보안 적색지대, 中企를 지켜라

중소기업들이 보안적색지대에 노출됐다. 피싱, 파밍, 스미싱 등 금융결제사기를 노린 악성 공격들이 기승을 부리고 있으나 금융, 대기업 등에 비해 보안조치가 전무하다시피한 중소기업들은 여전히 취약점에 그대로 노출돼 있는 것으로 나타났다. 보안시스템 투자 여력이 없고, 담당 인력도 거의 없는 실정이다.

12일 국내 보안컨설팅 전문가에게 확인한 결과 중소기업이 기존 개인정보보호법, 정보통신망법 등에 명시된 기준을 모두 충족하는 보안정책을 세울 경우 적어도 수억원의 비용이 필요하다.

이는 기업용 백신프로그램, 방화벽, 침입방지시스템(IPS), 데이터베이스(DB) 암호화 솔루션 등을 갖추고 별도의 보안담당자를 둘 경우를 산정한 것이다. 이 전문가는 중소기업들의 경우 기존에 대기업 위주로 구성된 솔루션을 가격을 맞추기 힘들다고 밝혔다. 오픈소스를 통해 보안체계를 자체적으로 구축한다고 해도 각종 보안위협에 대해 지속적으로 업데이트를 해줘야한다는 점에서 유지보수비용을 감당하기 어렵다.

상황이 이렇다 보니 중소기업 혹은 웹하드, 웹서비스 제공회사들은 해커들의 놀이터로 전락한지 오래다. 최근 공격대상으로 지목됐던 카페베네, 미스터피자 등의 홈페이지는 특별한 보안조치를 취하지 않았다. 카페베네의 경우 '디페이스먼트(홈페이지위변조)'라는 해킹공격을 당했다. 이는 홈페이지 메인화면을 다른 사진 등으로 변경시키는 것으로 지난해 중앙일보 보안전문가들은 홈페이지 메인화면을 위변조 했다는 것은 다른 서버관리권한까지 모두 탈취될 수 있는 위험이 있는 것이라고 설명한다.

이밖에도 웹하드, 기타 웹서비스 회사, 중소기업 회사 홈페이지 등은 모두 악성링크 유포지로 활용되는 일이 증가하고 있는 추세다.

국내 보안업체 빛스캔은 지난 2주간 국내에서 확인된 악성링크, 도메인, 신규 악성코드 등이 미국 다음을 많이 발견됐다고 밝혔다. 국가별 악성링크 도메인 분석결과 미국은 악성링크로 활용된 홈페이지가 11건으로 전체 건수의 52.4%를 차지했다. 한국은 10건, 47.6%로 2위를 차지했다. 대부분은 대기업보다 중소기업이나 영세기업이 운영하는 홈페이지를 통한 시도가 이뤄졌다.

더구나 보안전문가들에 따르면 최근에는 해외 IP를 통해 악성코드가 유포되던 것이 차단되는 경우가 많아지자 이를 회피하기 위해 관리가 부족한 웹사이트들이 악성코드 유포지로 활용되고 있는 추세다. 영세 웹사이트는 대부분 호스팅 서비스 회사를 통해 자사 서비스를 제공한다. 이 경우 한 대의 서버에서 다수의 웹서비스가 함께 운영되고 있기 때문에 한 곳이 공격을 당하면 전체적으로 문제가 발생한다.

■보안회사 中企 '나몰라', 공공지원은 참여부족

상황이 이런데도 보안전문회사들 중 중소기업들을 위한 솔루션을 내놓거나 이들을 위한 서비스를 제공하는 경우는 거의 없다. 안랩, 인포섹, 시큐아이닷컴 등 1천억원 매출을 달성한 보안회사들 조차도 중소기업을 대상으로 한 서비스나 솔루션은 없는 것으로 나타났다.

익명을 요구한 국내 보안회사 관계자는 보안회사들도 사업성이 높은 공공기관, 금융, 게임회사, 포털 등에만 집중하지 중소기업들을 위한 대책은 마련하지 못하고 있다고 밝혔다. 또다른 관계자는 여전히 국내 정보보안 시장 자체의 파이가 작아 중소기업까지 염두에 둘 여력이 없는 것 같다고 말했다.

중소기업들을 위한 공공차원에서의 보안조치가 아예 없는 것은 아니다. KISA과 중소기업기술지킴센터 등에서 보안서비스를 제공하고 있기 때문이다. 그러나 현실적으로 이용률이 저조하고, 중소기업 내에 이를 담당할 만한 전문인력이 없어 근본적인 대책은 되지 못하고 있다.

