(서울=뉴스1) 김정현 기자 = 기업의 해킹 피해를 막기 위해 한국인터넷진흥원(KISA)이 운영 중인 사이버위협정보 분석공유시스템(C-TAS·씨타스)에 참여한 기업이 겨우 수백개에 불과해 그 실효성에 대한 지적이 제기된다.
8일 국회 과학기술정보방송통신위원회 소속 김상희 국회부의장(더불어민주당)이 인터넷진흥원에서 제출받은 자료에 따르면 씨타스에 참여한 기업 수는 올해 9월 기준 320곳으로, 그중 해킹 예방에 외부 도움이 절실한 중소기업은 178곳에 불과했다.
씨타스는 악성코드, 웹쉘, C&C 서버, 침해사고 사례 등 사이버위협 정보를 체계적으로 수집해 가입한 기업·기관 간 자동화된 정보공유를 목적으로 하는 예방·대응 시스템이다. KISA가 2014년 구축 후 지금까지 운영 중이다.
현재 국내에는 의무적으로 회사의 정보와 이용자의 정보를 책임지고 지키기 위해 책임자를 지정해야 하는 정보보안책임자지정기업(CISO)만 1만7000여곳에 달한다. 그러나 이들 중 씨타스에 참여하는 기업은 CISO의 1.8% 수준에 불과한 것으로 드러났다.
김 부의장은 "정보보안책임자지정기업은 전년도 정보통신서비스 부문 매출액이 100억원 이상이거나 전년도 말 기준 직전 3개월간 일일 평균 이용자 수가 10만명 이상인 곳"이라며 "CISO 기업들이 해킹이나 랜섬웨어 같은 전자 침해사고를 당한다면 기업 및 이용자의 피해가 엄청날 것"이라고 우려를 표했다.
이처럼 씨타스에 참여하는 기업 숫자가 많지 않은 것은 대부분의 중소기업에게 씨타스가 제공하는 정보는 '그림의 떡'이기 때문이다.
관련 인력을 두고 비용을 투입할 수 있는 일부 대기업·중견 기업과 달리, 중소기업들은 씨타스에서 제공하는 '로 데이터'(raw data)를 분석·활용할 수 있는 기술과 비용을 갖추지 못한 상황이다.
실제로 현재 씨타스에 참여한 320개 기업 중 87곳은 통신사, 은행, 대형병원, 포털 등 대기업·중견기업이다. 중소기업도 178곳이 참여하고 있지만 이들 중 118곳이 보안관련 회사로, 일반적인 중소기업은 거의 참여하지 못하는 상황이다.
이에 씨타스에 중소기업의 참여를 늘리고 해킹 피해를 막기 위해 KISA에서 씨타스에 취합된 '로 데이터'를 직접 분석해 예방 방안을 기업들에게 지원해야한다는 목소리가 나온다.
김 부의장은 "지난 2018년부터 올해까지 민간기업에서 1996건의 해킹이 발생했는데, 중소기업들이 씨타스에 가입하더라도 제대로 활용할 수 없는 구조를 개선해야한다"며 "한국인터넷진흥원이 중소기업 보안 컨설팅 사업을 수행해 온만큼, 과기정통부와 협의해 중소기업용 씨타스를 개발하고 지원해야 한다"고 말했다.
Kris@news1.kr
