[데이터넷] 올해 우리 사회에 큰 피해를 입힐 것으로 예상되는 사고로 가장 많은 응답자(24.1%)가 ‘사회 주요 시설을 노리는 랜섬웨어’를 꼽았다. IoT 확산으로 사회 모든 시설과 사용자 기기들이 인터넷에 연결되고 있지만, 연결된 기기와 인터넷에 대한 보안 문제는 뒷전으로 밀리는 상황이다.

공격자들은 관리되지 않은 IoT 기기를 이용해 사회 주요 시설을 공격, 랜섬웨어로 마비시켜 사회혼란을 야기시키고 큰 수익을 얻을 수 있다. 지난해 미국의 여러 지방자치단체와 기업들이 랜섬웨어 공격으로 큰 피해를 입고, 막대한 복구비용이 들게 되자 FBI는 ‘기업이 주주와 직원, 고객을 보호하기 위해 일정 조건에서는 금전 지불을 고려할 수 있다’는 입장을 밝힌 바 있다. 미국의정보기관조차 물러선 입장을 보인 만큼, 랜섬웨어는 앞으로 더욱 더 극성을 부릴 것이며, 더 큰 금액을 얻을 수 있는 기업, 사회 주요 시설을 노릴 것으로 보인다.

오픈뱅킹과 간편결제 등 새로운 금융 서비스가 쏟아지면서 이를 악용하는 공격에 등장할 것이라는 경고도 나온다.

보안 담당자 21.5%가 이 같은 우려를 밝혔다. 이어 ‘클라우드 타깃 공격(18.4%)’과 지난해 극성을 부린 ‘지능적인 스피어피싱과 이메일 사기(16.2%)’가 위협이 될 것이라고 밝혔다.

적절한 보안 기술·보안인식 제고 필요

2020년 국회의원 총선거가 다가오면서 가짜뉴스 비상도 걸렸다. 11.4%의 응답자는 ‘유튜브·SNS 이용해 광범위하게 퍼지는 가짜뉴스’에 주의해야 한다고 답했으며, 5.3%는 ‘딥페이크 등 가짜 영상 이용한 범죄’가 우려된다고 밝혔다. 또한 요동치는 세계 정세를 이용해 ‘특정 국가·정부 후원 사이버 스파이 및 사이버 테러(5.7%)’를 주의해야 한다는 응답도 있었다.

이러한 피해를 막기 위해 필요한 조치로 ‘적절한 보안 기술’과 ‘보안 인식 제고’를 들었다. 30.7%의 응답자들이 ‘지능형 보안 기술 적용한 탐지와 방어’가 필요하다고 설명했으며, 29.8%는 ‘사회 전반 보안 인식 제고 위한 캠페인과 교육’이 필수라고 밝혔다.

이어 20.6%의 응답자가 ‘기업·기관의 보안 정책과 보안 체계 점검’이 시급하다고 답했고, 13.2%는 ‘취약점 점검·조치 서비스 통한 피해 예방’이 필요하다고 했다. ‘강력한 규제와 엄격한 처벌(11.0%)’, ‘사이버 범죄 정보 공유와 범죄자 검거 위한 국제 공조(7.0%)’, ‘보안 내재화된 기기·서비스 사용(3.5%)’ 등의 답이 나왔다.

위협 증가해도 보안 예산 ‘제자리’

클라우드, IoT, AI로 인해 보안위협은 날이 갈수록 심각해지고 있지만, 보안 예산은 제자리이며, 보안 조직의 위상을 높여야 한다는 과제도 난망한 일이다. IT 예산의 10% 이상 보안 예산으로 사용해야 한다는 과제는 여전히 충족되지 못한 상황이다. 지난해 IT 예산 중 보안에 투자한 예산 비중을 묻는 질문에 37.3%가 ‘5~9%’, 33.3%가 5% 미만이라고 답했다. 10%~19% 수준이라는 답은 23.6%, 20% 이상 사용한 곳은 4.4%에 그쳤다.

올해도 크게 개선될 여지가 보이지는 않는다. 지난해에 비해 올해 보안 예산 상승률이 5% 미만이라는 답이 36.5%, 5~9%라는 답이 35.5%였으며, 10%~19% 수준은 19%, 20% 이상이라는 답은 6.6%였다.

올해 가장 많은 예산이 투입되는 보안 사업은 ▲네트워크 보안(33.3%) ▲엔드포인트 보안(20.6%) ▲보안관제(11.8%) ▲클라우드 보안(11.0%) ▲취약점 점검·모의해킹·컴플라이언스(9.6%) ▲데이터 보안(9.2%) ▲매니지드 보안 서비스(3.9%) ▲웹 보안·애플리케이션 보안(각각 3.5%) 순이었다.

“비현실적 규제 개선해야”

마지막으로 보안 분야 종사자로서, 정부나 기업·기관의 보안 정책에 대한 의견을 자유롭게 개진해달라는 질문에 가장 많은 응답자가 보안 조직의 권한과 인력을 강화하고 처우를 개선해야 한다고 밝혔다. 또한 보안 전문인력 배출을 위한 전문대학원과 기술원이 마련해야 한다는 의견과 함께 전문인력 양성을 지원해야 한다는 답이 그 뒤를 이었다.

정부에 바라는 정책 대안으로는 규제에 대한 의견이 많았다. 망분리와 같은 현실과 동떨어진 규제를 개선하되, CISO 의무화 등 기업·기관의 보안 강화를 위해 필요한 규제는 강화해야 한다는 주장이었다. 핀테크, AI, IoT, 클라우드 이용을 위해 필요한 규제를 만들고, 불필요한 규제를 개선해야 한다는 의견도 상당수에 달했다.

이 같은 신기술을 안전하게 도입하고 활용할 수 있는 가이드라인 마련이 필요하다는 의견도 다수 나왔다. 특히 천편일률적인 가이드라인이 아니라 산업별 특성을 고려해 현실에 적용 가능한 가이드라인을 제시해 개별 현장에서 도입하고 스스로 보안 수준을 측정할 수 있는 장치를 마련해 달라는 내용이었다.

데이터 3법과 개인정보 보호와 활용에 대한 구체적인 내용을 마련해야 한다, 정부의 보안 사업을 총괄할 컨트롤타워가 마련돼야 한다, 산업기술 보호법이 필요하다, 국내 보안 기술개발과 산업 육성을 위한 지원이 필요하다, 융합보안기술 개발에 나서야 한다 등의 의견도 개진됐다.

“경영진 보안인식 갖춰야”

기업·기관이 해결해야 하는 문제는, 예년과 마찬가지로, ‘경영진의 보안 인식 제고’가 가장 시급하다고 꼽았다. 경영진이 보안을 비용이 아니라 필수적인 투자로 인식해야 한다는 의견이었다. 또한 임직원의 보안인식 제고도 필요하며, 보안예산 투자를 늘려야 하고, 변화하는 기술 환경에 따라 보안체계를 개편해야 한다는 의견도 상당수에 달했다.

이번 설문 응답자는 228명이었으며, 응답자가 종사하는 산업분야는 ▲공공·국방 11.4% ▲금융 21.5% ▲제조·건설·에너지 20.6% ▲통신·방송·언론 9.6% ▲의료 6.6% ▲교육 9.6% ▲유통·서비스 11.0% ▲IT·게임·포털 8.8% ▲기타 0.9%이다. 보안업계 근무년수는 ▲5년이하 14.5% ▲6년~10년 32.5% ▲11년~15년 23.2% ▲16년~20년 18.0% ▲20년 이상 11.8%이다.