해킹 피해 없다고 방치하면 “쉬운 공격대상 된다”

[산업일보]
비대면 업무, 디지털 전환 등 기업의 업무환경 변화로 IT 환경이 점점 복잡해지면서 정보보안의 필요성도 높아지고 있다.

한국인터넷진흥원(KISA) 방역점검팀 배승권 팀장은 15일 온라인으로 진행한 이슈앤톡에서 ‘중소기업 보안 취약 사례 및 조치방안’에 대해 발표했다.

이에 따르면, 코로나팬데믹 이후 재택근무, 화상회의 등 비대면 업무환경으로 전환하면서 기업의 인프라가 클라우드 환경으로 변화됐다. 또한 산업의 디지털 전환도 지속되면서 기업의 환경변화 및 보안 위협이 증가하고 있다고 분석했다.

하지만 지난해 정보보호 실태조사에 따르면 응답자의 약 73%는 침해사고에 대해 변다른 활동을 하지 않는 것으로 나타났다.

배승권 팀장은 네트워크, 유무선공유기, 클라우드, 서버, 데이터베이스, PC 등에서 주로 취약점이 발견됐다고 밝혔다.

이에 대한 조치방안으로 배 팀장은 “네트워크의 경우 업무망과 서버망을 분리 운영하고 방화벽을 통해 비인가자가 접근할 수 없도록 통제해야 한다. 클라우드의 경우에는 각 업무와 역할에 맞도록 계정을 분리하고 필요한 만큼의 권한을 부여할 필요가 있다”라고 당부했다.

이어 “서버 등 주요 시스템은 서비스 기본 설정을 변경하거나 계정 잠금 설정 등을 통해 취약점 노출을 최소화해야 한다”라고 설명했다.

취약점 노출이 해킹으로 이어지지 않더라도 방치해서는 안 될 것으로 보인다.

배팀장은 “기업에서 당장 눈에 보이는 피해가 없더라도 보안 취약점을 조치하지 않고 방치한다면 공격에 쉽게 당할 수밖에 없다”라고 지적했다.

그는 정보보호조직 운영 및 정보보호 예산 투자 등 기업의 사전 예방 활동이 중요하다며, 취약 사례 중 일부는 별도의 예산 없이도 단기간에 조치가 가능한 항목도 있으므로 보안에 대한 관심을 가져야 한다고 촉구했다.

한편, KISA는 중소영세 기업 보호를 위해 소프트웨어 개발 보안 진단 웹, 보안 도구 보급, 보안 취약점 점검, 내서버 돌봄이 등 다양한 정보보안 서비스를 제공하고 있다.