호주의 사이버 국경을 지켜라
- 호주 정부, 국가 사이버안보 강화위해 향후 10년동안 총력 다할 것 -
- 현장 즉시 투입가능한 보안 전문가 부족에 호주는 상시 구인중 -
2018년 마이크로소프트사와 Frost & Sullivan의 보고서에 따르면 호주의 소규모, 중견기업, 대기업을 대상으로 이루어지는 사이버공격은 연간 24조 여원의 경제적 손실을 가져올 수 있으며 이는 전체 호주 GDP의 1.9%에 해당한다고 밝혔다. 2020년 상반기, 코로나19 발생으로 전세계가 혼돈에 빠진 상황에서도 사이버 공격은 호주 기업 외 정부와 정치인들, 인프라 시설, 개인에게 기승을 부리고 있다. 호주에 사이버보안은 왜 이슈화되었고 호주 정부와 업계, 국민들의 대응은 어떠한지 살펴보았다.
대담한 해커들, 호주 정부 노려
호주 정부에 대한 사이버범죄는 2017년부터 더욱 대담해지기 시작하였다. 2017년, 호주 국방부의 계약업체 전산망으로부터 호주 방위 프로그램과 관련한 기밀정보 30GB 데이터가 해킹으로 유출되었다. 같은 해에 중국 해커들은 호주 로펌과 연구개발 단체들을 공격해 기업 내부 정보 및 상업정보를 표적하여 공격하였다. 2019년에는 호주 총선을 앞두고 연방의회 전산망과 3개 주요 정당들이 사이버공격을 받아 관련 정치인들 및 직원들 모두가 비밀번호 등을 바꿔야 했다.
분야별 사이버공격 건수(‘19년 7월 1일~’20년 6월 30일)
자료: 호주 사이버 보안국(Australian Cyber Security Centre)
2019년 7월부터 1년간 발생한 호주 내 사이버공격을 살펴보면 약 35.4%가 호주 연방, 지역 정부 대상이며 35%가 국가 중요 인프라 산업으로 보건서비스, 교육, 금융, 수자원, 통신, 교통 및 에너지 분야이다. 호주 정부가 사이버보안 사건 발생시 대응하는 수준을 넘어 국가 사이버안보 강화를 위해 선제적 예방을 하겠다고 나선 이유이다. 2020년 6월 19일 호주 총리, 스콧모리슨은 지난 5년 이상 국가 수준에서 지원된 것으로 보이는 사이버 공격이 정교하고 지속적으로 이루어져 왔다며 경고를 보내면서 500명의 사이버보안 전문가를 긴급 투입하겠다고 밝혔다.
2020년 호주 기업 활동 마비시킨 랜섬웨어 공격
랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용하지 못하도록 한 뒤, 이를 해결해주는 대가로 금전을 요구하는 악성 프로그램이며 요구가 받아들여 지지 않으면 데이터를 공개하는 것으로 알려져 있다. 2020년 5월, 호주 대기업 세 곳이 연달아 랜섬웨어 공격을 받았다. 일본 Kirin의 자회사이기도 한 Lion은 호주와 뉴질랜드 내 맥주와 음료 등을 생산 판매하고 있는데 제조시설에 대한 랜섬웨어 공격으로 생산이 일시 중단되었다. 호주 선박 운송회사 Toll은 호주 내 최대 랜섬웨어 공격을 받았는데 2020년 상반기에만 1월과 5월 두 번에 걸쳐 발생했다. Toll은 약 두 달가량의 복구 작업을 통해 약 200기가에 달하는 데이터가 갈취당한 것으로 추정했다. Toll 사는 ‘Accelerated Cyber Resilience Program’을 발표했으며 주요 대응방안은 사이버보안 인력을 확충하고 호주와 인도 양 국으로 해당 팀을 이원화하는 것이며 신설 강화된 IT 보안팀 운영을 위한 글로벌 리더를 채용할 것이라고 밝혔다. 호주 최대 철강 기업 Bluescope Steel도 랜섬웨어 공격으로 인해 IT 시스템 일부가 영향을 받았으며, 생산 및 영업과 관련된 부분들에서 문제가 발생했고 이 공격으로 사업 일부가 마비되어 운영을 수동으로 구동하는 방안을 마련해야 했다.
호주 내 사이버범죄로 인한 경제적 피해
자료: 호주 정부의 Stay Smart Online 웹사이트
코로나19로 인한 불안심리 악용하는 사이버범죄 증가
호주 사이버보안 센터 ACSC(The Australian Cyber Security Centre)는 2020년 3월 10일부터 26일 사이 ‘판데믹’ 주제로 벌어진 사이버범죄 사건이 약 45건 이상 보고되었다고 밝혔다. 특히, 스캠공격(기업의 이메일 정보를 해킹, 거래처로 둔갑시켜 무역 거래 대금을 가로채는 범죄 수법)은 호주 경쟁, 소비자 위원회 ACCC(Australian Competition and Consumer Commission)에 보고된 건만 100건이 넘으며 그 외 일반 개인 대상 악성소프트 웨어, 개인정보 수집 등 다양한 수법의 사이버범죄가 발생하고 있다고 밝혔다.
