[뉴스토마토 유승호 기자] 사이버 해킹, 개인정보 유출 등 사이버 침해 사례가 매년 늘어나고 있는 반면 대응책은 미미하다는 지적이 나오면서 효과적인 대응 체계 마련이 필요하다는 목소리가 커지고 있습니다. 정부는 사이버 공격에 대응하기 위한 보안 체계 도입을 준비 중인데요. 보안업계에서는 이에 더해 보안이 중요하다는 인식과 함께 비용, 인력을 투자해 지속적으로 관리하는 게 더욱 중요하다고 입을 모았습니다.
30일 과학기술정보통신부와 한국인터넷진흥원(KISA)의 2023년 사이버 보안 위협 전망 보고서에 따르면 지난해 11월까지 KISA에 접수된 침해사고 신고 건수는 1045건으로 집계됐습니다. 이는 전년 대비 64.28% 증가한 수준인데요. 침해사고 신고는 2019년 418건, 2020년 603건, 2021년 640건, 2022년(11월) 1045건으로 매년 증가세를 보이고 있습니다.
분산 서비스 거부(디도스) 공격도 늘어나고 있는데요. 디도스 공격 대응 건수를 살펴보면 2021년 4분기 9개에서 2022년 1분기 18개, 2022년 2분기 30개, 2022년 3분기 48개로 집계됐습니다.
이번 중국 해킹 조직에 의한 국내 학술기관 홈페이지 해킹 사례 외에도
LG유플러스(032640)의 개인정보 유출,
SK텔레콤(017670) 메타버스 플랫폼인 이프랜드의 개인정보 노출, 인터파크·지마켓의 크리덴셜 스터핑(이미 유출된 타인의 정보를 다른 서비스에 무작위로 대입해 로그인하는 방식)에 의한 공격 등 올해 사이버 침해 사례가 잇따랐습니다. 이에 사이버 침해에 효과적으로 대응하기 위한 방안이 마련돼야 한다는 목소리가 거세지고 있는데요.
연도별 전체 사이버 침해사고 건수. (사진=과학기술정보통신부)
과기정통부는 사이버 공격에 대응하기 위해 제로 트러스트 도입을 내걸었습니다. 제로 트러스트는 ‘아무것도 신뢰하지 않는다’는 걸 전제로 하는데요. 사이버 공간에 있는 모든 것들을 무조건적으로 신뢰하지 않고 검증하는 보안 모델로, 잠제적인 위협을 미리 식별할 수 있습니다.
과기정통부는 내년 기반시설을 대상으로 제로 트러스트 시범사업을 논의합니다. 이를 위해 오는 3월 제로 트러스트 구현 기본 방향을 수립하고 실증에 나섭니다. 이어 8월 제로트러스트 가이드라인을 발표하고, 연말에는 제로 트러스트 실증 성과를 내놓을 예정입니다.
다만 보안 업계에서는 제로 트러스트를 도입한다고 해서 완벽하게 해킹을 막을 수 있는 것은 아니라고 우려했습니다. 해킹을 막을 방법이 나오면 해커들은 또 다시 틈새를 발견하고 해킹을 시도하려고 하기 때문에 보안에 대한 인력 투자, 유지·보수, 인식 개선이 중요하다는 게 보안업계의 중론입니다.
문종현 이스트시큐리티 이사는 보안 분야를 '창과 방패의 싸움'에 비유했습니다. 문 이사는 "창이 강해지면 방패가 강해지고 방패가 강해지면 다시 창이 강해지는 것이 계속 도는 것"이라면서 "각 회사들이 보안 전문가들을 채용해서 운영할 수 있어야 하고 이를 위해서는 보안의 중요성 등 인식이 개선돼야 한다"고 지적했습니다.
이어 문 이사는 "정부에서는 (민간 영역에서) 보안의 중요성에 대한 인식을 끌어올릴 수 있도록 캠페인 또는 가이드를 줘야하고 범정부 차원에서 인증제를 도입하는 것도 방안이 될 수 있을 것"이라면서 "다만 인증제의 경우 이걸 받아들이는 사람들이 불편하게 생각할 수 있기 때문에 인식개선이 중요하다"고 강조했습니다.
유승호 기자 peter@etomato.com