'약한 고리' 중소기업 보안, 코로나19 사이버침해 대책은?

게티이미지뱅크
게티이미지뱅크

코로나19 사태 속 마스크 제조사 등 중소기업을 겨냥한 사이버공격이 거세진다. 산업 보호를 위해 '약한 고리'인 중소기업 보안에 유의해야 한다는 지적이 나온다.

중소기업은 산업 보안 공급망 가운데 취약한 곳으로 꼽힌다. 대기업에 비해 공격자가 넘어야 할 보안 장벽이 낮기 때문이다. 대부분 백신 이상 보안 조치는 하지 않거나 백신조차 설치하지 않은 곳이 상당수다. 공격자는 대기업 협력사 등 중소기업을 공격한 후 침해를 확대하는 수법을 쓴다. 최근 재택근무, 원격근무가 확산하면서 공격 표면도 커진 상황이다.

현재 중소기업이 부담 없이 도입할 수 있는 보안 솔루션으로는 △엑소스피어랩스 '엑소올디펜더' △SK브로드밴드 '비즈세이퍼' △LG유플러스 '개인정보팩' 등이 있다. 이들 솔루션은 백신과 개인정보보호 등 업무 PC 보안을 위한 기능을 통합 제공한다. 사내 회선에 설치하는 방화벽과 PC 백신, 랜섬웨어 방어 기능 등으로 구성된다. 운영이 간편하고 비용 역시 PC당 2750원~4800원 수준으로 저렴하다.

엑소스피어랩스는 지란지교그룹 계열사로 중소기업 보안 서비스에 주력한다. 50인 이상 100인 이하 중소기업을 주요 대상으로 무료 백신을 제공하며 최근 '엑소올디펜더'를 출시했다. 박상호 엑소스피어랩스 대표는 “국내 중소기업은 소상공인을 제외하고 50만개에 달하지만 기업용 무료 백신을 도입한 곳은 600여개에 불과하다”면서 “공격 우려에도 보안 조치를 번거로워하는 분위기가 팽배해 금융처럼 중기 보안 컴플라이언스를 마련할 필요가 있다”고 말했다.

중소기업 내 업무용 PC 보안은 허술하다. 박 대표는 “보안이 안 된 단말을 통해 업무를 보는 것 자체가 중기 보안이 매우 열악하다는 반증”이라면서 “현재까지도 가장 많은 공격은 업무용 PC를 통해 접근한 후 계정을 탈취하는 공격”이라고 강조했다. 공격자가 일단 계정 탈취에 성공하면 클라우드에 접근해 정보를 유출하거나 추가적인 사회공학적 공격이 가능하다.

한국인터넷진흥원(KISA)은 2015년부터 중소기업을 대상으로 업무용 PC 보안 점검 도구를 무료로 제공해 왔다. 보안 인력이 없는 기업에는 컨설팅도 제공한다. 50인 미만 업체 또는 비영리 단체라면 개인정보보호 종합포털을 통해 신청할 수 있다.

코로나19로 사이버공격이 폭증하면서 일부 중소기업에서 보안 의식이 제고되기도 했다. 이중구 KISA 지역정보보호총괄센터장은 “코로나19 이후 마스크와 바이오·헬스 업체에 대한 공격이 심해진 것으로 파악됐다”면서 “코로나19 이전보다 이들 중소기업에서 보안 취약점 점검과 컨설팅에 대한 관심과 수요가 많이 늘어났다”고 말했다.

이어 “예전에는 PC 한 대 있는데 보안 조치가 필요하냐고 하던 기업이 먼저 나서서 보안 문제가 없는지 봐달라고 한다”면서 “기업 내에 이렇다 할 정보기술(IT) 기기가 있는 것이 아니라도 공격자는 이를 찾아 들어오기 때문에 피해를 예방하려면 이번 사태를 계기로 인식 제고와 보안 강화에 나서야 한다”고 덧붙였다.

오다인기자 ohdain@etnews.com