증가하는 인도 내 사이버 보안 공격

지난 2022년 7월 19일 인도 국회 대정부질의에서 내무부 장관(Minister of Home Affairs, Ajay Kumar Mishra)은 올해 6월까지 67만4021건의 사이버 공격이 이루어졌다고 밝혔다. 지난 3년간 300만 건이 넘는 공격이 시도됐으며 인도 정부는 사이버 보안 태세를 강화하고 사이버 공격을 방어하기 위해 사이버 위협 취약성 권고, 대응, 보호 등 다양한 조치를 하고 있다고 밝혔다.

인도 정부의 대응

인도 사이버 보안을 담당하는 CERT-In(Computer Emergency Response Team)은 4월 28일 사이버 보안 취약점을 개선하기 위한 일련의 정책을 발표했다. 크게 1. 사이버 보안사고 보고 기한 단축 2. 사이버 보안사고 정의 확대 3. 시스템 정책으로 요약될 수 있다.

사이버 보안 사고 관련 기존 규정(2013년)은 사고 보고 기한을 구체적으로 정하지 않았다. 합리적인 기한 내(reasonable time frame)로 된 기존 규정을 이번에 6시간 내로 구체화했다. 다만 관련 업계에서는 너무 짧다는 의견이 있다. BSA, 인도 소프트웨어 연합체는 해당 기간이 최소 72시간은 되어야 한다고 밝혔다. 단축된 시간 관련 해당 업체들의 업무 처리 방식 개선 및 신규 시스템 도입이 시급할 것으로 보인다.

사이버 보안 사고 범위도 이번에 구체화시켰다.

- 데이터 침해
- 데이터 유출
- 사물 인터넷(IoT) 장치 및 관련 시스템 ·네트워크 ·소프트웨어 및 서버에 대한 공격
- 디지털 결제 시스템에 영향을 미치는 공격 또는 사건
- 악성 모바일 앱을 통한 공격
- 소셜 미디어 계정에 대한 무단 액세스
- 클라우드 컴퓨팅 시스템/서버/소프트웨어/애플리케이션에 영향을 미치는 공격 또는 악의적/의심스러운 활동
- 빅 데이터 ·블록체인 ·가상 자산 ·가상 자산 거래소(교환) ·보관 지갑 ·로봇 공학 ·3D 및 4D 프린팅·적층 제조(additive manufacturing) 및 드론 공격 관련 시스템/서버/네트워크/소프트웨어/응용 프로그램에 영향을 미치는 공격 또는 악의적/의심스러운 활동
- 인공지능(AI) 및 머신 러닝(ML)과 관련된 시스템/서버/소프트웨어/애플리케이션에 영향을 미치는 공격 또는 악의적/의심스러운 활동
다만 워낙 사이버 보안 사고를 포괄적으로 정의하고 있어 어떻게 관리될지는 추이를 지켜봐야 할 것으로 보인다.

세 번째 사항은 시스템 정책 관련이다. 데이터센터, VPS(Virtual Private Server) 제공업체, CSP(Cloud Solution Provider) 및 VPN(Virtual Private Network) 제공업체 등에 고객정보 의무 보유 규정을 부과했으며, 특정 보안 사고 발생 시 이들에게 해당 정보를 요구할 수 있게 했다. 의무 보유 사항은 다음과 같으며 고객의 탈퇴 유무과 상관없이 5년간 의무적으로 보관해야 한다.

- 가입자/고객의 확인된 이름
- 날짜를 포함한 구독 기간
- 회원에게 할당된/사용 중인 IP
- 등록 시 사용한 이메일 주소, IP 주소 및 타임스탬프
- 서비스 가입 목적
- 확인된 주소 및 연락처
- 서비스를 이용하는 가입자/고객의 지분관계(Ownership pattern)

이와 관련해서 해당 업계에서 논란이 크다. 고객의 익명성을 생명으로 하는 VPN 제공회사의 경우 인도 시장을 떠나겠다고 발표하고 있다. 주요 VPN 제공업체인 ExpressVPN(6월 2일), Surfshark(6월 8일), 그리고 Nord VPN(6월 26일)은 인도 정부정책을 이유로 인도 내 서버 가동을 중지했다. 메타(Facebook), 구글, 애플, 아마존, 마이크로소프트 등 인도 내 11개 글로벌 회사들은 대인도 정부 서한을 통해 해당 정책이 인도 내 사업을 어렵게 할 것이며 사이버 보안을 강화하기보다는 약화시킬 것이라고 밝혔다. 그러나 6월 관련 업계 의견 청취 자리에서 CERT-In은 정책을 그대로 이행할 것이며 중소기업의 준비기간을 위해 시행을 기존 6월 27일에서 9월 25일로 연기한다고 밝혔다.

시사점

인도의 DSCI(Data Security Council of India)의 인도 사이버 보안산업(India Cybersecurity Industry) 보고서에 따르면 인도 내 사이버 보안 제품시장은 2019년 43억 달러에서 2021년 85억 달러로 증가했다. 2018~2023년 연평균 성장률은 30.84%로 매우 빠르게 성장하고 있다. 은행 및 금융서비스에 대한 수요가 높으며 그밖에 IT 업계 및 산업 전반에 걸쳐 수요가 고르게 분포하고 있다.

<인도 사이버 보안제품 분야별 시장 구성>

[자료: DSCI]

특히 관리 보안서비스 제공(MSS, Managed Security Service)에 대한 업계 수요가 63%로 제일 높았으며 클라우드 보안(58%), 인프라 및 네트워크 보안(42%)이 그 뒤를 이었다.

<인도 분야별 사이버 보안 수요 조사>

[자료: DSCI]

인도 구자라트 GESIA IT 협회 아누팜 바하트나가르 사무총장에 따르면 사이버 보안산업은 매년 50% 가까운 성장률을 보이고 있으며 그만큼 엄격한 관리가 필요하다고 언급했다. 특히 인도는 인구가 많은데 대다수가 아직 사이버 환경에 익숙하지 않아 사이버 사기 등 신규 형태의 범죄에 타깃이 되는 경우를 종종 발견한다고 한다. 한국기업들을 위한 조언으로는 인공지능(AI)분야에서 인도기업과 협력하면 좋겠다고 언급했다.

새로운 정부 정책이 도입될 때 새로운 사업 기회 등이 생겨난다. 우리나라 사이버 보안업계도 폭발적으로 증가하는 인도 사이버 보안 시장을 눈여겨봐야 할 것이다. 관리보안, 클라우드 보안, 인프라 보안 등의 분야가 특히 성장 가능성이 높다.

자료: Hindustan Times, India Briefing, DCSI, India Express, Economic Times 등 무역관 보유자료 종합