중견·중소는 해커들 손쉬운 먹잇감…이메일 보안, 원격관제 등 대책 필요

[아이티데일리] 국내 기업·기관을 노린 사이버 공격이 기승이다. SK텔레콤, 예스24, SGI서울보증에 이어 KT, LG유플러스까지 해킹 정황이 발견됐다. 여기에 최근에는 967만 회원을 보유한 롯데카드까지 피해자 명단에 이름을 올렸다. 일련의 공격들은 주로 VPN(가상사설망)과 같은 네트워크 장비의 취약점을 이용해 이뤄진 것으로 보인다. 하지만 보안 전문가들은 공격의 첫발이 이메일로부터 시작된다는 점을 잊지 말아야 한다고 경고한다. 기업 핵심 시스템에 침투하기 위한 악성코드의 유포가 주로 사칭 이메일 내 첨부파일을 통해 이뤄지기 때문이다. 특히 이러한 공격의 주요 표적이 사이버 보안 체계가 미흡한 중견·중소기업이라는 점에서, 전문가들은 이메일 보안이나 원격 보안관제와 같은 최소한의 방비라도 해야 조금이나마 피해를 방지할 수 있다는 지적을 하고 있다.

사이버 침해사고 피해자의 94%가 중견·중소기업

해킹 사고 뉴스는 주로 대규모 피해에 집중되는 경향이 있다. 하지만 대다수의 피해는 중견·중소기업에서 발생한다. 한국인터넷진흥원(KISA)에 따르면 2024년 전체 사이버 침해사고 피해자의 94%가 중견·중소기업이었다. 침해사고 신고 건수도 증가 추세로, 2023년 1,277건에서 2024년 1,887건으로 약 48% 증가했다. 특히 최근에는 랜섬웨어 관련 침해사고가 기승인 가운데, 마찬가지로 전체의 93%가 중견·중소기업 대상인 것으로 나타났다.

이처럼 중견·중소기업이 집중 표적이 되는 이유는 보안 투자 여력 부족 때문이다. 과학기술정보통신부의 ‘2024년 정보보호 공시 현황’을 보면 지난해 공시 이행 기업의 평균 정보보호 투자액은 29억 원이었지만, 중소기업들은 2억~4억 원 수준에 그쳤다. 정보보호 전담조직 보유율도 직원 250명 이상 기업이 33.9%인 반면, 50~249명 기업은 5%, 10~49명 기업은 1.6%에 불과했다. 중견·중소기업들이 사이버 공격자들의 손쉬운 먹잇감이 되는 이유다.

이메일 첨부파일로 악성코드 유포…이메일 보안 솔루션은 최소한의 투자

최근 사이버 공격자들은 대부분 이메일 첨부파일을 통해 악성코드를 유포하며 공격 작업을 시작할 기회를 엿본다. 일단 악성코드가 임직원의 PC나 스마트폰 등 엔드포인트 기기에 설치되면, 내부 네트워크를 타고 핵심 시스템에 침투할 수 있는 가능성이 열리기 때문이다. 이에 공격 작업의 제 1단계를 차단할 수 있는 이메일 보안 솔루션을 활용하는 것이 중견·중소기업들에게는 사이버 보안 강화를 위한 최소한의 투자가 될 수 있다는 지적이 나온다.

이메일 보안 전문기업 기원테크가 올해 7월 1일부터 8월 31일까지 2개월간 분석한 결과에 따르면, 총 83만 1,624건의 이메일 중 8만 9,467건(10.8%)이 각종 보안 위협으로 탐지돼 차단됐다. 위협 유형별로는 광고성 메일이 4만 428건(45.2%)으로 가장 많았으며, 발송지 위험이 1만 5,281건(17.1%), 랜섬웨어가 9,175건(10.3%)을 각각 차지했다. 특히 발송지 위험은 평소와 다른 지역에서 발송돼 계정 탈취나 도메인 해킹이 의심되는 사례들로, 정교한 사칭 공격의 전형적인 패턴을 보여준다.

실제로 기원테크가 공개한 사례를 보면 중국 의료기기 업체와 거래하는 A무역회사는 “긴급: 의료용 마스크 1만개 견적 요청”이라는 제목의 이메일을 받았다. 발신자는 평소 거래하던 베이징 의료기기 회사와 유사한 이름을 사용했으며, “3일 내 견적서와 품질인증서 필요”라며 첨부파일 열람을 유도했다. 하지만 기원테크의 ‘리시브가드’가 첨부파일에서 악성코드를 탐지해 자동 차단했다.

