디지털화가 가속화와 함께 사이버보안 위협이 커지고 있다. 주요 기업과 정부, 주요사회기반시설을 표적으로 랜섬웨어와 디도스(DDoS) 공격, 공급망 공격, 정교한 해킹 등 복합적이고 정교한 사이버공격 위협이 커지고 있다. 그만큼 사이버보안의 중요성은 갈수록 커지고 있는 상황이다. 그만큼 침해사고 예방과 대응을 위한 국내 기업의 정보보호 활동이 과거에 비해 크게 강화되고 있다.

실제로 과학기술정보통신부와 한국정보보호산업협회(KISIA)가 매년 실시하는 ‘정보보호 실태조사’ 결과, 전년보다 많은 기업이 정보보호 정책·예산을 수립하고 침해사고 대응을 강화하고 있으며, 침해사고 경험률은 지속 감소하고 있는 것으로 나타났다. 하지만 매우 심각한 침해사고 피해율은 오히려 커졌다는 조사결과가 나왔다. 지난 14일 발간된 최신 ‘정보보호 실태조사’ 결과 가운데 기업 부문 결과를 살펴본다.

정보보호 정책·조직·예산 운영기업 늘었다

대부분의 기업들이 정보보호와 개인정보보호의 중요성을 인식하고 있다. 사업체 규모가 클수록 정보보호 중요성에 대한 인식뿐 아니라 정보보호 정책과 정보보호 조직(전담조직) 운영 비율이 높다. 정보보호 정책을 수립하고 있고 정보보호 조직도 보유하고 있는 기업의 비율은 매년 증가하는 추세다.

2021년 정보보호 실태조사 결과, 기업의 정보보호 정책 수립률(27.0%, 3.4%p↑)과 예산 편성률(66.6%, 4.8%p↑) 모두 작년 대비 증가했다. 다만 정보보호 조직 보유 비율은 11.6%에 그쳐, 전년 대비 1.8%p 하락했다. 종사자 수 50인에서 250인 미만 규모는 64%, 250인 이상 규모의 기업은 82.4%가 정보보호(개인정보보호) 조직을 보유하고 있다.

정보보호 전담조직을 운영하고 있는 기업 비율은 2.8%로, 업종별로는 ‘금융 및 보험업’이 23.9%로 가장 높게 나타났고, ‘정보통신업(13.7%)’, ‘농림수산업(10.4%)’, ‘기타 서비스업(8.5%)’ 등의 순으로 나타났다. 정보보호 전담조직 운영률은 250명 이상 규모 기업에서 37.8%로 가장 높았고, 50인에서 250인 미만 규모 기업은 15%, 10명에서 50명 미만 규모 기업은 6.9%였다. 아울러 공식 개인정보보호 전담조직을 운영하고 있는 기업은 전체의 1.8%이며, 정보보호와 개인정보보호 조직을 공동으로 운영하는 기업은 8.1%로, ‘기타 서비스업’이 26.9%, ‘금융 및 보험업’ 25.2%, ‘정보통신업’ 24.6%, ‘숙박 및 음식점업’ 14.8%이다.

정보보호 또는 개인정보보호 예산을 편성한 기업은 66.6%에 달했는데, 대부분 IT 예산 중 정보보호·개인정보보호 예산이 차지하는 비중은 ‘1% 미만’이 55%로 가장 높았다. 이 수치는 전년(49.4%) 대비 5.6%p 증가했다. ‘1~5% 미만’이라고 응답한 비율은 10.9%로 소폭 증가했고, ‘5% 이상’이라고 답한 비율은 전년(1.7%) 대비 0.9%p 감소한 0.8%로 나타났다. 정보보호 예산도 종사자 수가 많은 기업일수록 이를 수립하는 비율이 높은 것으로 분석됐다.

