보안이 상대적으로 취약한 중소기업들을 대상으로 하는 사이버 공격이 늘고 있다. 특히 기업의 인프라 중에서도 네트워크 분야의 보안이 취약하다는 조사결과가 나왔다.

한국인터넷진흥원(KISA)은 18일 2021년 기업의 주요 시스템과 인프라 운영환경 보안 취약점을 분석한 결과 점검 기업의 88%가 네트워크 분야에서 취약하다는 결과를 얻었다고 밝혔다.

2021년 취약점 분야별 점검 결과 / KISA
2021년 취약점 분야별 점검 결과 / KISA
클라우드와 서버, 유무선공유기, 서버, 데이터베이스도 절반 이상 기업이 보안에 취약한 것으로 나타났다.

네트워크 분야는 시스템 운영환경과 업무환경의 분리 운영이 미흡(93%), 네트워크 영역 간 접근통제 미흡(90.9%), 원격 연결 시 안전한 보호대책 미흡(85.7%) 등이 보안 취약의 원인으로 분석됐다.

배승권 방역점검팀 팀장은 "시스템 운영환경과 업무환경의 분리 운영이 미흡한 기업의 경우, 업무망과 서버망을 분리 운영하고, 방화벽을 통해 비인가자 접근할 수 없도록 통제하도록 조치했다"며 "유무선 공유기의 경우 네트워크 이름을 숨기고 패스워드를 강도있게 설정하는 등 무선 네트워크 보호대책을 강화하는 조치를 취한다"고 말했다.

이어 "서버 등 주요 시스템에서는 서비스 기본설정을 변경하고 계정 잠금 설정, 로그인 횟수 제한, 세션 타임아웃을 설정해야 한다"며 "로그관리 미흡 사례가 많은 데이터베이스는 해킹과 장애에 대한 원인 분석을 위해 접근과 행위정보를 기록해서 관리해야 한다"고 조치 방법에 대해 설명했다.

배 팀장은 중소기업의 클라우드 활용이 늘고 있는 만큼 각 업무와 역할에 맞도록 계정을 분리하고 필요한 만큼의 권한만 부여해야 한다고 강조했다. 그는 "점검 기업 중 63%가 클라우드 환경을 이용 중이었다"며 "계정 관리와 권한 검토가 미흡한 사례가 가장 많았으며, 관리자 콘솔 접근 제어를 미 설정한 경우도 있었다"고 말했다.

기업의 정보보호 정책과 조직의 중요성에 대해서도 언급했다. 2021년 정보보호 실태조사에 따르면 기업의 정보보호 정책 보유율은 27%, 정보보호 조직 보유율은 11.6%에 그쳤다. 기업의 규모가 클수록 정보보호 중요성에 대한 인식이 높지만, 규모가 작을수록 정보보호 정책과 조직을 보유하고 있는 비율이 낮았다.

정보보호 조직 여부에 따른 보안수준 / KISA
정보보호 조직 여부에 따른 보안수준 / KISA
배 팀장은 "현장 점검 기업 조사 결과 정보보호 조직을 보유한 기업의 보안 수준(42.8점)이 그렇지 않은 기업(31점)보다 상대적으로 높은 것으로 나타났다"며 "기업의 IT 환경이 변화하고 보안위협이 증가로 보호해야 할 대상이 많아지고 잇으므로 정보보호 조직을 통해 보안 위협에 대비하고 체계적인 보완관리가 지속적으로 이뤄질 수 있도록 해야한다"고 말했다.

이어 "취약점이 발견됐다고 해서 해킹사고가 발생한 것은 아니지만, 방치한다면 공격에 쉽게 당할 수밖에 없으므로 정보보호 조직 운영을 통해 사전 예방활동을 해야 한다"고 강조했다.

KISA는 7월말 주요 보안 취약점 사례를 설명하고, 다른 기업들도 참고할 수 있도록 매뉴얼을 만들어 배포할 예정이다. 이 밖에도 보안 취약점 점검 분야를 메타버스, 대체 불가 토큰(NFT)와 같은 신기술 활용을 운영하는 기업들을 대상으로 확대할 계획이다.

류은주 기자 riswell@chosunbiz.com