아·태지역 중에서도 사이버 공격 가장 취약… 관련투자 기업 19%뿐

우리나라는 세계 선두권 IT기술과 인프라를 보유한 글로벌 IT강국이다. 그만큼 해킹과 사이버테러 위협에도 노출돼 있다. 잘 구축된 유·무선 초고속인터넷환경이 사이버 공격을 빠르게 확산시키는 통로가 될 수 있어서다. 실제로 한 컨설팅업체의 보고서에 따르면 한국은 아시아·태평양지역 18개국 중 사이버 공격에 가장 취약한 국가다. 그러나 사이버 위협에 대응하기 위한 보안산업의 발전은 더딘 상황이다.


지난 3일 서울 경찰청에서 진행된 사이버테러 대응 모의훈련 모습. /사진=뉴시스DB
지난 3일 서울 경찰청에서 진행된 사이버테러 대응 모의훈련 모습. /사진=뉴시스DB

◆최고 IT인프라, 최하위 보안인프라

최근 경영컨설팅 전문업체 딜로이트컨설팅이 발표한 ‘2016 아시아·태평양 국가보안 전망보고서’에 따르면 한국의 사이버 리스크 점수는 1000점 만점 중 884점을 기록했다. 이는 아태지역 18개국 중 압도적 1위에 해당하는 수치다. 2위 호주(582점)보다 300점 이상 높으며 아태지역 평균(201점)보다는 4배 이상 높다. 
이에 대해 딜로이트컨설팅은 “한국은 IT기반 구축 수준에 비해 보안 측면의 대응능력과 관련 인프라 수준이 상대적으로 하위권에 머문다”며 “사이버 공격이라는 새로운 형태의 위기에 직면해 있다”고 평가했다.


사이버 공격은 철저히 감시하고 대비해도 단 한번만 뚫리면 예측하기 힘든 엄청난 피해를 입을 수 있다. 이미 자연재해로 인한 연평균 피해 규모(1조7000억원)보다 사이버 공격에 의한 피해 규모(3조6000억원)가 2배 이상 큰 것이 현실이다.

인터넷·SNS의 발달로 전세계가 온라인으로 연결된 상황에서 세계 각국 정부와 기업들은 사이버 보안 등 정보보호를 위한 투자를 적극적으로 확대하고 있다. 글로벌 정보보호시장은 현재 1060억달러(약 129조원) 규모로 연평균 9.8% 이상 성장해 2020년에는 1700억원(약 207조원) 규모로 확대될 전망이다.

반면 국내 보안산업은 ‘영세산업’ 수준에서 벗어나지 못했다. 미래창조과학부와 금융감독원 전자공시자료 등에 따르면 250개 정도로 추정되는 정보보안업체 중 지난해 연매출 1000억원을 돌파한 곳은 SK인포섹(1578억원)과 안랩(1344억원) 단 두곳뿐이다.


삼성SDS 자회사인 시큐아이는 2013년 매출 1036억원을 기록해 ‘1000억 클럽’에 잠시 가입했지만 이듬해 마이너스 성장(매출 941억원)을 기록하며 미끄러졌다. 지난해 실적은 아직 공개되지 않았지만 3분기까지 매출액이 524억원에 그쳤다는 점을 감안하면 또 다시 마이너스 성장을 기록했을 것으로 추정된다.


지난달 18일 분산서비스거부(디도스) 공격상황을 모니터링 중인 한국인터넷진흥원 인터넷침해대응센터 종합상황실. /사진=뉴스1DB
지난달 18일 분산서비스거부(디도스) 공격상황을 모니터링 중인 한국인터넷진흥원 인터넷침해대응센터 종합상황실. /사진=뉴스1DB

◆정보기술 대비 초라한 보안 투자
이런 가운데 개별 기업들의 정보보호에 대한 대처도 미비하다. 지난 1월 미래부가 발표한 ‘2015년 정보보호 실태조사 결과’에 따르면 종사자 1인 이상 기업 8000개 중 정보보호 정책을 수립한 사업체는 13.7%에 불과했다. 또 정보보호에 투자하는 기업은 18.6%, IT예산 중 정보보호 예산 비중이 5% 이상인 기업은 1.4%에 그쳤다.

특히 2012~2014년 대규모 개인정보 유출 사고를 낸 통신업계도 여전히 정보보호에 소홀한 것으로 나타났다. 2014년 기준 이동통신 3사의 정보기술 투자액 대비 정보보호 투자비율은 SK텔레콤 6.7%, KT 5.7%, LG유플러스 5.9% 등이다.

SK텔레콤이 국내 통신사 중에선 금융권 수준(7%)과 근접한 비교적 높은 보안 투자를 하지만 해외 선진국 통신사들(10%)과 비교하면 아직 차이가 크다. 

고객들의 중요한 개인정보를 보유한 병원들도 정보보호에 취약하기는 마찬가지다. 행정자치부가 지난 1월 발표한 20개 주요 종합병원 개인정보 관리 실태조사 결과 85%(17곳)가 개인정보보호법을 위반한 것으로 나타났다. 이들은 ‘비용 발생’을 이유로 개인정보 안정성 확보 조치를 소홀히 한 것으로 조사됐다.

이처럼 사이버 위협에 대한 안일한 인식이 만연한 가운데 사이버 공격은 끊이지 않고 있다. 빅데이터 전문업체 한국EMC 보고서에 따르면 지난 3년간 화학공장, 발전설비, 상하수시설, 교통시스템 등 대규모 기반시설을 향한 사이버 공격이 17배 증가했다.

올해 초에는 삼성그룹의 사내 메신저프로그램 베타테스트 버전으로 개발한 ‘마이싱글’과 같은 이름을 가진 악성코드가 유포됐다. 삼성 측이 해당 메신저를 베타버전으로만 활용해 별다른 피해는 없었지만 이 악성코드는 PC에 저장된 정보를 훔치는 한편 추가 악성코드를 내려받는 기능이 있는 것으로 알려졌다.

업계에서는 최근 산업현장에 IoT(사물인터넷)가 보급되기 시작하며 사이버 공격이 더욱 기승을 부릴 것으로 본다.

문제는 사이버 공격이 점점 다양해지고 범죄의 질도 나빠진다는 것이다. 한국EMC는 ‘2016 사이버 보안 전망’ 보고서에서 앞으로 사이버 범죄는 데이터에 불법으로 접근하는 수준을 넘어 데이터를 변경·위조·조작하려는 시도로 확대될 것이라고 전망했다.  

이 경우 사이버 공격으로 인한 피해 규모는 지금과는 비교가 안 될 정도로 커질 것으로 보인다.

또한 사이버 공격자들의 목적도 단순한 금전적 이익에 국한되지 않고 정치·사회적 신념에 따라 공격하거나(어나니머스) 재미나 명성을 좇아(군소 해커집단) 공격을 하기도 하는 등 다양해지고 있다.

보안업계 한 관계자는 “국내기업들 대다수가 사이버 보안에 대한 필요성을 인지하고 있지만 예산부족을 이유로 투자는 꺼린다”며 “아직 사이버 공격을 받지 않은 기업들을 중심으로 ‘보안에 대한 투자는 아까운 비용’으로 인식하는 경향이 있는데 앞으로는 증가하는 보안 위협을 최소화하는 것이 기업은 물론 국가의 성장과 생존에 필수요소가 될 것”이라고 말했다. 

☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제426호에 실린 기사입니다.