호주 경쟁, 소비자 위원회 웹페이지상에서 SCAM 신고 가능
자료: 호주 경쟁, 소비자 위원회
호주에서 세금을 납부하는 모든 사람들이 호주 관세청 myGov.com 웹사이트 및 모바일 앱을 이용하며 코로나19로 그 이용율이 더욱 증가한 바 있다. 정부 일자리 보조금 신청, 연금 선인출, 여기에 세금환급 등으로 호주인 대부분이 myGov.com에 접속했다. 그런데 가짜 myGov.com 링크 및 호주 관세청을 사칭한 디지털 사기가 기승을 부려 호주 정부가 경고하고 나섰다. 코로나19로 금전적, 정신적 손실이 큰 개인에게 이러한 온라인 사기 및 개인 정보 갈취는 지금의 현실을 더욱 가혹하게 만들고 있다. 아래 이미지와 유사한 문자, 이메일 등을 수신했을 경우, 절대 응답하거나 제공된 링크를 클릭해서는 안되며 호주 ATO Scam 신고 전화 1800 008 540 또는 이메일 reportemailfraud@ato.gov.au 로 신고하여 피해를 예방해야 한다.
호주 정부의 myGov.com을 사칭한 사기 문자, 이메일 예시
자료: 호주 myGov.com
이 밖에 코로나19로 인한 사람들의 외로움을 악용한 사례로 온라인을 통해 애완견을 판매한다고 하고 구매를 원하는 사람들이 1,000 호주 달러 이상을 송금하면 코로나19로 배송 등의 문제가 발생했다며 추가 금전을 요구한 사례가 있다. 2020년에만 이러한 온라인 사기로 2억 5,600만원의 피해가 발생했다.
호주는 2020년 상반기 그 어느때보다 온라인 이용이 폭증, 수익이 발생한 산업군 대부분도 온라인 기반의 유통, 소매업이다. 재택근무, 홈스쿨링 외 온라인 쇼핑이 증가하면서 일반 개인 대상 사이버보안에 대한 경각심을 갖는 것이 중요해졌다.
호주 정부의 사이버안보 전략 발표 'Australia's Cyber Security Strategy 2020'
2020년 8월, 호주 연방정부는 '호주 사이버보안 전략 2020'을 발표하고 앞으로 10년간 1조4,100여 억원의 예산을 투입하기로 하였다. 이는 사이버보안 관련 예산의 인상폭으로는 역대 최대이며 두 달전, CESAR(Cyber enhanced situational awareness and response)로 불리우는 1차 계획안에서 3,000여 억원을 증액하였다. 1차 계획안에서는 연방, 지역정부와 기업간 긴밀한 협력 체제를 구축해 실시간에 가까운 사이버공격 탐지와 정보 교환을 이루도록 하였다. 또한 통신기반 사업자들과 국가 사이버 안보국 ASD(Australian Signals Directorate)간 협력을 통해 일반 호주 국민들에게 악성 바이러스 및 웹사이트 접근 자체가 불가능 하도록 하는 신속한 대응을 중점으로 하였다. 이번 개편안에서는 국가 주요 인프라 기반 산업과 중소기업들 및 사업체, 일반 가정 및 개인 까지 포괄하여 국가 사이버 보안력을 한층 강화하려는 호주 연방 정부의 의지를 담아냈다.
'호주 사이버보안 전략 2020'을 발표하는 스콧모리슨 총리
자료: The conversation
호주 국가 차원의 사이버보안은 호주 국방부 산하의 국가 정보 기관ASD(Australian Signals Directorate)에서 관리하고 있다. ASD 산하에는 The Australian Cyber Security Centre (ACSC)가 호주 기업 및 국민대상 사이버보안 관련 정보 및 실행 방법들을 제공하고 있다. AustCyber(The Australian Cyber Security Growth Network)는 2017년 호주 정부의 Industry Growth Centre Initiative 하에 설립, 호주의 사이버보안 업계 관련 각종 조사 및 정보를 취합하여 보고서 발간 및 세미나 개최등을 하면서 사이버보안 인력 계발을 위해 직업교육 관련 정보 및 플랫폼도 제공하고 있다.
호주 사이버보안 정부 기관들
자료: 각 웹사이트
이번 호주 정부의 발표는 그 자체로 호주 사회와 국민들에게 사이버범죄에 대한 경각심을 불러 일으키고 있으며 대기업 뿐만 아니라 중소 기업들 대상 사이버보안 강화의 중요성을 강조하였다. 대기업 및 관련 서비스 제공업체들이 중소기업들에게 번들형 보안 서비스 패키지를 제공하는 연결 기회를 마련하기로 하고 ACSC를 통해 24시간 헬프데스크를 마련, 정부차원에서 사이버보안 사고에 즉각 대응 및 지원하기로 하였다.
호주 사이버 보안국에서 마련한 중소기업 대상 정보 제공
자료: 호주 사이버 보안국
그 밖에 사이버공격 대상이 연령과 성별에 무관하게 이루어지는 것을 반영하여 정부 웹사이트 상 대상별 다양한 정보를 마련해 무료 제공함으로써 국민들이 쉽게 사이버보안에 친숙해질 수 있도록 하였다.
