- 2016년 케냐 사이버 범죄 피해액, 1억7500만 달러, 보안 전문가 부족으로 피해 급증 -

- 사이버 보안기술이 상대적으로 약한 시장, 우리의 노하우 전수 및 틈새시장 공략 기회 -

□ 금융사기, 해킹, 불법 도청 등 케냐 내 사이버 범죄 기승

  ㅇ 2016년 케냐 사이버 범죄 피해액은 1억7500만 달러를 기록. 은행, 모바일, 온라인 서비스가 사이버 범죄에 가장 취약한 것으로 나타남. 최근 악성 소프트웨어를 통한 케냐 모바일 머니 분야 사이버 범죄 피해가 막대했음. 모바일과 인터넷 뱅킹 인프라를 목표로 하는 악성 소프트웨어가 증가하고 있음. 인터넷 상거래 플랫폼은 온라인 사기, ATM 카드 불법 복제, 신원 도용과 같은 문제가 다수 발생하고 있음. 또한 사내 내부 직원의 범죄 가담은 케냐 사이버 범죄의 가장 큰 위협적인 요소로 작용하고 있음.

  ㅇ 케냐 내 사이버 범죄는 다양한 형태로 발생하고 있음. 글로벌 금융 컨설팅회사 Deloitte는 사이버 범죄로 케냐 내 사업가 및 인터넷 이용자들이 2016년 180억 케냐 실링(약 1800만 달러)의 피해를 입었고, 2017년에는 이보다 30% 증가한 234억 케냐 실링(약 2340억 달러)의 피해를 입을 것으로 전망. 또한 케냐 그린필드 프로젝트(신공항 건설사업), Two Rivers 대형 쇼핑몰 건설 등 케냐 내 여러 사업에 참여한 바 있는 중국 항공기술개발공사(China National Aero Technology International Engineering Company)는 한 케냐 입찰 사업가와 공모해 국세청 서버의 데이터베이스에 접근해 세금 탈루를 시도하다 경찰에 발각된 적도 있었음. 영국 보안업체 Privacy International사에 따르면, 케냐 경찰과 케냐 정보원(National Intelligence Service)이 테러 예방을 명목으로 민간인들의 통화내역과 데이터 이용 기록을 불법으로 조회한 정황도 현지 일간지에 보도됐음. 특히 민간인의 통화 정보를 조회하기 위해서는 경찰과 정보원이 법원에서 발부한 수색 영장이 있어야 가능함에도 공권력을 이용해 직접 통신사를 협박해 휴대폰 이용 정보를 취득한 것으로 밝혀져 사회적인 공분을 사기도 했음.

□ 케냐는 왜 사이버 범죄에 취약한가

  ㅇ Kenya Cyber Security Report 2016에 따르면 케냐의 사이버 범죄 증가의 요인을 크게 5가지로 지적하고, 이에 대한 정부 차원의 지원 및 해결 노력을 주장했음.

    - 사물 인터넷 분야 성장에 따른 위협의 증가

    - 불충분한 사이버 범죄 예방 직원 교육

    - 낮은 보안 의식

    - 현실적인 정부 규제 부족

    - 사이버 범죄 전문가 부족

  ㅇ 특히 이 보고서에서는 케냐 내 정부 기관 및 기업들을 대상으로 사이버 범죄 인식 및 대처 현황에 대해 아래와 같이 조사 결과를 발표했으며, 이에 대한 구체적인 대책이 시급한 것으로 지적함.

    - 조사된 기관 42% 이상이 사이버 범죄에 대한 정기 직원 교육을 실시하지 않음.

    - 35%만 연중 1회 교육 실시 중

    - 63%가 개인 디바이스 사용을 허용

    - 41%는 개인장비 사용 규제 조치 또는 규정이 전무

    - 71%가 최근 5년 사이 사이버 범죄에 누출됐으며, 그 중 88%가 경찰에 신고조차 하지 않음.

    - 96%가 사이버 보안 장비에 연간 5000달러 미만을 사용

    - 83%는 사이버 보안 관리를 내부적으로 실시

    - 62% 이상이 PCI나 ISO 같은 사이버 보안 국제 기준 방침을 준수하지 않음.

□ 케냐 정부의 사이버 범죄 대응

  ㅇ 케냐에서는 국가 사이버 보안 협의회(National Cyber Security Committee)가 주된 사이버 보안 업무를 담당하고 있음. 정보통신기술부와 다양한 보안·기술 에이전시가 관련 기관으로 활동하고 있음. 정보통신부는 산하에 사이버 범죄 수사를 담당하는 산업 컴퓨터 보안 사고 대응팀(Industry Computer Security Incident Response Team, 이하 iCSIRT로 표기)을 두고 있음. 케냐 정부는 사이버 범죄에 대해 기구와 절차·정책을 수립하고, 2010년 설립된 iCSIRT를 통해 사이버 범죄에 대응하고 있음. iCSIRT의 주요 기능은 관련 기관들과 협조해 사이버 범죄의 방지, 수사 및 사이버 범죄 피해를 입은 네트워크 복구 등임.

