임종철 디자이너 /사진=임종철 디자이너
9일 과학기술정보통신부, KISA(한국인터넷진흥원)의 '2024년 상반기 민간 분야 주요 사이버 위협 동향'에 따르면 올 상반기 사이버 침해사고 신고 건수는 899건으로 2022년(473건) 대비 90% 늘었고 지난해(664건) 대비 35% 증가했다. 상대적으로 보안 투자 여력이 부족한 중소기업과 비영리 기관의 서버를 대상으로 한 해킹이 증가했다는 게 과기정통부 등의 분석이다.
국가 기간시설 관련 분야 뿐 아니라 다양한 산업의 업무 시스템이 내부 서버가 아닌 클라우드 환경에 구축되는 형태가 보편화된 점, 디지털 전환 확산으로 다양한 소프트웨어를 도입하고 업데이트 하는 빈도가 높아진 점 등으로 위협 노출 통로가 다향해졌다는 지적이다. 공격 대상을 선정하거나 공격 대상의 취약점 파악 자동화 등을 위해 생성형 AI(인공지능)를 악용하는 사례도 늘면서 침해 행위도 고도화되고 있다.
이를 막기 위해서는 결국 보안 장비·소프트웨어 및 인력에 대한 투자가 필요하지만 정작 인력이 단시일 내에 확충되기 어렵다는 게 문제다. 상반기 사이버 위협 동향에서 나타난 것처럼 지방 소재 중소 기업이나 비영리 기관 등이 주요 타깃이 된 것도 보안 전문 인력이 충분하게 확보되지 못했기 때문이다. 이에 정부도 2026년까지 신규 인력 4만명을 양성하고 기존 재직자 6만명에게 역량 강화 교육을 진행해 10만명 규모의 정보보호 인재를 육성하겠다는 계획을 내놨다. 강도현 과기정통부 2차관도 KITRI(한국정보기술연구원)을 방문해 국내 화이트해커 양성 프로그램을 살펴본 바 있다.
라온시큐어의 화이트해커인 김동민 팀장은 "국가 인프라까지 위협하는 공격은 특히 공급망을 공격하는 수법으로 빈번히 자행된다"며 "김수키, 안다리엘 등 사례는 모두 공격 대상이 소프트웨어에 악성코드를 심는 공급망 공격이었다"고 했다. 또 "디지털 전환, 클라우드 확산 등으로 국가 인프라를 포함한 다양한 산업이 사이버 위협에 노출되는 경로가 더 많아졌고 이를 악용한 공급망 기반 APT(지능형 지속 위협) 공격이 점점 고도화되고 있다"며 "이를 실현하기 위해서는 화이트해커 등 전문 인력이 필요하고 우수한 보안 전문인력 양성은 국가 경쟁력과 직결된다"고 강조했다.