지난해 정부 중앙 부처를 대상으로 한 해킹 시도가 16만 건을 넘어선 것으로 나타났다. 전년 대비 2배 늘어난 수치이자 역대 최고치다. 국가 디지털망을 흔들어 국방·외교·보건·복지·행정 등 전방위에 걸쳐 기밀 정보를 탈취하려는 사이버 공격이 위험 수위에 다다랐다는 지적이 나온다. 지난해 민간 분야 사이버 침해 신고 건수도 최대치를 기록하며 대한민국을 겨냥한 사이버 위협이 더욱 거세지고 있다. 이재명 대통령이 후보 시절 밝힌 ‘사이버 위협으로부터 안전한 나라를 만들겠다’는 공약을 지키기 위해서 투자를 대폭 확대하고 사이버 보안 컨트롤타워를 수립해야 한다는 목소리가 나온다.
9일 이해민 조국혁신당 의원이 국가정보자원관리원에서 제출받은 자료에 따르면 지난해 중앙 부처를 대상으로 한 해킹 시도 건수는 16만 1208건으로 집계됐다. 하루 평균 440건의 해킹 시도가 진행된 것이다. 이는 전년(8만 554건) 대비 100.1% 폭증한 수치다.
연도별로 보면 해킹 시도는 2016년 5만 3550건, 2017년 6만 2532건, 2018년 9만 4980건, 2019년 12만 4754건으로 점차 늘었다. 2020년 10만 8810건, 2021년 10만 1123건, 2022년 11만 2413건 등 10만 건대를 유지하다 지난해 다시 급등했다. 올 들어서는 4월까지만 5만 727건이 발생했다. 이 같은 추세가 이어진다면 올해 연간 15만 건 안팎의 해킹 시도가 일어날 것으로 우려된다.
지자체 대상 해킹 시도도 늘었다. 광역 지자체 대상 해킹 시도 건수는 1만 5489건으로 전년 대비 14.6% 증가했다. 이는 2019년(2만 2219건) 이후 최고치다.
사이버 공격이 거세지는 가운데 정부 기관의 방어 역량은 지지부진한 상태다. 국가정보원에 따르면 지난해 중앙행정기관의 사이버 보안 실태 평가 평균 점수는 71.53점으로 전년 대비 1.84점 하락했다. 광역지자체의 지난해 평균 점수는 67.82점으로 직전 연도보다 0.89점 떨어졌다. 원자력안전위원회와 소방청, 재외동포청, 서울시, 충남도, 충북도 등이 미흡 등급을 받았다.
국정원이 올해 87개 공공기관을 대상으로 실시한 실태평가에서 우수 등급은 32개, 보통 등급은 55개, 미흡 등급은 0개 기관으로 나타났지만 일부 취약점이 드러났다. 87개 기관 가운데 71.3%(62개)가 서버 접근통제에서 미흡 평가를 받았다. 전년(44개) 대비 40.9% 증가한 것이다. 보안 전담 인력 부족 기관도 16개에서 18개로 늘었다.
민간 대상 해킹도 늘고 있다. 이 의원이 한국인터넷진흥원에서 제출받은 자료에 따르면 올해 1~4월 민간 사이버 침해 신고 건수는 526건으로 나타났다. 공격 추세가 이어지면 최고치를 기록한 지난해(1887건)에 버금갈 것으로 예측된다.
해킹 시도 중 ‘시스템 권한 획득’ 유형이 증가하고 있다. 올해 1~4월 중앙부처 대상 해킹 시도 유형 가운데 ‘시스템 권한 획득’이 1만 3643건(26.9%)로 가장 많았다. 9년 전에는 13.9%에 불과했지만 13.0%포인트 늘어난 것이다. 지난해에도 시스템 권한 획득이 25.2%로 ‘정보유출’(32.1%)의 뒤를 이었다.
