1.25대란-1675억원·3.20사이버테러-8672억원·기술유출-37조원

미래부 홍진배 과장, “기업 대다수 보안을 투자 아닌 비용으로 인식”

“기존 ICT기술의 보안위협, ICT 산업으로 확산...대비 필요”

[보안뉴스 김경애] 사이버범죄로 인한 경제적 손실 금액이 연간 약 452조원으로 추산돼 정보보호의 중요성이 더욱 커지고 있다. 그럼에도 불구하고 아직도 대다수의 기업들이 보안을 비용으로 인식하는 경우가 적지 않다.

국내 주요 피해 사례 및 비용을 살펴보면 전 세계 인터넷 접속장애를 일으킨 1.25대란의 경우 1055억원~1675억원, 방송국, 은행 등 주요 전산망을 마비시킨 3.20사이버테러 8672억원, 와이브로, 선박 건조 철강공정 등 핵심기술 유출피해액수가 2조 8천억원~37조원으로 각각 조사됐다.

태풍, 홍수, 호우 등 지난 10년간 자연재난 평균 피해금액은 7942억원이며, 작년을 기준으로 자연재해 피해액수는 2.7조원, 사이버공격 피해액은 3.6조원이다. 이는 사이버공격 피해가 자연재난 피해금액을 넘는 수준으로, 전세계 GDP 0.8% 수준의 사회적 비용이 유발되고 있다는 셈이다.  

이처럼 사이버침해는 개인의 금전탈취는 물론 기업의 경영자산을 탈취하고 국가안보까지 위협하는 등 광범위하게 발생하고 있다. 게다가 사이버보안 위협은 사물인터넷(IoT)과 사이버물리 시스템(CPS)의 등장으로 새로운 위협이 더해지고 있다.

좀더 구체적으로 보면 유무선 인프라가 고도화되면서 디바이스의 스마트화->초 연결사회->IoT와/CPS로 연결돼 이에 따른 보안위협도 증가한다는 얘기다. 이는 이전의 정보 유출과 금전적인 피해을 넘어 시스템 정지 또는 생명 위협으로까지 심각해지고 있는 것이다.

그럼에도 불구하고 아직도 수많은 기업들은 정보보호를 투자가 아닌 비용으로 인식하고 있다. 이와 관련 미래창조과학부 정보보호정책과 홍진배 과장은 국가사이버안보정책포럼 워크숍에서 “기업에서 정보보호정책 수립시 IT 정보보호 분야에 5% 이상 투자하는 기업이 많지 않다”며 “미국은 40%인 반면 한국은 3%에 불과해 외국에 비해 투자가 인색하다”고 지적했다. 그 이유로는 아직도 정보보호를 비용으로 인식하는 기업이 많기 때문이라고 지적했다.

반면 ICT 융·복합의 가속화로 보안위협이 ICT 산업 전반으로 확산되면서 융합보안이 정보보호산업의 신시장으로 부각되고 있다. 미국와 유럽연합에서는 융합보안을 홈랜드 시큐리티(Homeland Security) 산업으로 분류하고 있으며, 2018년까지 세계시장은 약 2461억불에 이를 것으로 예측된다.

▲ 미래창조과학부 홍진배 과장

이렇듯 점차 심각해지고 있는 보안위협의 대응 수준을 높이기 위해 홍 과장은 △정보보호관리체게(ISMS) 구축 △시큐리티 전문 전담 인력배치 △CISO와 CIO 분리 지정 △서비스 가용성·연속성 확보 조치 △외부 전문가 모의해킹 △최신기술 도입 및 시뮬레이션 훈련 △물리적 보안 강화 등의 방법을 제시했다.

이와 관련 홍 과장은 “기업에서 보안 전담인력 배치는 고려하고 있는 반면 전문인력 배치는 아직도 미흡한 실정”이라며, “CISO와 CIO를 겸직하는 경우도 상당수다.  설사 겸직하지 않더라도 CIO 밑에 CISO를 두는 경우가 적지 않기 때문에 별도의 동등한 조직체계로 구성되어야 한다”고 지적했다.

또한 그는 “기업에서 화이트해커와 같은 외부전문가를 적극 활용해 자체적으로 모의해킹 등을 실시해야 한다. 그래야 미쳐 생각하지 못한 보안취약점을 발견할 수 있고, 피해를 예방할 수 있다. 이를 위해선 물리적 보안체계 구축과 주기적인 점검도 병행해야 한다”고 설명했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>