B물류회사의 경우 더욱 교묘한 공격을 받았다. 미국 무역업체를 사칭한 “계정 인증 알림” 이메일이 실제 거래처와 유사한 도메인을 사용해 발송됐는데, 분석 결과 평소 미국 서버에서 발송되던 메일이 갑자기 이란에서 발송된 것으로 확인됐다. 이러한 지리적 이상 징후는 사칭 공격의 전형적인 증거다.

기원테크 김동철 대표는 “이메일 공격이 단순한 스팸 차단 수준을 넘어선 지능형 대응이 필요한 수준에 이르렀다”며 “발송지 변경 탐지나 유사 도메인 식별 같은 고도화된 공격에 대응하려면 AI 기반의 패턴 학습이 필수적”이라고 강조했다. 그는 또 “아무리 뛰어난 기술적 방어벽도 사용자의 보안 인식 없이는 무력화된다”며 “국제표준 기반 기술력과 교육이 결합된 통합적 접근이 진정한 이메일 보안의 해답”이라고 덧붙였다.

원격 보안관제 서비스로 최소한의 가시성과 대응 능력 확보해야

이메일 보안 솔루션의 도입은 가장 기본적인 안전 강화 조치다. 조금 더 보안에 관심이 있는 기업들은 외부에서의 침입을 막기 위해 방화벽이나 침입방지시스템(IPS) 등을 도입한다. 하지만 보안 장비만을 도입하고 실제 운영이나 대응 인력은 없는 경우가 많은 것이 현재 국내 중견·중소기업의 현실이다. 

보안관제 전문기업인 티앤디소프트의 원유관 T&D MSS센터장은 “방화벽과 IPS는 전통적인 네트워크 기반 침입에는 효과적일 수 있으나 고도화된 최신 위협에는 역부족이다. 또 솔루션을 도입하더라도 일상처럼 이어지는 경고 알람 속에서 진짜 위험을 거르지 못하며, 반복되는 보안 이벤트에 즉각 대응할 전담 인력이 턱없이 부족한 것이 중견·중소기업의 현실이다”라고 말했다.

이러한 이유에서 최근 국내 사이버 보안 기업들은 중견·중소기업을 겨냥한 합리적 비용의 보안관제 서비스를 선보이고 있다. 맞춤형 컨설팅을 통해 초기 장비 도입 부담을 줄이면서, 인공지능(AI) 기반의 분석 솔루션을 활용하는 원격 관제 서비스를 합리적인 가격에 제공한다. 국내 보안 기업들 중에는 티앤디소프트, 오픈베이스, 파이오링크, 이글루코퍼레이션 등이 대표적이다.

오픈베이스 박성수 보안관제센터장은 “오픈베이스는 일회성 장비 판매에 그치지 않고 구축, 유지보수, 관제까지 아우르는 원스톱 서비스를 제공해 관리 복잡성을 해소한다”며 “이를 통해 최소한의 부담으로 실질적 보안 가시성과 대응 능력을 확보할 수 있도록 돕고 있다”고 말했다.

사이버 공격 대응에 보상까지 연계한 중견·중소기업 맞춤형 서비스도 등장

국내 최대 규모 사이버 보안 기업으로 꼽히는 SK쉴더스는 중견·중소기업의 보안 수준을 높이기 위해 지난달 말 맞춤형 서비스를 선보였다. 사이버 공격에 대한 원스톱 대응은 물론 보상까지 연계한 서비스를 선보인 것. SK쉴더스는 DB손해보험과 업무협약을 체결하고 사이버 공격이나 시스템 장애 발생 시 피해 최소화와 신속한 복구를 지원하는 ‘사이버 복원력’ 제고 서비스를 제공한다고 발표했다.

SK쉴더스는 해킹 사고 발생 시 전문적인 대응을 제공하고, DB손해보험은 IT 시스템 복구 비용, 개인정보 유출 소송 대응, 평판 보호, 업무 중단 손실 등에 대한 보상을 담당한다. 사고 대응과 보상을 결합한 원스톱 대응 체계를 구축해 중견·중소기업의 사이버 복원력을 높인다는 취지다.

민기식 SK쉴더스 대표는 “이번 협력은 보안과 보험이라는 서로 다른 산업이 사이버 안전망 구축이라는 공통 가치를 공유하며 만들어낸 새로운 모델”이라며 “양사의 전문성을 결합해 보다 실질적인 해법을 제시할 수 있게 된 만큼, 고객이 해킹 피해에서도 안심하고 비즈니스를 이어갈 수 있도록 적극적으로 지원할 것”이라고 밝혔다