광역 지자체와 민간 영역도 시스템 권한 탈취 시도에 시달리고 있다. 지난해 광역 지자체 대상 해킹 시도 가운데 31.1%가 시스템 권한 획득 유형이었다. 인터넷진흥원이 집계한 해킹 피해 신고 중 72.8%가 시스템 권한 획득으로 나타났다.
시스템 권한 획득으로 해커가 서버와 연결된 자원을 통제하고 기밀 정보를 탈취하는 등 심각한 피해가 발생할 수 있다. 백도어를 설치해 지속해서 공격을 이어갈 수 있다. 아울러 시스템도 마비시킬 수도 있다.
지정학적 긴장 고조…해킹에 AI 악용하며 공격 고도화
한국이 사이버 공격의 십자포화 속에 놓인 이유는 지정학적인 긴장과 해킹 기술 고도화 등 복합적 요인 때문이라는 게 전문가들의 진단이다.
우선 지리적·사회문화적 인접국인 북한과 중국 해킹 조직의 사이버 시도가 활발해지고 있다. 정부는 2023년 공공 대상 사이버 공격의 80%를 북한 관련, 5%를 중국 관련으로 분석했다. 국제 사회의 제재를 받고 있는 북한은 첨단 기술을 확보하고 외화를 벌기 위해 사이버 공격을 확대하고 있다.
국가정보원 국가사이버안보센터에 따르면 북한 해킹조직은 김정은 국무위원장의 역점 사업인 ‘국방력 강화’와 ‘지방발전 정책’을 이행하기 위해 방산·위성·반도체·건설 관련 기술 절취하는데 힘을 쏟았다. 대북 전단 및 무인기 관련 동향을 파악하기 위해 탈북민·드론전문가 해킹도 병행했다. 아울러 지난해 정보보호·IT 제품의 제로데이 취약점을 악용한 소프트웨어(SW) 공급망 공격을 직전연도보다 두 배 이상 실행했다. 김병기 더불어민주당 의원은 올해 4월 30일 “김정은 (북한 국무위원장)이 올해를 보건혁명 원년으로 선언한 후 의료분야 관련 대학교수, 의료기기 제조업체 관계자를 대상으로 한 해킹이 대폭 증가했다”고 말했다. 국정원은 이날 국회 정보위원회 비공개 간담회에서 이런 내용을 보고한 바 있다.
국제 정세가 혼란해지며 핵티비스트(정치·사회적 목적을 위해 활동하는 해커)의 공격도 늘고 있다. 친러시아 성향 해킹그룹은 지난해 11월 국방부와 합동참모본부, 환경부, 행정안전부 산하 국가정보자원관리원, 국민의힘, 한국전력 등 홈페이지에 디도스 공격을 가했다. 최근 친팔레스타인 무슬림 해킹조직 리퍼섹은 올해 3월 국세청과 한국인터넷진흥원(KISA)의 보호나라 등에 디도스 공격을 벌인 것으로 알려졌다.
인공지능(AI)의 고도화로 사이버 공격 기술도 발전하며 해킹 시도가 빈번해지고 있다. 과학기술정보통신부와 한국인터넷진흥원, 국가정보원, 안랩(053800), SK(034730)쉴더스, 팔로알토네트웍스 등은 AI를 악용한 사이버 공격이 심화될 것으로 봤다. 사이버 범죄에 특화된 악성 AI 모델이 다크웹 등을 통해 유통되고 있으며 이를 기반으로 한 사이버 위협도 증가할 것으로 분석했다.
정보보호 예산은 뒷걸음질…전문인력 양성 예산 8.1%↓
사이버 공격 강도가 높아지고 있지만 정보보호 관련 예산은 되레 뒷걸음질치고 있다. 올해 한국인터넷진흥원(KISA) 사이버침해대응본부 예산은 579억 원으로 전년보다 8.8% 줄었다. 지난해 민간 신고 침해사고 수가 최고치를 기록했지만 관련 예산은 2022년 이후 최저 수준이다. 연간 침해대응 인력 수는 지난달 기준 123명으로 직전연도 대비 3명 감소했다.
