Home > Security

인도, 사이버 보안 강화 위해 고객정보 보관 의무화 시행

  |  입력 : 2022-08-06 13:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보보호 및 보안정책 강화로 증가하는 사이버 공격에 대응

[보안뉴스 엄호식 기자] 지난 7월 19일 아자이 쿠마르 미슈라(Ajay Kumar Mishra) 인도 내무부 장관(Minister of Home Affairs)은 인도 국회 대정부질의에서 지난 3년간 300만건이 넘는 공격이 시도됐으며, 2022년 1월부터 6월까지 67만 4,021건의 사이버 공격이 발생했다고 밝혔다. 그리고 인도 정부는 사이버 공격에 대응하기 위해 사이버 보안 태세를 강화하고 사이버 위협 취약성 권고와 대응, 보호 등 사이버 공격을 방어하기 위한 다양한 조치를 진행하고 있다고 덧붙였다.

[이미지=utoimage]


인도 사이버 보안 제품시장 2023년까지 연평균 39.84% 증가 예상
인도 데이터보안위원회(DSCI : Data Security Council of India)의 인도 사이버 보안산업(India Cybersecurity Industry) 보고서에 따르면 인도 내 사이버 보안 제품시장은 2019년 43억 달러에서 2021년 85억 달러로 증가했다. 2018년부터 2023년까지 연평균 성장률은 30.84%로 전망되는 등 매우 빠르게 성장하고 있다. 인도에서는 은행 및 금융서비스에 대한 수요가 높으며 IT업계를 비롯해 산업 전반에 걸쳐 수요가 고르게 분포하고 있다.

▲인도 사이버 보안제품 분야별 시장 구성[자료=DSCI]


분야별 사이버 보안 수요는 관리형 보안 서비스(MSS : Managed Security Service)에 대한 수요가 63%로 가장 높았으며, 클라우드 보안과 인프라 및 네트워크 보안이 각각 58%와 42%로 뒤를 이었다.

▲인도 분야별 사이버 보안 수요[자료=DSCI]


인도의 사이버 보안 공격 건수를 자세히 살펴보면 2019년에는 39만 4,499건이었으나 2020년에는 115만 8,208건으로 전년대비 193.6% 증가했으며, 2021년에는 140만 2,809건으로 전년대비 21% 증가했다. 그리고 2022년에는 6월까지 67만 4,021건의 사이버 보안 공격이 발생했다.

▲인도 사이버 보안 공격 건수(단위 : 건)[자료=CERT-In]


인도 CERT-In, 보안 취약점 개선 정책 발표
인도 사이버 보안을 담당하는 CERT-In(Computer Emergency Response Team)은 4월 28일, △사이버 보안 사고 보고 기한 단축 △사이버 보안사고 정의 확대 △시스템 정책 등을 담은 사이버 보안 취약점 개선을 위한 정책을 발표했다.

기존(2013년)에는 사이버 보안 사고와 관련해 사고 보고 기한을 구체적으로 정하지 않았다. 이에 합리적인 기한 내(Reasonable Time Frame)로 된 기존 규정을 6시간 내로 구체화했지만, 업계는 불만을 토로하고 있다. 인도 소프트웨어 연합체는 최소 72시간은 돼야 한다고 했지만 단축된 시간과 관련해 해당업체들은 업무 처리 방식 개선과 신규 시스템을 빨리 도입해야 할 것으로 보인다.