  ㅇ 급증하는 사이버 범죄를 방지하기 위해, 케냐 정부는 2014년 국가사이버보안 마스터플랜(National Cyber Security Masterplan)과 관련 정책 및 전략을 수립했음. 이러한 케냐 정부의 대응에도 불구하고, 2015년 케냐의 사이버 범죄 규모는 약 40%가 증가했고, 주된 원인은 불법 소프트웨어의 사용으로 밝혀졌음. 케냐의 국가사이버보안전략의 핵심 활동은 국가인식제고캠페인(National Awareness Raising Campaign)이며, 현재 케냐 내에서 시행하고 있음. 또한 케냐 내 대학교들은 사이버 보안 학위 프로그램을 운영하고, 케냐 정부는 사이버 보안 교육기관을 설립하고 있음.

  ㅇ 케냐 정부는 구글, Facebook과 계약을 맺는 등 민간 부분과 협력해 사이버 범죄에 대응하고 있지만, 케냐의 사이버 범죄 대응의 공공-민간 협력은 최근에야 본격적인 대응이 시작됐음. 사이버 범죄에 대응하기 위한 국제협력이 강조되면서, 케냐 정부는 UN 사이버 보안 전문가의 초청해 사이버 보안 사례 및 정보를 공유하는 등의 노력을 기울이고 있음.

□ 케냐를 비롯한 다른 아프리카도 사이버 피해 극심

  ㅇ 2016년 아프리카 대륙은 사이버 범죄로 20억 달러의 피해를 입었음. 동아프리카에서 케냐가 1억7500만 달러, 탄자니아 8500만 달러, 우간다 3500만 달러의 피해를 기록. Cisco에 따르면, 사이버 범죄 예방을 위해 중소기업은 투자가 전무하고, 대기업은 보안제품 구매에 5000달러 이하를 투입하는 수준임. 특히 사이버 범죄 전문가 양성은 전무해 랜섬웨어같은 사이버 범죄에 상당히 취약한 것으로 파악됨.

2016 아프리카 국가별 사이버 범죄 피해 통계

주*: 전문가 수는 CISA, CISM, GIAC, SANS, CISSP, CEH, ISO27001, PCI DSS QA 자격증 소지자에 한정

자료원: Kenya Cyber Security Report 2016

아프리카 악성 소프트웨어(Malware) 출처 10대 국가

자료원: Cyber Crime & Cyber Security Trends in Africa(Nov. 2016)

□ 시사점

  ㅇ 사물 인터넷 기술의 발전으로 전 세계적으로 급증하는 사이버 범죄는 상대적으로 사이버 분야에 대한 기술과 지식이 취약한 아프리카에 극성을 부리고 있음. 하지만 아프리카 대부분의 국가가 상대적으로 사이버 범죄 대응 기술 및 대책이 취약하다는 점에서 IT에 선도적인 우리 기업들의 진출 기회가 될 수 있음.

  ㅇ 케냐의 경우도 내부적으로 사이버 보안에 대한 관심이 급증하고 정부 차원의 사이버 보안 관련 법안 및 제도 등을 입안하는 등 IT시장이 활성화되고 있음. IT 틈새시장이 열리는 상황에서 보안전문가 부재, 정부-공기관-민간으로 이어지는 종합 보안 시스템 개발 등의 통합적 관리 체계 등이 부재한 상황임.

  ㅇ 하지만 케냐는 모바일머니(M-Pesa) 기술이 타 아프리카 국가들로 수출 및 벤치마킹되는 점으로 보아, 한국의 선진 사이버 보안 솔루션이 케냐에 진출한다면 타 아프리카 국가들로 진출 가능성이 높아질 것으로 예측됨. 따라서 해당 관련 우리 기업들의 관심이 촉구됨.

  ㅇ 케냐 내 90% 이상의 은행은 이미 자체 사이버 보안 시스템을 구축한 것으로 파악되나, 보안와 연계된 파생상품 분야의 진출은 유망함. 일례로, 지난 2017년 5월 한국의 KT와 케냐의 제1통신기업 Safaricom이 모바일 빅테이터를 활용한 재난 방지 프로젝트 MOU를 맺은 바 있음. 이는 에볼라 등의 질병 및 자연 재해, 재난 정보 등을 인터넷 사용자들에게 모바일 SMS를 통해 전파해 피해를 줄이고 사전 대비를 가능케 할 것으로 기대됨. 이는 사이버 및 통신 분야에 한국기업이 진출한 성공적인 사례로 볼 수 있으며, 해당 사업은 인근국으로 추가 확산될 가능성이 점쳐지고 있음.

자료원: Kenya Cyber Security Report 2016, Africa Cyber Security Report 2016, Cyber Crime & Cyber Security Trends in Africa(2016년 11월), 케냐 일간지 관련 기사 종합 및 KOTRA 나이로비 무역관 보유 자료