정부가 역량을 갖춘 민간 기업에 침해사고 분석을 맡겨 나날이 급증하는 사이버 침해사고에 대응한다. 민간 기업이 일반 침해사고를 분석하는 대신 한국인터넷진흥원(KISA)은 국가 대상 대규모 공격 등 중요도가 높은 사고에 집중할 계획이다.
2일 정보보호산업계와 KISA에 따르면, KISA는 침해사고 분석 전문기업 지정제도 도입을 위한 방안 마련과 법적 근거 확보를 위한 연구에 착수했다.
KISA가 침해사고 분석 전문기업을 지정하려는 것은 사이버 침해사고는 해마다 늘어나는 반면 KISA 내 침해사고 분석 인력은 턱없이 부족해서다. KISA의 '사이버 위협 동향 보고서'에 따르면, 2021년 640건이던 침해사고 건수는 2022년 1142건으로 약 78% 급증한 데 이어 지난해 1277건으로 증가세를 보이고 있다. 이에 비해 KISA 내 침해사고 분석 인력은 20명에 불과하다. 단순 계산하면 지난해 인력 1명당 64건의 침해사고 분석을 수행한 꼴이다.
전문기업은 침해사고 피해기업의 의뢰를 받아 원인분석과 재발 방지 조치계획 수립·점검 등을 수행한다. 전문기업 지정제도가 본격 도입되면, 분석 여력이 있는 피해기업은 자체적으로 침해사고를 분석하고, 그렇지 않은 기업은 전문기업을 통해 사고 분석을 수행한다. 피해기업은 조사 결과를 KISA에 제출하고, KISA는 조사 결과를 검토해 분석 조치 사항이 미흡할 경우 보완을 요청하는 식으로 침해사고 분석과 후속조치가 이뤄진다.
KISA 관계자는 “대다수 피해기업이 예산·인력 등 부족으로 자체 사고 원인분석과 재발 방지를 위한 조치가 어렵고, 외주 분석의 경우 어떤 기업에 의뢰해야 할지도 모르는 실정”이라면서 “피해기업이 전문기업을 활용해 침해사고를 대응할 수 있도록 제도화를 추진하고 있다”고 설명했다.
전문기업은 침해사고 분석 전문기업으로서 사고 분석 역량 등 자격요건을 갖춘 기업이 대상이 될 전망이다. 전문기업 수는 지정제도 도입 시 자격요건에 부합되는 기업이 선별되면서 정해질 예정이다.
KISA는 또 현재 운영 중인 정보보호 전문서비스 기업 지정제도와 보안관제 전문기업 지정제도 등과 같이 과학기술정보통신부 고시 등 법적 근거를 마련할 예정이다. 2011년 7월 시행한 보안관제 전문기업의 경우, SK쉴더스, 삼성SDS, LGCNS, 안랩, 이글루코퍼레이션, 파이오링크 등 20여개 회사가 국가 공공기관 보안관제 센터 운영을 지원하고 있다.
KISA 관계자는 “침해사고가 급증하는 데 반해 KISA 분석 인력은 제한적”이라면서 “KISA는 사회적 이슈·국가 대상 대규모 공격 등 중요도가 높은 사고에 집중 대응하고, 이외의 일반 사고는 전문기업이 전담해 상호 보완적인 협력을 추진할 것”이라고 말했다.
조재학 기자 2jh@etnews.com