[뉴스토마토 홍연 기자] 디지털 전환이 빨라지면서 클라우드 해킹 등 사이버보안 위협이 다변화되는 가운데 중소기업의 경우 네트워크 분야가 가장 보안에 취약한 것으로 나타났다. 또, 기업 규모가 클수록 정보 보호의 중요성과 관련 조직 보유율이 높은 반면 보안 투자가 상대적으로 적은 중소기업은 사이버 공격에 더 취약할 수 있어 적절한 조치가 필요하다는 지적이 제기됐다. 

 

18일 한국인터넷진흥원(KISA)에 따르면 지난해 6개 분야에서 중소기업의 보안 취약 사례를 점검한 결과 조사대상 기업의 80.8%가 네트워크에 취약한 것으로 조사됐다. 세부적으로 살펴보면 △운영 환경과 업무환경 분리 운영 미흡(93%) △네트워크 영역 간 접근 통제 미흡(90.9%) △원격 연결 시 안전한 보호대책 미흡(85.7%) △주요 목적 시스템의 분리 운영 미흡(53.1%) 등의 순으로 나타났다. 

 

KISA는 대외서비스를 제공하는 서버와 내부 노출이 불필요한 서버의 네트워크 영역을 분리하지 않고 같은 네트워크에서 운영하는 경우 내부서버의 외부 인터넷 노출 등의 문제가 발생할 수 있다고 설명했다. 서버 권한 탈취를 통해 서버에 저장된 중요 자료가 유출되거나 악성 코드 감염 등의 침해 사고가 발생 가능성도 있다. KISA는 조치 방법으로 업무망과 서버망을 분리해 운영하고, 방화벽에서 비인가자가 접근할 수 없도록 통제하는 것이 필요하다고 강조했다. 이를 통해 악성코드 감염과 같은 침해가 발생하더라도 또 다른 네트워크로 피해가 발생하는 것을 방지할 수 있다는 것이다.

 

 

이밖에 클라우드, 유무선 공유기, 서버 등 다른 분야도 66% 수준으로 취약한 것으로 드러났다. 클라우드의 취약 사례는 계정 관리 및 권한 검토 90.9%, 관리자 콘솔 접근 제어 미설정 82.5% 온라인 소스코드 저장소 접근통제 미흡이 16.3%였다. KISA는 점검 기업 가운데 63% 기업이 클라우드를 이용하고 있고, 점차 증가하는 추세인 만큼 위협에 대한 관심을 가지고 지속적인 관리가 필요하다고 밝혔다.

 

유무선 공유기의 취약 사례로는 무선 네트워크 보호 대책 미흡이 95.2%로 가장 많았고, 불필요한 서비스 활성화(77.3%), 최신 펌웨어 업데이트 미적용(68.4%), 초기 인증정보 사용(16.7%) 등이 뒤를 이었다.  

 

배승권 방역점검팀 팀장은 "취약점을 조치하지 않고 방치하면 공격에 쉽게 당할 수밖에 없으므로 보안에 관심을 갖고, 정보 보호 조직 운영과 예산 투자를 통한 사전 예방 활동이 중요하다"고 말했다. 이어 "취약 사례 중 일부는 별도 예산 없이 단기간에 조치할 수 있어 보안에 조치를 권고한다"고 했다.

 

향후 KISA는 국민생활과 밀접한 비대면 서비스 관련 기업을 포함해 메타버스, NFT 등 신기술을 활용한 서비스 개발 운영 기업을 대상으로 점검을 확대하고, 보안이 취약한 사각지대를 지속적으로 발굴해 지원을 강화할 방침이다. 

 

KISA의 보안 취약점 점검 서비스 대상은 비대면 다중이용 서비스를 제공하거나 신기술 관련 서비스를 제공하는 중소기업으로 총 350개다. 점검 범위는 모바일 앱과 홈페이지 등 대외서비스 , 외부 공개 서버 네트워크 기업내부 업무망, 운영 환경 전반이다. 주요 점검 항목은 △내부인프라 △홈페이지 △앱 등으로 전반적인 보안설정과 취약점 노출 여부 등을 점검 뒤 조치 방법을 안내한다. 

 

홍연 기자 hongyeon1224@etomato.com