북한 사이버공격 대응 위한 가장 시급한 대책 1위, 사이버군 등 인력 양성 확대
2위 ‘부처 조직 확대 및 정비’ 16.55%, 3위 ‘보안예산 확대’ 12.48%
[보안뉴스 김경애] 북한의 사이버공격 위협에 있어 정부·기업 차원에서의 가장 시급한 대책으로 ‘정보보호전문가 및 사이버군 인력 양성과 확대’가 꼽혔다.
이는 본지가 정보보호최고책임자 및 보안담당자 2,674명을 대상으로 조사한 ‘증가하고 있는 북한의 사이버공격 위협에 있어 정부·기업 차원에서의 가장 시급한 대책은?’이란 설문조사 결과로 전체 응답자 중 47.63%가 정보보호 전문가 및 사이버군 인력 양성과 확대라고 답했다.
지난해말 한수원 사건 이후부터 최근까지 북한 추정 사이버이슈가 끊이지 않고 발생하고 있있는 상황에서 이를 체계적으로 대응할 수 있는 인력이 부족하다는 인식이 이번 결과에 반영된 것으로 보인다. 이렇듯 한수원, 코레일 등 국가기간망을 노린 해킹 시도는 물론 국회의원 및 보좌관 30~40명의 PC가 해킹돼 국감자료와 주요정보가 탈취된 것으로 알려지면서 위기감이 더욱 고조되고 있다.
더구나 국회 해킹 사건의 경우 대외비 문서도 다수 포함돼 있어 국회 및 정치 분야의 사이버보안에 구멍이 뚫렸다는 지적이 일고 있다. 이에 새누리당 일부 의원을 중심으로 사이버테러방지법 등 법안 통과와 대책 마련을 촉구하고 있다.
이러한 북한의 해킹 시도는 국회 뿐만이 아니다. 지난 9월에 열린 국정감사에서는 정부부처를 타깃으로 한 해킹 시도가 2011년부터 지금까지 총 11만4035건으로 드러났다. ‘정부부처별 해킹 시도 현황’에 따르면 외교부가 8,663건으로 가장 많은 해킹 시도를 받았으며, 이어 산업부 5,735건, 행자부 5,224건, 복지부 3,093건, 경찰청 2,988건 순으로 집계됐다.
우리나라의 경우도 정보보호 인력 양성을 위해 많은 노력을 기울이고 있지만, 이미 사이버군을 비롯한 정보보호 인력풀이 우리보다 훨씬 풍부하고 체계적인 미국이나 중국, 북한이 비하면 아직 열악한 상황이다.
이어 2위로는 관련 ‘부처 조직 확대 및 정비’라고 답변한 사람이 16.55%를 차지했다. 최근 행정자치부의 경우 개인정보보호정책실 산하에 개인정보보호 관련 부서를 4개과로 확대했다. 미래부도 올해 초 정보보호정책관실 산하에 정보보호관련 부서를 4개과로 확대 개편했으며, 금융기관을 비롯해 민간기업에서도 보안관련 채용에 나서는 등 인력 확충에 적극 나서고 있는 실정이다.
하지만 아직까지 미흡하다는 지적이 많다. 각 부처별 정보보호관련 담당자는 여전히 1~2명인 기관이 상당수이며, 이마저도 최근 사이버보안 위협이 증대되는 추세에 따른 것이다. 최근 국회 해킹 사건과 관련해 곤혹을 치르고 있는 국회사무처의 경우도 수천대의 PC를 적은 인원이 관리하고 있으며, 보안관제 역시 보안업체에 외주를 맡긴 상황이다.
3위로는 12.48%의 비율로 ‘보안예산 확대’를 꼽았다. 대다수의 기업에서 연간 정보보안 및 개인정보보호 분야에 투자하는 비용이 전체 IT 예산 대비 5~10%에 불과한 것으로 조사됐다.
이와 관련 한국정보보호학회 박춘식 회장은 “이제는 IT 예산에서 정보보안 예산 비중을 논하는 관점에서 벗어나야 한다”며 “IT 예산은 전체적으로 줄고 있으며, 구조적으로 90% 이상이 인건비와 유지보수 비용으로 새로운 투자가 없는 구조”라고 지적했다. 이에 정보화 예산과 정보보안 예산을 철저히 구분해서 별도의 예산 항목이 될 수 있도록 하고, 그 다음에 예산의 적절성을 제시해야 한다고 강조했다.
4위로는 ‘중소기업 등 보안이 취약한 사이트의 보안강화 시급’이 9.91%를 차지했다. 중소기업의 경우 예산부족을 이유로 웹사이트를 비롯해 보안관리가 허술한 경우가 대부분이다.
본지가 매주 보도하는 [주간 악성링크] 코너만 보더라도 악성URL이 탐지된 기업 대다수가 중소기업이나 영세한 협회 및 단체 등이다. 개인정보처리자나 정보보호담당자가 있더라도 보안에 대해 잘 모르거나 전산업무 담당자가 보안업무를 겸직으로 맡는 경우가 허다하다. 그나마 이마저도 보안문제를 고민하고 있는 기업이며, 상당수는 보안에 대한 개념과 의지 자체가 없는 실정이다.
이는 시만텍이 조사한 아태 및 일본지역 중소기업의 보안문제를 심화시키는 주요 원인으로 예산 부족(41%) 및 숙련된 보안 인력 부족(40%)이 꼽힌 데에서도 알 수 있다.
이어 5위는 ‘정보보호 관련 법령 정비’가 8.01%이며, 6위는 3.26%로 ‘부다페스트 조약 등 국제협력기구 가입’을 꼽았다. 7위로는 ‘전략적인 차원에서 중국과의 우호관계 형성’이 1.63%를 차지했다.
