지난해 기업노린 '랜섬웨어' 공격 급증…침해사고 56.3% 차지

검색 본문 바로가기 회사정보 바로가기

홈 > 산업 >

지난해 기업노린 '랜섬웨어' 공격 급증…침해사고 56.3% 차지

과기정통부 '2018년 정보보호 실태조사' 결과 발표

(서울=뉴스1) 남도영 기자 | 2019-04-16 12:00 송고

'2018년 정보보호 실태조사' 기업부문 침해사고 유형 조사 결과© News1 최수아 디자이너

지난해 발생한 사이버공격 중 기업들이 가장 많은 피해를 입은 해킹 공격은 PC 내 파일을 강제로 암호화하고 이를 풀기 위해 금전을 요구하는 '랜섬웨어'였던 것으로 조사됐다.

과학기술정보통신부와 한국인터넷진흥원은 기업과 개인의 정보보호에 대한 인식과 침해사고 예방·대응 활동 등을 조사한 '2018년 정보보호 실태조사' 결과를 발표했다.

기업부문 조사결과 지난해 사업체의 침해사고 경험률은 2.3%로 2017년(2.2%)과 큰 변화가 없었으며, 69.2%가 경미한 수준으로 발생한 것으로 나타났다. 침해사고 유형 중에는 랜섬웨어로 인한 피해가 56.3%로 전년대비 30.8%포인트(p) 증가하며 가장 높은 비중을 차지했고, 악성코드(47.4%), 애드웨어·스파이웨어(12.1%), 해킹(4.4%) 등이 뒤를 이었다.

최근 랜섬웨어 유포방식은 공격 목표에 따라 더욱 교묘해졌으며, 변종 유포도 늘고 있다. 관련 업무 담당자를 목표로 이력서, 구매송장, 경고장 등 문서파일로 위장한 랜섬웨어 유포 사례가 발견됐고, 기업 서버 관리자 계정을 탈취한 뒤 조직 내 하위 시스템을 랜섬웨어에 감염시켜 기업에 치명적인 피해를 입힐 수 있는 유포 사례도 나왔다.

과기정통부 관계자는 "최근 신·변종 랜섬웨어는 피해범위가 개인이나 기업의 PC를 넘어 의료‧운송‧제조 등 다양한 산업현장을 공격하는 형태로 확산되고 있다"며 "특히 산업현장에 랜섬웨어가 감염될 경우 업무 마비와 생산 중단 등의 물리적 피해까지 입을 수 있다"고 말했다.

기업들이 정보보호를 중요하게 인식하는 비율은 90.2%로 전년대비 2.8% 늘었다. 반면, 정보보호 예산 수립과 전담인력 등의 비중은 오히려 감소한 것으로 나타났다.

지난해 정보보호 예산을 보유한 사업체 비중은 전년대비 11.9%p(포인트) 감소한 36.2%를 기록했으며, 정보기술(IT) 예산 중 5% 이상을 정보보호 예산으로 편성한 사업체는 전년대비 1.7%p 감소한 1.7%로 조사됐다. IT인력 중 정보보호 담당 인력 비중은 2017년 18.9%에서 2018년 11%로 7.9%p 감소했다.

이는 조사기간 동안 디도스(분산형 거부 공격)나 시스템 해킹 등 대규모 침해공격이나 개인정보유출 사고가 발생하지 않았고, 최근 기업들이 정보보호 제품을 직접 구입하거나 인력을 운용하기 보다는 보안관제 등 정보보호 서비스를 이용하는 비중이 늘어난 영향에 따른 것으로 풀이된다.

또 최근 기업의 클라우드 서비스 이용이 늘어난 것도 일부 영향을 미친 것으로 추정된다. 과기정통부는 향후 실태조사 시 이런 IT 환경 변화를 반영하기 위한 설문항목을 추가해 더 전문적인 조사를 실시한다는 방침이다.

개인부문 조사결과에서는 인터넷 이용자의 96.2%가 정보보호를 중요하게 인식하는 것으로 나타났다. 정보보호 위협 중 가장 심각하게 생각하는 분야는 '개인정보 유출 및 사생활 침해'로 88.9%를 차지했으며, '악성코드 감염'(86.8%), '피싱·파밍·스미싱 등 금전적 피해'(86.2%) 등에 대한 우려도 컸다.

개인의 침해사고 경험률은 4.6%로 전년대비 5.7%p 감소했다. 침해사고 세부유형으로는 악성코드 3.4%, 개인정보 유출 1.9%, 피싱·파밍·스미싱 등 금전적 피해 0.6% 순으로 조사됐으며, 전체적으로 전년에 비해 감소하는 추세를 보였다.

침해사고 대응활동 세부 유형별로는 '보안소프트웨어 설치'(41.4%), '스스로 점검 및 예방활동 강화'(41.1%), '비밀번호 변경'(40.4%) 등을 주로 수행하는 것으로 조사됐다.

올해 처음 조사를 실시한 60대에서는 73.1%가 이용방법을 몰라 정보보호제품을 이용하지 않거나 운영체제 보안 업데이트를 하지 않은 것으로 나타나 고령층에 대한 교육과 홍보가 필요한 것으로 나타났다.

오용수 과기정통부 정보보호정책관은 "이제는 정보보호 인식에 대해서 기업이나 개인 인터넷 이용자 누구나 매우 중요하게 인식하고 있음을 실태조사를 통해 확인했다"며 "ICT 기술 발전과 활용 확대로 새로운 사이버 위협이 증가할 것으로 예상되는 만큼 개선이 필요한 부문에 대해 조속히 대응책을 마련해서 추진하겠다"고 말했다.