사이버 보안 사고 범위에 대해서도 ①데이터 침해 ②데이터 유출 ③사물인터넷(IoT) 장치 및 관련 시스템·네트워크·소프트웨어 및 서버에 대한 공격 ④디지털 결제 시스템에 영향을 미치는 공격 또는 사건 ⑤악성 모바일 앱을 통한 공격 ⑥소셜 미디어 계정에 대한 무단 액세스 ⑦클라우드 컴퓨팅 시스템·서버·소프트웨어·애플리케이션에 영향을 미치는 공격 또는 악의적·의심스러운 활동 ⑧빅 데이터·블록체인·가상 자산·가상 자산 거래소(교환)·보관 지갑·로봇 공학·3D 및 4D 프린팅 ·적층 제조(Additive Manufacturing) 및 드론 공격 관련 시스템·서버·네트워크·소프트웨어·응용 프로그램에 영향을 미치는 공경 또는 악의적·의심스러운 활동 ⑨인공지능(AI) alc 머신 러닝(ML)과 관련된 시스템과 서버·소프트웨어·애플리케이션에 영향을 미치는 공격 또는 악의적·의심스러운 활동 등으로 구체화했다.

[이미지=utoimage]


시스템 정책에 대해서는 데이터센터와 가상 사설 서버((VPS : Virtual Private Server) 제공업체, 클라우드 솔루션 공급자(CSP : Cloud Solution Provider) 및 가상 사설망(VPN : Virtual Private Network) 제공업체 등에 고객정보 의무 보유 규정을 부과했으며, 특정 보안 사고 발생 시 이들에게 해당 정보를 요구할 수 있게 했다. 의무 보유 사항은 △가입자·고객의 확인된 이름 △날짜를 포함한 구독 기간 △회원에게 할당·사용 중인 IP △등록 시 사용한 이메일 주소와 IP 주소 및 타임스탬프 △서비스 가입 목적 △확인된 주소와 연락처 △서비스를 이용하는 가입자·고객의 지분관계(Ownership Pattern) 등이다.

사이버 보안 취약점 개선 정책, 업체는 반발
KOTRA 암바다드 무역관은 사이버 보안 사고 범위에 대해 “워낙 사이버 보안 사고를 포괄적으로 정의하고 있어 어떻게 관리를 할지 추이를 지켜봐야 할 것으로 보인다”고 밝혔다.

인도의 사이버 보안과 관련한 업계는 시스템 정책에 대해 논란이 크다. 특히, 고객의 익명성이 중요한 인도의 주요한 VPN 제공업체인 ExpressVPN과 Surfshark, 그리고 Nord VPN은 각각 6월 2일과 8일, 그리고 26일 인도 정부 정책을 이유로 인도 내 서버 가동을 중지했다. 또, 메타(Facebook)와 구글, 애플, 아마존, 마이크로소프트 등 인도 내 11개 글로벌 기업은 대인도 정부 서한을 통해 해당 정책이 인도 내 사업을 어렵게 할 것이며 사이버 보안을 강화하기 보다 오히려 약화시킬 것이라고 밝혔다.

하지만 CERT-In은 6월에 진행한 관련 업계의 의견 청취 자리에서 정책을 그대로 이행할 것이라고 밝혔으며, 대신 중소기업의 준비기간을 고려해 시행일을 6월 27일에서 9월 25일로 연기했다.

사이버 환경에 익숙하지 않아 범죄 타깃되는 인도 국민들
아누팜 바하트나가르 인도 구자라트 GESIA IT 협회 사무총장은 KOTRA 암바다드 무역관과의 인터뷰를 통해 “인도의 사이버 보안산업은 매년 50% 가까운 성장률을 보이고 있어 엄격한 관리가 필요하다”고 전했다. 이어 “인도는 인구수가 많지만 대다수가 사이버 환경에 익숙하지 않기 때문에 사이버 사기 등 신규 형태의 범죄에 다킷이 되는 경우를 발견한다”고 덧붙었다. 이어 한국 기업들에 대해서는 인공지능(AI) 분야에서 인도기업과 협력했으면 좋겠다는 바람을 전하기도 했다.

KOTRA 암바다드 무역관은 “새로운 정부 정책이 도입될 때 새로운 사업기회가 생겨난다. 특히, 관리 보안이나 클라우드 보안, 인프라 보안 등의 분야가 성장가능성이 높다”라며 폭발적으로 증가하는 인도 사이버 보안 시장에 대해 우리나라 사이버 보안 업계가 관심을 가지고 눈여겨봐야 할 것이라고 조언했다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)