정보보호 예산이 증가한 이유는 ‘IT예산 총액의 증가에 따른 변화’가 71.1%로 가장 높았으며, ‘정보보호 시스템 유지보수비 증가(22.7%)’, ‘정보보호 제품 구입 비용 증가(19.5%)’, ‘정보보호 서비스 구입 비용 증가(17.6%)’ 등이 영향을 미친 것으로 나타났다. 이같은 요인들은 정보보호 예산 감소 배경으로 작용하고 있다.

예산지출 분야는 ‘정보보호 시스템 유지보수’(49.3%), ‘정보보호 제품 구입’(35.7%), ‘정보보호 서비스 구입’(17.1%) 등의 순을 보였다.

‘매우 심각한 피해’ 안겨준 침해사고 증가

기업의 93.4%는 정보보호(정보보안, 물리보안) 제품을 이용하고 있다. 제품군별로는 네트워크 보안이 85.7%로 가장 높았고, 시스템 보안(단말) 보안이 74.7%, 인증 보안(바이오 인증 제외) 38.2%, 보안관리 32%로 나타났다. 물리보안 제품 중에서는 ‘영상정보처리기기(CCTV)’가 60.0%로 가장 많았다.

국내 기업 가운데 63.4%가 이용하고 있는 정보보호 서비스 이용 유형으로는 ‘유지관리/보안성 지속 서비스’가 35.3%로 가장 많았고, 다음으로 ‘교육/훈련(33.2%)’, ‘인증서 서비스(29.2%)’ 등의 순으로 집계됐다.



시스템·네트워크 보안점검을 실시하는 기업은 88.7%로, 1개월(38.7%) 또는 6개월(29.8%) 간격으로 실시하는 경우가 많았다.

PC나 서버에 보안패치(자동업데이트, 수동 업데이트, 문제 발생시 업데이트)를 적용하는 비율은 93.1%로, 전년(98.4%) 대비 떨어졌다. 이 경우 취약점 악용 공격에 노출될 위험이 커진다. 보안패치를 많이 적용하는 대상은 정보보호 시스템(96.4%)이 가장 많았다. 보안패치를 적용하지 않는 이유로는 ‘업데이트가 번거롭다(55.5%)’, ‘업데이트 방법 및 절차를 모른다(34.2%)’거나 ‘예산 부족(25.0%)’ 등을 들었다.

나아가 국내 기업 중 시스템 로그 백업을 실시하는 비중은 36.2%, 중요 데이터 백업을 실시하는 기업은 45%에 그치고 있는 실정이다. 시스템 로그 또는 중요 데이터를 백업하는 방식은 ‘USB메모리, 외장 하드디스크 등 별도 저장장치 활용’이 70.6%로 가장 많은 가운데 ‘운영체제(윈도우, 맥OS, 리눅스 등) 백업기능(30.8%)’, ‘클라우드 서버(9.4%)’, ‘별도 백업서버(NAS, SAN)(8.3%)’을 활용하는 것으로 집계됐다.

기업의 침해사고 대응 활동은 지속 증가(27.7%, 0.7%p↑)하고 있으며, ‘침해사고 대응계획 수립(15.4%)’, ‘긴급연락체계 구축(14.4%)’, ‘사고복구조직 구성(6.1%)’ 등을 통해 침해사고에 대응했다.

지난 1년간 침해사고를 경험한 기업은 1.0%로, 1.0%p 하락했다. 이들은 랜섬웨어(47.7%), 악성코드(바이러스, 웜, 트로이목마, APT공격)(41.9%), 사내 데이터나 전산시스템에 대한 외부로부터의 비인가 접근(해킹)(11.4%), 서비스거부(DoS)/분산서비스거부(DDoS) 공격(1.8%) 등의 침해사고를 당해, 작년과 마찬가지로 랜섬웨어가 가장 위협적인 요소로 나타났다.

