사이버 위협 갈수록 확산되는데 한국기업 보안인식 여전히 '0점'

김학재 입력 2016. 7. 31. 17:35 수정 2016. 7. 31. 22:20
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

e메일 대응 훈련에 IT기업 40% 클릭

e메일 대응 훈련에 IT기업 40% 클릭

#. 대기업 계열인 A사는 최근 불시에 악성코드 e메일 모의훈련을 실시했다. 가상의 악성코드가 담긴 'A사 관련 찌라시'라는 제목의 e메일을 직원들에게 보낸 결과 직원의 55%가 악성코드 e메일을 클릭해 첨부파일을 내려받았다. A사는 훈련일정을 공지한 뒤 다시 모의훈련을 실시했다. 그럼에도 불구하고 40% 이상의 직원들은 여전히 악성코드 e메일을 클릭했고, 8%의 직원들은 파일을 다운받기까지 했다.


한국 기업을 노린 사이버 공격이 급속히 확산되고 있는 가운데, 북한이 대북 경제제재 이후 사이버 공격을 외화벌이 수단으로 활용하려는 움직임까지 감지되고 있지만 한국 기업들의 사이버 보안 의식은 여전히 미진한 수준이어서 대책 마련이 시급하다는 경고가 잇따르고 있다.

최근 발생한 인터파크 해킹 사례만 해도 내부 직원이 악성코드가 담긴 e메일 내 파일을 의심없이 다운받은 것이 1030만명의 회원정보 탈취로 이어진 경우다. 결국 직원의 낮은 보안의식이 대규모 사이버 위협으로 이어진 셈이다.

■악성코드 e메일에 속는 사례 여전히 많다

7월 31일 경찰청에 따르면 올 초 청와대 등 국가기관을 사칭한 악성코드 e메일이 759명에게 전송됐는데, 이 e메일에 답장을 보낸 사람이 35명인 것으로 나타났다. 배포된 e메일의 4.6% 수준으로, 20명 중 1명은 악성코드 메일에 속은 셈이다.

최근 기업체를 타깃으로 하는 사이버 위협이 급속히 늘어나고 있다.

목표를 정해 맞춤형 e메일로 속이는 경우도 있고, 해커가 불특정다수를 대상으로 악성코드를 심은 e메일을 발송하기도 한다. 직원 중 한 명이라도 위장된 e메일을 클릭하거나 악성코드가 포함된 첨부파일을 다운로드할 경우 기업전산망 전체가 악성코드에 감염되는 것이 일반적이다.

e메일을 통한 지능형 지속공격(APT)은 표적을 노리고 수개월 넘게 공격을 계속한다는 점에서 이용자는 피해사실을 파악하는 것조차 쉽지 않다. 공공기관이나 관련된 기업의 명의로 된 e메일로 위장하는 등 고도화된 e메일 공격에 일부 이용자들은 쉽게 속아넘어가는 것으로 알려졌다.

북한이 그동안 벌였던 사이버 공격에서도 e메일을 활용한 빈도가 높다. 지난 2014년 말 원자력발전소 도면 등이 유출됐던 한국수력원자력 해킹과 올해 1월 2개 지방 철도운영기관 직원을 대상으로 한 피싱메일 유포 등이 대표적이다. e메일 공격 외에도 시스템 취약점을 공략한 기업 내부전산망 해킹도 시도하는 등 북한의 사이버 공격은 전방위로 이뤄지고 있다.

■기업, 보안에 대한 투자 안해

학계에 따르면 지난 10년간 홍수 등 재난재해로 우리나라가 입은 피해규모가 1조7000억원 수준이지만 같은 기간 사이버 해킹으로 입은 피해는 3조7000억원 규모로 추정된다.

사이버 테러로 인한 피해가 급증하고 있지만, 아직 많은 기업들이 사이버 보안에 대한 중요성을 인식하기만 할 뿐 실제 보안인식 제고와 보안에 대한 투자를 실행하지 않고 있다는 게 문제다. 박춘식 서울여대 정보보호학과 교수는 "기업들의 사이버 보안은 정부가 대신해 줄 수도 없어 기업들 스스로 보안에 적극 투자해 해킹을 막아야 한다"며 "기업들은 해킹을 당해도 이런 사실을 숨기기 때문에 현재 드러나는 것도 빙산의 일각 수준"이라고 말했다.

기업 문제 이전에 일반 이용자들의 사이버 보안 인식도 아직 개선되지 못했다는 분석이다.

이스트소프트가 실시한 보안 인식 설문조사 결과를 보면 '보안이 항상 중요하다'고 생각하는 이용자의 비율은 38.6%에 그쳤다. 보안 이슈가 나오거나 직접 피해를 겪고 나서야 보안의 중요성을 느낀다는 사용자 비율은 58.7%였다.

이용자 본인 또는 주변에서 사이버 공격 피해를 경험한 비율이 51.2%가 되지만 일반 이용자들은 아직 실제 피해에 비해 보안 인식이 미미하다는 지적이다.

업계 관계자는 "아직도 일부 기업들은 보안 훈련들을 '눈가리고 아웅' 식으로 대충 하는 경우가 많다"며 "소 잃고 외양간 고치는 스타일의 보안대책이 만연해 있어 근본적인 인식개선이 이뤄지지 않는다면 제2, 제3의 인터파크 사태는 언제든 일어날 수 있다"고 말했다.

hjkim01@fnnews.com 김학재 기자

※ 저작권자 ⓒ 파이낸셜뉴스. 무단 전재-재배포 금지

Copyright © 파이낸셜뉴스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?