|
4일 업계에 따르면 전 세계적으로 비영리 조직에 대한 해킹 공격에 대한 주의가 최근 들어 더욱 강화되고 있다.
미국 보안업체 크라우드스트라이크(CrowdStrike)는 최근 발간한 위협분석 전망 보고서에서 ‘중국과 미국 사이 갈등’ 부각과 ‘북한의 잠재적 핵 위협’에 따라 미국 내 시스템에 대한 공격이 증가하고 있다며 “비정부기구(NGO)나 싱크탱크(민간 연구기관) 등 ‘소프트타겟(Soft Target)’에 대한 공격에 주의해야 한다”고 강조했다. 소프트타겟은 흔히 방비가 상대적으로 허술한 공격 대상을 의미하는 말로, 정부기관이나 대기업처럼 방비를 철저히하고 있는 ‘하드타겟(Hard Target)’과 대비되는 개념이다. 물리적인 테러 행위의 경우 일반 시민이나 관광객을 소프트타겟이라고 부르고, 군 부대나 정부청사, 대기업 사옥 같은 곳을 하드타겟이라고 본다.
NGO 단체나 싱크탱크 외에도 학교, 병원, 복지단체 등을 포함하는 비영리기관은 기업이나 정부 조직에 비해 상대적으로 보안 예산이 적고, 이 때문에 보안 체계도 취약하기 마련이다. 다른 한편으로는 조직 특성상 민감한 개인정보를 많이 보관하고, 정부나 다른 기업의 망과 연동돼있다는 점도 있다. 기본적인 집 주소나 전화번호를 비롯해 의료 정보, 채무 정보, 정부 정책 관련 자료 등 해커가 공격대상으로 삼기 좋은 특성을 고루 갖추고 있다.
보안 업계 관계자는 “많은 경우 정부의 예산 지원이 따로 편성되지 않는 한 이들 기관은 보안 솔루션이나 서비스 도입을 미루는 특성이 있다”며 “전반적인 보안 의식도 그리 높지 않은 편”이라고 말했다.
이런 흐름은 미국와 우리나라뿐 아니라 호주, 유럽 등 전 세계적으로 일어나는 현상이다. 미국과 유럽에서는 지난 2015년부터 병원에 대한 랜섬웨어 공격으로 진료가 마비되는 등 사회적으로도 크게 화두가 된 바 있었다. 북한 해커들도 2016년 6월부터 국내 안보 관련 민간기관이나 학회 등에 대한 공격을 진행한 바 있었다.
현재 대학과 종합병원 등은 사이버 보안 체계에 대한 정부 인증인 ‘정보보호관리체계(ISMS) 인증’을 받도록 돼있지만 다른 기관의 경우 명확한 규정이 없다. ISMS 인증 대상으로 규정된 대학조차도 교육부의 진단을 받는다는 이유로 ISMS 인증에 대해 2년 넘게 거부 움직임을 보이고 있는 실정이다. 그러는 사이 북한, 중국, 러시아 등지에서 유입되는 해킹 위협은 계속되고 있는 실정이다.
현재 과학기술정보통신부와 행정안전부, 한국인터넷진흥원 등은 비영리기관에 대한 정보보호·개인정보보호 전반에 대한 지원을 추진하고 있다. 하지만 예산 지원과 비영리기관들의 보안 인식 제고가 이뤄지지 않는 한 근본적인 변화는 어렵다는 지적이 이어진다.