올해 해킹바이러스 대응체계 고도화 예산은 579억 원으로 지난해보다 6.8% 감소했다. 사이버공격 탐지 대응체계 운영 예산은 2.8% 증가하는데 그쳤고 사이버위협 공유·협력체계 운영 및 사이버공격 예방 체계 운영 관련 예산은 32.1%, 12.1% 줄었다. 사이버보안 위협을 사전에 발굴·차단하고 공동 대응하는데 투입된 예산이 쪼그라든 것이다.
정보보호 전문인력 양성 예산도 지난해 241억 원에서 올해 222억 원으로 8.1% 감소했다. 정보보호 인적자원개발위원회(ISC)의 조사에 따르면 지난해 기준 국내 정보보호 기업의 33.5%가 인력 확보에 어려움을 느끼는 상황인데 투자를 오히려 줄인 것이다.
정보보호 생태계 활성화에 필요한 예산도 쪼그라들었다. 지난해 정부가 주도로 만든 국내 최초 보안 분야 펀드 ‘사이버보안펀드’ 예산이 대표적이다. 올해 이 펀드 예산은 100억 원으로 지난해 대비 50% 줄었다. 자금난을 겪는 중소 보안 기업들에 활력을 넣고 민간 분야의 정보보호 산업 육성에 힘을 주고자 조성된 펀드 예산마저 감소한 것이다.
정보보호 핵심원천기술 개발 예산은 993억 원으로 7.7% 삭감됐다. 이 가운데 데이터 및 네트워크 보호기술개발 예산이 27.7% 줄어든 탓이다. 이는 국가·공공 주요 인프라 및 네트워크‧클라우드‧데이터 보호를 위한 정보보호 핵심기술 확보하기 위한 R&D 예산이다.
아울러 디지털 융합보안 기반 확충(82억 원)도 21.2% 감소했다.
보안 예산 파격 확대 필요…컨트롤타워 신설 목소리도
이에 이재명 정부가 사이버 보안 관련 예산을 파격적으로 확대해야 한다는 주장이 나온다. 사이버 위협이 거세지는 상황에서 국가 안보를 지키기 위해 보안이 필수적이라는 이유에서다. 업계 관계자는 “보안 강화를 위한 실질적인 투자가 이뤄져야 한다”며 “중소·중견 보안기업을 대상으로 한 세제 혜택 관련 법안도 조만간 발의될 것으로 기대한다”고 말했다.
컨트롤타워 역할을 하는 기관을 신설해야 한다는 목소리도 크다. 현재 정보보호는 국가정보원이 공공분야를, 과학기술정보통신부 한국인터넷진흥원이 민간 분야를 전담하고 있다. 대응 체계가 분리돼 있어 즉각적으로 일원화된 대응을 하지 못하고 혼선을 빚기도 한다. 미국에서는 2018년 국토안보부 산하에 설립된 사이버안보·인프라보호청(CISA)이 사이버 보안 컨트롤타워를 맡고 있다. 일본도 사이버보안 체계를 재정비하고 있다. 지난달 참의원(상원)에서 통과된 일명 ‘사이버 대응능력 강화법안’은 ‘사이버보안전략본부’의 본부장을 기존 관방장관에서 총리로 격상하는 내용을 담고 있다. 사이버보안 확보에 관한 사무를 주관하는 내각 사이버보안 담당관도 신설하는 내용을 포함했다. 이해민 조국혁신당 의원은 “새 정부는 사이버 보안을 국가 안보와 산업 생존의 핵심 과제로 인식해야 한다”며 “미국 CISA처럼 독립성과 전문성을 갖춘 민간 전문가 중심의 사이버 보안 컨트롤타워를 시급히 신설해야 한다”고 말했다. 염흥열 순천향대 정보보호학과 명예교수는 “사이버 보안 거버넌스를 확립할 필요가 있다”며 “정부가 충분히 예산을 확보해 사고가 나기 전에 대응해야 할 것”이라고 말했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
kim@sedaily.com
