적으로 발견되고 보완 조치가 미흡해 국민과 기업 모두에 피해가 발생하고 있다"며 "SW 개발 보안허브와 중소기업을 직접 찾아가는 보안약점 진단 서비스를 지원하고 있다"고 했다. 그러면서 "올해는 침해사고 재발 방지를 위해 우선 점검기업을 선정해 타깃형 서비스를 제공할 것"이라고 했다.
KISA는 또 스스로 보안점검을 어려워하는 기업을 위해 모의침투, 보안점검, 원격점검 등의 서비스를 제공하고 있다. 중소기업들의 경우 인력이나 예산 부족으로 보안 취약점을 관리하는데 한계가 있다는 것이다. 주요 정보통신 기반시설 점검 가이드 등을 기반으로 홈페이지, 서버, IT 인프라 등에 대해 실제 해킹 공격이 가능한 시나리오대로 공격해 침투 경로와 취약점을 파악하는 식이다.
KISA는 민간분야 사이버 위기대응 모의 훈련도 추진하고 있다. 기존에는 해킹메일 훈련, 디도스훈련, 웹취약점 점검 등 3종의 훈련을 진행해왔는데 올해에는 공격 탐지대응훈련을 추가한다.
영세·중소기업을 위한 디도스 공격 방어 서비스인 '사이버대피소'도 지원하고 있다. 디도스 트래픽을 사이버대피소로 우회시켜 공격 트래픽을 차단하고, 정상 트래픽만 전달하는 방식이다. 임 단장은 "올해에는 디도스 공격 뿐만 아니라 웹 해킹 전반을 방어하는 종합보안 서비스로 강화할 것"이라고 말했다.
사이버 침해사고 예방 서비스를 이용하려면 KISA 보호나라 웹사이트에 접속해 정보보호서비스, 서비스 신청하기 탭을 순차 클릭하고 온라인 신청서를 작성하면 된다.