"SW취약점이 기업 최대 사이버위협"…로그4j 사태 의식한 듯

96개 업체 대상 조사 결과…KISA '2021 하반기 사이버 위협 동향 보고서'

[사진=게티이미지뱅크]

올 하반기 기업들이 소프트웨어 취약점을 침투 경로로 악용한 공격을 가장 위협적으로 인식하는 것으로 나타났다. 최근 로그4j 등 대규모 피해를 줄 수 있는 SW 취약점이 잇따라 발견되면서 이에 대한 경각심이 반영된 것으로 풀이된다.

한국인터넷진흥원(KISA)은 지난 29일 '2021 하반기 사이버 위협 동향 보고서'를 공개하고 이같은 설문조사 결과를 발표했다. 이번 조사는 한국침해사고대응팀협의회 회원사인 96개 업체를 대상으로 지난달 19일부터 이달 3일까지 온라인 방식으로 설문을 실시한 것이다.

이번 조사에서 'SW 보안 취약점'은 29.2%로 가장 위협적인 최초 침투방법 1위를 차지했다. 이어 공급망 공격(25.0%), 스피어 피싱(21.9%), 원격 서비스(20.8%), 기타(3.1%) 등 방법이 위협 순위에 이름을 올렸다.

KISA는 보고서를 통해 "최근 SW 보안 취약점을 악용한 공격과 공급망 공격 사례가 화두로 떠오르고 있어 이에 해당하는 응답이 비교적 높게 나타났다"고 설명했다.

 

올 하반기 기업이 경험한 침해사고 유형[자료=KISA 보고서 표 갈무리]

하반기 실제로 일어난 침해사고 유형은 '악성코드'(38.3%, 28명)가 압도적으로 높았다. 다음으로 랜섬웨어(파일암호화)가 25.0%를 기록했고 서비스 거부 공격(DDoS·디도스) 21.7% , 데이터 유출 11.7%, 홈페이지 변조 3.3% 등 순이었다. KISA는 "악성코드, 랜섬웨어 공격을 예방할 수 있도록 보안 점검과 서비스를 강화할 필요가 있다"고 했다.

다행인건 기업들이 보안 강화를 위해 힘쓰고 있다는 것. 기업들은 위협 대응을 위해 보안교육(18%), 보안 패치(14%), 주요 서버·데이터 백업(13%), 이메일 보안(13%) 등을 주로 실시했다. 또 보안취약점 점검(12%), 다중인증(11%), HW·SW 접근제어(11%), 데이터 암호화(10%) 등 조치도 마련한 것으로 집계됐다.

보안 취약점 점검 서비스에 대한 질문에는 기업 10곳 중 7곳이 이용한 경험이 있고 나머지 3곳은 이용 경험이 없다고 응답했다. 서비스를 통해 기업의 약 절반 가량(43.3%)은 10개 이상의 취약점을 발견해 조치한 것으로 조사됐다. 투입된 예산 규모는 1000만~5000만원 이하(26.9%), 5000만~1억원 이하(22.4%), 1억원 이상(17.9%), 1천만원 미만(11.9%) 등 골고루 분포했다.

이번 설문에는 공공·교육·의료, 도·소매, 방송·미디어·콘텐츠, SW 등 다양한 산업군 기업들이 참여했다. 매출 규모는 1조원 이상(33.3%), 100억~1000억원 미만(20.8%), 1000억~5000억 미만(18.8%), 100억 미만(16.7%), 5000억~1조 미만(10.4%) 등이었다. 외부 클라우드 서비스를 사용하는 기업은 75%에 달해 사용하지 않는 나머지 기업(25%) 대비 3배 높은 비율을 보였다.