KISA에서는 영세기업을 대상으로 원스톱 정보보호 서비스, 분산서비스거부(DDoS) 공격에 대비한 사이버대피소, 웹 취약점 점검 모니터링 등의 서비스를 제공하고 있으나 실제로는 이용률이 저조한 편이다.

중소기업기술지킴센터의 경우 보안관제센터를 별도로 두고 중소기업들의 내부기술유출방지를 위한 서비스를 제공하고 있다. 지난 2011년 10월부터 중소기업청, 한국산업기술보호협회 등이 지원하는 센터는 현재 576개 중소기업을 대상으로 보안관제서비스를 제공하고 있다.

■中企 보안대책, 최소한의 보안취약점 개선해야

중소기업 보안 이슈는 크게 두 가지 관점에서 서로 다른 해결책이 필요하다.

먼저 웹서비스 제공하는 회사들은 서버가 악성코드에 감염되거나 악성링크를 연결시켜주는 경유지로 활용되고 있다는 점이 가장 큰 문제다. 웹서비스를 제공하는 서버를 일종의 '좀비서버'로 만들어 해커들 마음대로 악용하기 때문이다. 관리여력이 부족한 웹사이트에 대한 공격은 이미 수년전부터 문제가 되고 있지만 여전히 뾰족한 개선책은 나오고 있지 않다.

전상훈 빛스캔 이사는 보안장비를 도입하거나 KISA, 중소기업기술지킴센터 등의 지원을 받는다고 하더라도 근본적으로 문제가 된 취약점에 대한 소스코드를 수정해야 하는데 이를 담당할만한 전문가가 없는 점이 핵심문제라고 지적했다. 아무리 좋은 도구나 서비스를 통해 문제점을 찾아낸다고 하더라도 악성링크가 발견되면 서버에서 이를 삭제할 뿐 해커가 공격한 보안취약점에 대한 보완이 이뤄지지 않고 있다는 설명이다.

실제로 빛스캔에 따르면 미스터피자 웹사이트는 지난 2011년 9월부터 지난 2월28일까지 월 평균 3회 이상, 60여 차례 악성코드 유포지(악성링크)로 활용됐다. 사이트 관리자가 KISA 등의 권고에 따라 악성링크나 악성파일을 삭제 조치했음에도 해커들이 지속적으로 이 사이트를 재활용하는 일이 반복되고 있는 것이다.

이를 해결하기 위해 적어도 최소한의 보안 가이드 라인을 준수할 필요가 있다. 전 이사는 SQL인젝션이나 크로스스크립트사이트(XSS) 등 해커들이 자동화된 공격도구를 통해 클릭 한번으로 공격에 성공할 수 있는 취약점에 대해서 만이라도 시급하게 점검할 필요가 있다고 밝혔다.

■中企 보안, 채찍보다는 당근이

두 번째로 생각해 볼 점은 기술유출 관점이다. 중소기업들 대부분은 핵심기술을 연구한 뒤 이를 자사 서버에 보관하고 있다. 해커가 이들 기업의 핵심기술을 빼가기 위한 공격을 시도할 경우에는 이에 맞는 또 다른 대비책이 필요하다. 이는 현재 중소기업기술지킴센터가 맡고 있는 역할이기도 하다.

중소기업기술지킴센터는 약 3년만에 보안관제서비스 대상 중소기업 576개를 관리하고 있다. 핵심기술 유출을 우려하는 기술기업들이 대부분이다. 2011년 대상기업이 253개였다는 점을 고려하면 약 2배가 늘었다. 그러나 중소기업청에 등록된 중소기업이 약 300만개에 이른다는 점을 고려하면 여전히 턱없이 부족한 것이 현실이다.

실제 이들 회사에 관제업무를 담당하고 있는 홍준석 팀장은 주로 제조업, 조선분야가 각각 25% 가량 차지하고 있다고 밝혔다. 그러나 여전히 참여율이 저조해 홍보가 부족한 것이 사실이라고 밝혔다.

센터는 보안장비를 갖춘 회사들의 경우 정부지원을 통해 무료로 보안관제서비스를 제공하고 있으며, 장비가 없을 경우에는 매월 7만원~13만원 가량 이용료를 받고 장비를 임대해주고 관제서비스도 함께 지원한다. 그러나 중소기업들은 이마저도 부담이 된다고 토로하고 있다.

박종광 중소기업기술지킴센터장은 이를 해결하기 위해 대기업의 동반성장지수 평가 시 중소기업에 대한 보안서비스 지원에 더 높은 점수를 주는 방안을 현실적인 대책으로 제안했다. 비용부담을 느끼는 중소기업에게는 도움을 주고, 이와 협력관계에 있는 대기업은 기술을 보호하는 한편 동반성장점수도 높일 수 있는 일석이조 대안이 될 수 있다는 설명이다.