[아이뉴스24 박진영 기자] 기업 보안이 중요하다고 손들었으나 그에 따른 대책 마련은 손을 놓고 있다
최근 기존 온프레미스 중심에서 클라우드로 기업 인프라가 변화함에 따라 업무 환경의 복잡성이 높아지고 있는 추세다. 코로나19 팬데믹 후 재택근무, 화상회의 등 비대면 업무가 늘어났고, 스마트 공장, 자율주행, 드론 등 기술 산업의 디지털 전환이 빨라지고 있음에도 불구하고 보안에는 무신경이다.
이 가운데 로그4j 취약점 문제의 공급망, 사물인터넷 기기 대상, 클라우드 보안 등에 대한 다양한 사이버 위협이 늘어났고 있는 상황이라 주의가 요구된다.
KISA의 지난해 정보보호 실태조사에 따르면, 기업의 88% 이상이 정보보호 및 개인정보보호가 중요하다고 인식한 반면, 기업의 73%가 침해사고 대응을 위한 별다른 활동을 하지 않는 것으로 나타났다. 기업규모가 클수록 정보보호 중요성 인식이 높은 것으로 조사됐다.
![KISA 보안 취약점 점검 서비스 [사진=한국인터넷진흥원]](https://image.inews24.com/v1/4635de7996afdb.jpg)
◆ 보안 취약한 중소기업 살리기 나서
이에 따라 KISA는 중소기업을 대상으로 '보안 취약점 점검 서비스'를 실시한다. 총 350개 서비스 및 기업이 대상이며, 신청은 선착순이다. 지원 대상은 원격근무, 의료, 교육 등 비대면 다중 이용 서비스를 제공하거나, 메타버스·대체불가토큰(NFT) 등 신기술 관련 서비스를 제공하는 중소기업이다.
보안취약점 점검 범위는 구체적으로 ▲대외서비스(모바일·홈페이지) ▲외부 공개 서버 ▲네트워크(라우터·방화벽·스위치) ▲기업 내부 업무망(업무용 PC·서버) 등이다.
![보안 취약점 점검범위 [사진=한국인터넷진흥원]](https://image.inews24.com/v1/07e1839acd8759.jpg)
KISA에 따르면, 네트워크에서 주요 취약점 사례는 ▲시스템 운영 환경 및 업무환경 분리 운영 미흡(93%) ▲네트워크 영역 간 접근 통제 미흡(90.9%) ▲원격 연결 시 안전한 보호대책 미흡(85.7%) ▲주요 목적 시스템의 분리 운영 미흡(53.1%) 등이다. KISA 측은 업무망과 서버망을 분리 운영하고 방화벽을 통해 비 인가자가 접근할 수 없도록 통제해야 한다고 설명했다.
유무선 공유기의 경우 ▲무선네트워크 보호대책 미흡(95.2%) ▲불필요한 서비스 활성화(77.3%) ▲최신 펌웨어 업데이트 미적용(68.4%) 등이다. 이에 대한 조치방법으로 네트워크 이름 숨김, 패스워드 강도있게 설정하기 등을 제안했다.
서버 등 주요 시스템에 대한 주요 취약점은 ▲안전한 인증 및 세션 관리 미흡(97.8%) ▲권한 상승 및 불필요한 파일 관리 미흡(94.2%) ▲로그 관리 보관 미적용(88.5%) ▲관리자 계정 최소한 사용 및 권한검토 미흡(85.7%) ▲악성코드 탐지 예방활동 미흡(82.4%) 으로 나타났다.
클라우드의 경우 ▲계정 관리 및 권한 검토 미흡(90.9%) ▲관리자 콘솔 접근 제어 미 설정(82.5%) 등이다. KISA 관계자는 "점검 기업 중 63%기업이 클라우드 환경을 이용하고 있다"면서, "클라우드 보안 강화를 위해 개발, 운영, 보안 등 각 업무와 역할에 맞도록 계정을 분리하고, 필요한 만큼의 권한만 부여해야 한다"고 강조했다.
KISA관계자는 "중소기업은 예산·인력이 부족해 방화벽, 네트워크 보안성 강화에 어려움을 겪고 있다"면서, "유무선 공유기나 PC를 통한 사이버보안 위협은 기업에서 약간의 관심만 가지면 충분히 예방할 수 있는 부분이다. 대부분 사이버 보안 사고가 관리 소홀로 인한 것인만큼 사전 예방을 통해 어느정도 보안성을 강화할 수 있을 것"고 밝혔다.
이밖에 KISA는 중소기업 대상으로 ▲내서버돌보미(원격보안점검) ▲사이버 위기대응 모의훈련 ▲웹보안도구(휘슬/캐슬) ▲SW개발보안 진단 서비스 등을 제공하고 있다.
내서버돌보미는 기업에서 운영중인 주요 서버에 대한 원격보안점검 서비스로, 올해 하반기부터 기업이 자율적으로 보안취약점을 조치할 수 있도록 '자가진단도구'를 제공할 방침이다.
사이버 위기대응 모의훈련은 기업의 보안 수준을 강화하기 위한 실전형 모의훈련으로, 중소기업의 자발적 사이버 위기 대응 역량을 향상시켜 준다. 또 기업에서 개발한 SW의 보안약점을 진단하기 위해 출장형·내방형 컨설팅도 제공한다.
/박진영 기자(sunlight@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기