[김경애 기자(boan3@boannews.com)]
2위 ‘부처 조직 확대 및 정비’ 16.55%, 3위 ‘보안예산 확대’ 12.48%
[보안뉴스 김경애] 북한의 사이버공격 위협에 있어 정부·기업 차원에서의 가장 시급한 대책으로 ‘정보보호전문가 및 사이버군 인력 양성과 확대’가 꼽혔다.
이는 본지가 정보보호최고책임자 및 보안담당자 2,674명을 대상으로 조사한 ‘증가하고 있는 북한의 사이버공격 위협에 있어 정부·기업 차원에서의 가장 시급한 대책은?’이란 설문조사 결과로 전체 응답자 중 47.63%가 정보보호 전문가 및 사이버군 인력 양성과 확대라고 답했다.
지난해말 한수원 사건 이후부터 최근까지 북한 추정 사이버이슈가 끊이지 않고 발생하고 있있는 상황에서 이를 체계적으로 대응할 수 있는 인력이 부족하다는 인식이 이번 결과에 반영된 것으로 보인다. 이렇듯 한수원, 코레일 등 국가기간망을 노린 해킹 시도는 물론 국회의원 및 보좌관 30~40명의 PC가 해킹돼 국감자료와 주요정보가 탈취된 것으로 알려지면서 위기감이 더욱 고조되고 있다.
더구나 국회 해킹 사건의 경우 대외비 문서도 다수 포함돼 있어 국회 및 정치 분야의 사이버보안에 구멍이 뚫렸다는 지적이 일고 있다. 이에 새누리당 일부 의원을 중심으로 사이버테러방지법 등 법안 통과와 대책 마련을 촉구하고 있다.
이러한 북한의 해킹 시도는 국회 뿐만이 아니다. 지난 9월에 열린 국정감사에서는 정부부처를 타깃으로 한 해킹 시도가 2011년부터 지금까지 총 11만4035건으로 드러났다. ‘정부부처별 해킹 시도 현황’에 따르면 외교부가 8,663건으로 가장 많은 해킹 시도를 받았으며, 이어 산업부 5,735건, 행자부 5,224건, 복지부 3,093건, 경찰청 2,988건 순으로 집계됐다.
우리나라의 경우도 정보보호 인력 양성을 위해 많은 노력을 기울이고 있지만, 이미 사이버군을 비롯한 정보보호 인력풀이 우리보다 훨씬 풍부하고 체계적인 미국이나 중국, 북한이 비하면 아직 열악한 상황이다.
이어 2위로는 관련 ‘부처 조직 확대 및 정비’라고 답변한 사람이 16.55%를 차지했다. 최근 행정자치부의 경우 개인정보보호정책실 산하에 개인정보보호 관련 부서를 4개과로 확대했다. 미래부도 올해 초 정보보호정책관실 산하에 정보보호관련 부서를 4개과로 확대 개편했으며, 금융기관을 비롯해 민간기업에서도 보안관련 채용에 나서는 등 인력 확충에 적극 나서고 있는 실정이다.
하지만 아직까지 미흡하다는 지적이 많다. 각 부처별 정보보호관련 담당자는 여전히 1~2명인 기관이 상당수이며, 이마저도 최근 사이버보안 위협이 증대되는 추세에 따른 것이다. 최근 국회 해킹 사건과 관련해 곤혹을 치르고 있는 국회사무처의 경우도 수천대의 PC를 적은 인원이 관리하고 있으며, 보안관제 역시 보안업체에 외주를 맡긴 상황이다.
3위로는 12.48%의 비율로 ‘보안예산 확대’를 꼽았다. 대다수의 기업에서 연간 정보보안 및 개인정보보호 분야에 투자하는 비용이 전체 IT 예산 대비 5~10%에 불과한 것으로 조사됐다.
이와 관련 한국정보보호학회 박춘식 회장은 “이제는 IT 예산에서 정보보안 예산 비중을 논하는 관점에서 벗어나야 한다”며 “IT 예산은 전체적으로 줄고 있으며, 구조적으로 90% 이상이 인건비와 유지보수 비용으로 새로운 투자가 없는 구조”라고 지적했다. 이에 정보화 예산과 정보보안 예산을 철저히 구분해서 별도의 예산 항목이 될 수 있도록 하고, 그 다음에 예산의 적절성을 제시해야 한다고 강조했다.
4위로는 ‘중소기업 등 보안이 취약한 사이트의 보안강화 시급’이 9.91%를 차지했다. 중소기업의 경우 예산부족을 이유로 웹사이트를 비롯해 보안관리가 허술한 경우가 대부분이다.
본지가 매주 보도하는 [주간 악성링크] 코너만 보더라도 악성URL이 탐지된 기업 대다수가 중소기업이나 영세한 협회 및 단체 등이다. 개인정보처리자나 정보보호담당자가 있더라도 보안에 대해 잘 모르거나 전산업무 담당자가 보안업무를 겸직으로 맡는 경우가 허다하다. 그나마 이마저도 보안문제를 고민하고 있는 기업이며, 상당수는 보안에 대한 개념과 의지 자체가 없는 실정이다.
이는 시만텍이 조사한 아태 및 일본지역 중소기업의 보안문제를 심화시키는 주요 원인으로 예산 부족(41%) 및 숙련된 보안 인력 부족(40%)이 꼽힌 데에서도 알 수 있다.
이어 5위는 ‘정보보호 관련 법령 정비’가 8.01%이며, 6위는 3.26%로 ‘부다페스트 조약 등 국제협력기구 가입’을 꼽았다. 7위로는 ‘전략적인 차원에서 중국과의 우호관계 형성’이 1.63%를 차지했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