피해 정도는 ‘경미한 피해’가 55.5%(9.1%p↓)로 가장 많았으며, ‘심각한 피해’는 18.7%(2.9%p↓), ‘매우 심각한 피해’가 26.7%(10.2%p↑)로 조사됐다. 랜섬웨어와 악성코드 공격에서 ‘매우 심각(37.3%, 21%)’한 피해를 입은 경우가 가장 많았다. 침해사고가 매우 심각한 피해로 이어진 경우가 전년 대비 10% 이상 늘어났다는 점이 주목된다.

침해사고에 대응하기 위한 활동을 수행하는 기업(2.7%)은 소폭 증가했다. 대응활동 유형으로는 ‘침해사고 대응 계획 수립’이 15.4%로 가장 많았고, 다음으로 ‘침해사고 발생 또는 발생징후 인지시 대처를 위한 긴급연락체계 구축(14.4%)’, ‘사고복구 조직 구성(6.1%)’ 등이다.

한편, 온라인으로 개인정보 수집·이용 기업들 가운데 개인정보 침해사고 예방 및 사후 처리를 위한 관리적 조치 시행률은 95.2%로 전년(97.2%) 대비 2.0%p 감소했다.

관리적 조치로는 ‘개인정보 침해사고 예방에 관한 매뉴얼 수립’이 91.8%로 가장 많았고, 다음으로 ‘개인정보 침해사고 사후 처리방침 수립(87.1%)’이 많았다.

개인정보의 안전한 처리를 위한 기술적 조치 시행률은 95.8%로 전년(98.4%) 대비 2.6%p 줄었다. 기술 조치로는 ‘백신 소프트웨어의 설치·운영 등 컴퓨터 바이러스에 의한 침해 방지 조치’가 92.2%로 가장 높게 조사됐고, 이는 매년 증가하고 있다.



개인정보보호 정책을 공식 수립해 운영하고 있는 업종은 ‘금융 및 보험업’이 90.1%로 가장 높았고, ‘정보통신업(60.5%)’, ‘기타 서비스업(49.2%)’ 등이 그 다음으로 많았다.

개인정보보호 유출 위협 가장 우려, 예산확보 큰 어려움

국내 기업들이 가장 우려하는 정보보호 위협 요인은 ‘개인정보 유출 위협’이 59.1%로 가장 높게 나타났다. 다음으로 ‘인터넷 침해사고 위협(해킹, 악성코드, DDoS, 랜섬웨어 등)’이 56.7%, ‘시스템 및 네트워크 장애’ 43.0%로 조사됐다.

실제로 정보보호 정책에 포함하고 있는 위협요소로 역시 ‘개인정보 유출 위협’이 82.8%로 가장 높게 나타났다. 다음으로 ‘인터넷 침해위협(해킹, 악성코드, DDoS, 랜섬웨어 등)(65.2%)’, ‘시스템 및 네트워크 장애(30.1%)’ 등의 순이었다.

정보보호 활동에서 가장 어려움을 느끼는 사항으로는 ‘정보보호 예산 확보’(60.7%)가 첫 손에 꼽혔다. ‘정보보호 전문인력 확보’(45.9%), ‘정보보호 담당 인력 운용(관리)’(19.7%), ‘필요한 정보보호 제품 및 서비스를 찾기 어려움’(13.9%), ‘정보보호 교육 프로그램 운영’(10.7%) 등도 애로사항으로 지목됐다.

이번 실태조사는 네트워크를 보유한 종사자 수 1인 이상 사업체 7500개 기업과 만 12∼69세 인터넷 이용자 4000명을 대상으로 진행됐다. 전체 조사 결과를 담은 보고서는 KISIA(www.kisia.or.kr) 홈페이지 자료실에 게시돼 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network


[바이라인플러스 7월 무료 웨비나 ]
  • 진화된 클라우드 보안 방안과 제로트러스트 업무환경 구현
    날짜 : 2022년 7월 6일 (수)
    시간 : 13:10 ~ 17:35
    자세히보기