일반 국민 대상 사이버보안 홍보 자료
자료: 호주 정부 eSafety 웹사이트(www.esafety.gov.au)
호주 서비스업의 한 축을 형성할 사이버보안 서비스
호주 대형 통신기업 텔스트라(Telstra) 조사에서 호주 기업 62%가 향후 1-2년 내 사이버 보안 역량 강화에 투자할 것으로 응답했다. 2017년 호주가 외부 사이버보안 위협에 소요한 비용을 보면 하드웨어, 소프트웨어, 서비스 중에서 서비스에 투입한 비용이 가장 큰 것으로 나타났다.
사이버보안 서비스 부문을 기업 내 지원 부서로서가 아닌 수익을 창출하는 서비스 부서로 추가 또는 강화한 사례도 있다. 컨설팅 그룹 언스트앤영(Ernst & Young) 호주는 2019년 멜버른 시에 아시아 태평양 지역 내 가장 큰 사이버 보안 센터를 건립하고 2020년 시드니 사이버 보안업체 알레론(Aleron)을 인수하여 컨설팅 서비스의 수익 모델을 확장했다. 알레론(Aleron)은 금융, 소매, 정부를 포함한 다양한 업종에 맞춘 보안 솔루션 구축을 전문으로 하고 있어 언스트앤영의 기업 전략 컨설팅 서비스에 사이버보안에 대한 전문성 까지 강화할 수 있게 되었다. 이는 기업경쟁력을 말할 때에 보안 영역의 중요성이 그만큼 높아졌다는 것을 말해준다.
호주 External 사이버보안 위협 관련 소요비용('17년 기준)
주: External Cybersecurity Risk는 외부 바이러스, 악성코드 등으로 인한 위험이며
내부 직원 및 시스템에 의한 사이버보안 위험을 Internal Cybersecurity Risk라고 한다.
자료: AustCyber
해외 투자자들에게는 호주의 사이버보안 업계가 매력적인 투자 대상으로 부상하고 있다. AustCyber에 따르면 호주는 사이버보안을 위한 정부 지원 면에서 전세계 2위, 인도-태평양 지역 사이버 성숙도 2위이며 향후 업계 성장은 300%에 가까울 것으로 내다봤다. 아울러 호주가 고부가가치 서비스업 중심 국가이면서 사이버 보안업이 새로운 서비스 산업 영역으로 자리잡아 가고 있다는 점, 우수한 교육 시스템 보유, 정부의 적극적인 지원 등은 해당 산업 성장 및 세계로부터의 투자 유치에 매력적인 요소들이다. 호주 사이버보안 서비스업계는 작지만 지속 성장이 예견되며 곧 호주가 기업활동 하기에 안전한 국가로서 자리잡는 데에 기여할 것으로 보인다.
호주 대표적인 사이버보안 기업들
자료: nuix, penten 웹사이트
호주 사이버 보안업계의 가장 큰 딜레마, 전문 인력 확보
AustCyber에 따르면 2019년 호주 사이버보안 분야에는 20,000여명이 종사하고 있으며 2026년까지 약 17,600명의 추가 인력이 필요하다고 보았다. 다만 현 시점에서는 바로 투입 가능한 사이버 보안 전문 인력이 부족하다고 말한다. 미국 CSIS(Center for Strategic and International Studies) 2016년 설문조사 결과, 호주 업계 종사자들이 자국의 전문인력이 가장 부족하다고 응답했다. RMIT 대학의 사이버 보안 연구, 혁신 센터장 Matt Warren 교수는 “호주 정부와 기업들이 우수 인재를 리쿠르팅 하는 데에 사실상 경쟁관계에 있어 양쪽은 이를 직시하고 국가 차원에서 호주의 미래를 위해 인재 양성에 협력해야 한다” 고 밝혔다. 그러면서 “정부의 사이버 안보 전략안에 전문가 교육 및 양성에 대한 실질적인 대안이 부족하다. 학생들을 위한 장학제도 및 사이버보안 과정 비용을 낮추는 등의 방안이 필요하다”고 말했다. 사이버보안 필요 인력으로는 코딩 전문가, 보안 분석가, 윤리적 해커 뿐만 아니라 기술 지원 인력인 사이버 법 전문가, 트레이너, 교육가 등이 필요한 상황이다.
호주 사이버보안 인력 부족현황('16년 기준)
자료: AustCyber
이를 반영하기라도 하듯이, 호주 정부에서는 2019년 ‘Future-focused fields’ - 사이버보안, 핀테크, 우주공학, 의학기술, 데이터공학을 포함한 7개 분야의 해외 전문직들이 영주권을 신청할 경우 빠르게 승인해주는 제도를 마련했다. 그 외 호주 대학들은 관련 학과 개설 및 학내 데이터 및 사이버보안 센터를 운영하는 등 학계 역시 인재 양성에 적극 참여하고 있다.
시사점
호주의 사이버보안 업계는 향후 10년간 그 수익이 3배 가량 ?