기업 사이버테러대응 `무방비`

　사이버 테러에 대한 민간기업들의 정보보안 수준이 여전히 미흡한 것으로 조사됐다.

　정보통신부는 지난 21일 금융·통신 등 31개 민간기업을 대상으로 사이버테러 대응훈련을 실시한 결과 대다수 기업들이 해킹이나 내부시스템에 대한 접근시도를 탐지하지 못하는 등 정보시스템에 대한 보안에 문제점을 드러냈다고 22일 밝혔다.

　정통부에 따르면 이번 사이버테러 대응훈련에서 해킹을 위한 취약점 탐색공격을 6차례 실시한 결과 단 한번도 공격을 탐지하지 못한 업체는 5개 기업(16%)이었고 1∼3번 탐지해낸 업체는 11개사(35%), 4∼5번은 7개사(23%)였으며 6차례의 해킹시도를 모두 탐지한 업체는 8개사(26%)로 평균 탐지율은 55%에 불과했다.

　훈련대상 업체들이 해킹공격을 탐지해내는 데 걸린 시간은 30분 이내가 9개(29%) 기업에 불과했으며 30분∼1시간은 9개사(29%), 1시간 이상 걸린 업체와 대응조차 하지 못한 기업은 각각 8개사(26%), 5개사(16%)에 달했다.

　모의침투를 실시한 결과 내부 공유네트워크에 접근가능한 업체는 4개사, 홈페이지용 데이터베이스에 접근가능한 업체는 1개사, 웹 서버의 보안취약점이 발견된 업체는 2개사, 웹페이지 설정오류와 내부 네트워크 정보가 공개된 업체는 각각 1개사 등 총 9개 업체가 보안상 취약점을 드러냈다.

　또 수신자의 호기심을 자극하는 제목의 모의 바이러스를 훈련대상 업체의 PC 310대에 유포한 결과 총 47대(15.2%)가 바이러스에 감염된 PC에 대해 사내안내, 백신검사, 바이러스 월 점검 등을 실시한 기업은 훈련대상 40%에 그쳐 기업 종사자들의 바이러스에 대한 경각심 및 조직차원의 대응능력도 여전히 부족한 것으로 나타났다.

　반면 올 상반기 이슈가 됐던 국내 서버시스템의 스팸메일 중계지 이용가능성을 평가하기 위해 메일서버 및 프락시 서버를 점검한 결과 문제점이 발견된 업체는 없는 것으로 조사됐다.

　정통부는 이번 사이버테러 대응훈련을 분석한 결과 여전히 민간기업들의 해킹, 바이러스에 대한 위험성 인식과 예방수칙 준수 등 정보보호 마인드가 확립되지 않고 있는 것으로 평가했다.

　정통부는 이처럼 기업들의 정보보안 수준이 낮은 것은 기업들이 기업정보화 및 e비즈니스 등은 활발하게 추진하고 있으나 정보보호에 대한 투자는 정보화 이후로 생각하는 경향이 있어 관련 인력 및 예산을 확보하지 못하고 있기 때문으로 풀이했다.

　정통부는 이번 훈련결과를 토대로 민간기업의 최고경영자(CEO), 정보담당임원(CIO)을 대상으로 정보보호 교육 및 세미나, 우수 정보보호기업 포상 등을 실시하는 한편 맞춤형 정보보호 가이드라인을 보급하는 등 기업들의 정보보호 지원책을 마련, 시행키로 했다. 또 인터넷 뱅킹, 전자상거래 등의 활성화에 대비해 가정 및 학교 등 개인사용자들의 정보보호 마인드 확산을 위해 공익광고 캠페인, 악성코드 대청소 등을 실시할 계획이다.

　<이경우기자 kwlee@etnews.co.kr>