KISA “보안 여력 부족한 기업 적극 지원, 올해 종합 서비스 선보일 것”

늘어나는 사이버 침해 사고. 상대적으로 예방 시스템 구축이 어려운 중소기업이 주로 피해를 입는 가운데 재발 방지를 위한 노력이 계속되고 있다. 한국인터넷진흥원(KISA)은 기업의 보안 위협을 사전에 제거하기 위한 맞춤형 점검을 확대하고, 중소기업의 소프트웨어(SW) 개발 단계에서 일어나는 취약점을 진단하는 등 침해사고 예방체계에 힘을 보탠다.

2일 KISA는 올해 침해사고 예방 체계를 더 고도화할 예정이라고 밝혔다. 예산과 인력이 부족해 보안 취약점 관리에 어려움을 겪는 기업을 대상으로 맞춤형 점검 서비스를 제공하고 종류도 늘린다.

임진수 KISA 침해예방단장.(사진=KISA)

임진수 KISA 침해예방단장은 “사이버 침해사고 예방체인을 통해 기업의 사고 대응 체계 구축을 지원하고 있다”고 강조했다. 기업 규모가 작을수록 정보보호 조직을 갖추지 못한 경우가 많다는 게 임 단장의 설명이다.

2023년 정보보호실태조사에 따르면 기업의 42.2%는 정보보호 관련 예산이 없거나 사용하지 않은 것으로 나타났다. 임직원 250명 이상 기업 중 정보보호 조직을 보유한 곳은 70.6%였지만 임직원 10~49명인 기업에선 27.4%에 불과했다.

이에 KISA는 SW 약점 진단을 비롯해 IT 인프라 점검,  해킹 메일이나 디도스 공격을 막을 수 있는지 확인하는 모의 훈련, 디도스 사이버 대피소 등 개발 단계부터 점검, 관리 단계까지 모두 아우르는 지원 체계를 구축했다.

중소기업이 SW를 개발하는 단계의 약점을 진단하는 서비스로 보안성을 높인다. SW에 존재하는 잠재적인 위협을 사전에 확인해 제거한다. 임진수 단장은 “SW 개발 단계에서 소스코드의 보안 약점을 파악해 해커들이 공격 대상으로 삼는 것을 예방하는 취지”라고 설명했다.

경기도 성남에 위치한 SW개발 보안허브를 통해 49개 항목을 점검하고 각 약점별 수정·보완 세부방안 가이드를 제공한다. 또 전문가들이 기업에 직접 방문해 외부로 공개하기 힘든 소스코드를 직접 점검해준다.

올해는 별도로 신청이 없더라도 국내외 보안 이슈와 기존에 침해 사고 여부 등을 고려해 우선 점검 기업을 선정해 맞춤형 진단을 제공할 계획이다.

또한 웹취약점과 IT 인프라 점검, 서버 점검 등 기업이 보안 위협을 사전 제거할 수 있는 점검 서비스를 제공한다. 별도의 전문가를 초빙하기 힘들거나 점검 체계를 구축하기 힘든 기업들을 위한 서비스다.

실제 해킹 공격 기법을 활용해 보안 현황을 점검하는 ‘모의침투’, 앱과 홈페이지, 네트워크 내부 업무망 등에 대한 취약점을 점검하는 ‘보안점검’ 서비스를 제공한다. 또한 중소기업 서버를 원격으로 점검하는 ‘내서버돌보미’ 서비스를 제공하는 가운데, 국민생활과 밀접한 사업자를 대상으로 모의침투 서비스 대상을 확대한다.

2022년 말 개방한 ‘사이버 시큐리티 훈련 플랫폼’도 고도화했다. 최근 ‘탐지 대응’을 훈련 항목에 새로 추가했다. 웹 방화벽, 침입방지시스템(IPS) 등 기업 보안장비에 로그4J(Log4J) 취약점이 있는지 탐지한다. 기존 훈련 항목이 ▲해킹메일 ▲디도스 ▲웹 취약점 점검 등 3종이었던 것에서 총 4종으로 훈련 항목을 늘렸다.

플랫폼의 효과는 이미 입증됐다. 1차례만 훈련에 참여한 기업의 감염률은 4.9%였지만, 3회 이상 반복적으로 참여한 기업의 감염률은 2.1%로 감소하는 등 예방 효과가 가시적으로 나타났다는 설명이다.

영세·중소기업을 위한 디도스 공격방어 서비스도 제공한다. 디도스 트래픽을 사이버대피소로 우회시키고 정상 트래픽만 전달해 기업의 원활한 운영을 지원하는 서비스다. 임 단장은 “KISA는 올해 디도스뿐 아니라 SQL 인젝션 등 웹 해킹 전반을 방어하는 종합보안 서비스를 선보일 방침”이라고 전했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다