보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버 공격 잘 먹히는 ‘중소기업’ 디도스 피해 급증... KISA가 해결사로 나선다

입력 : 2024-04-01 19:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
기업형 사이버 공격, 랜섬웨어 전년대비 30% 감소...디도스 공격, 2년 만에 약 60% 증가
사이버 침해사고 피해의 약 81% 중소기업 차지...민간·중소기업 정보보호 예산 및 대책 부재
KISA ‘사이버대피소’, 디도스 포함 웹 해킹 전반 방어 종합보안 서비스로 강화


[보안뉴스 이소미 기자] 지난해 국내 대표통신사가 1월과 2월, 두 차례에 걸쳐 디도스(DDoS) 공격을 받았다. 이후 인터넷 장애피해 및 고객 개인정보 유출 추가 피해 등이 발생하며 대규모 디도스 공격에 대한 경각심을 불러일으켰던 사건이다. 디도스 공격이란, 분산 서비스 공격으로 타깃이 된 서버·서비스·네트워크에 의도적으로 트래픽 과부하를 일으켜 서비스 제공이 어렵도록 마비시키는 공격을 말한다. 이처럼 사이버 공격자들은 금전 탈취 및 능력 과시 등을 목적으로 기업·기관을 노리는 랜섬웨어와 디도스 공격을 감행하고 있다.

▲KISA가 발표한 2023년 사이버 위협동향[이미지=KISA]


한국인터넷진흥원(이하 KISA)이 31일 발표한 사이버 공격 신고 현황에 따르면, 랜섬웨어는 전년대비 약 30% 감소했지만 디도스 공격은 2년 만에 약 60% 증가한 것으로 나타났다. 특히 디도스 피해는 주로 통신사·웹호스팅사를 대상으로 이루어졌는데 이는 2022년 9.8%에서 지난해 51.5%로 크게 증가한 모습을 보였다.

또한 규모가 큰 대기업의 경우 정보보호의 중요성에 대해 인식률이 상당히 높은 반면, 중소기업은 미미한 수준에 그쳐 중소·민간기업들이 사이버 공격에 취약하다는 점을 시사했다. 실제 전체 사이버 침해사고의 약 81%를 중소기업이 차지했다.

▲침해사고 예방체계 구축에 대해 설명하고 있는 KISA 임진수 침해예방단장[사진=KISA]

이와 관련해 KISA의 임진수 침해예방단장은 “규모가 적은 중소·민간기업의 경우 정보보호 예산 확보에 대한 어려움과 함께 정보보호 방법 및 대책 부재 등이 문제”라면서, “이러한 어려운 점을 해결하고 지원하기 위해 KISA는 ‘사이버 침해사고 예방체인’ 4단계를 구축했다”고 전했다.

KISA의 ‘사이버 침해사고 예방체인’은 중소기업기본법 제2조에 해당하는 ‘중소기업’ 및 ‘우선 점검기업’으로 선정된 기업들을 대상으로 타깃형 서비스를 제공하는 것을 의미한다. △1단계는 ‘개발단계’로 SW 보안약점을 진단해 SW 개발보안을 강화하고 △2단계 ‘점검단계’를 통해 기업의 보안 점검 및 조치를 확대한다. △3단계 ‘관리단계’에서는 보안관리 체계 고도화를 위한 모의훈련을 진행한다. 특히 해당 단계에서는 민간기업들을 대상으로 해킹메일·디도스공격·탐지대응훈련 및 모의침투(웹 취약점 점검) 등을 지원한다. △4단계 ‘지원단계’에서는 영세(민간)·중소기업들을 위한 디도스 공격 방어서비스 ‘사이버대피소’를 지원한다.

KISA의 사이버대피소는 디도스 공격 발생시 디도스 트래픽을 사이버대피소로 우회시켜 공격 트래픽은 차단하고, 정상 트래픽만 전달해 원활한 서비스 제공을 유지할 수 있도록 돕는다. 특히 올해부터는 디도스 공격뿐만 아니라 웹 해킹 전반을 방어하는 종합보안 서비스로 한층 강화됐다는 게 임 단장의 설명이다.


▲영세·중소기업을 위한 ‘사이버대피소’와 신청 방법 안내[이미지=KISA]


해당 서비스는 디도스 관련 비용 투자가 어려운 중소기업들을 대상으로 정부 차원에서 운영되는 디도스 공격 방어 서비스다. 따라서 도메인 웹 서비스를 이용 중인 중소기업(중소기업기본법 제2조 해당)이라면 ‘KISA 보호나라’를 통해 ‘정보보호 서비스’ 신청 후 적격심사를 거친 뒤 서비스 이용이 가능하다.

사전 등록된 웹사이트의 경우 서비스 환경 분석 및 일반적인 기술 지원을 받을 수 있으며, 디도스 공격 발생 시 방어 서비스 적용을 신청해 보호받을 수 있다. 사전 미등록 웹사이트도 ‘긴급 적용’이 가능하나 필수정보 확인(구두) 및 대피소 등록 등의 절차가 추가로 이루지므로 피해 시간을 줄이려면 사전 등록 절차를 거쳐 미리 등록해 두는 편이 빠른 조치를 받을 수 있다.

임진수 단장은 “황사가 극심한 날 마스크를 착용하는 것처럼 해킹 등의 사이버 황사 역시 피해가 발생하기 전 사전에 예방하는 것이 최선”이라고 재차 강조했다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)