다. 케냐 17 년예상 GDP( 십억달러 ) 75.1 '17 년인구수 ( 천명 ) 46,791 ITU 글로벌사이버보안지수 (Global Cybersecurity Index, GCI) 케냐의사이버보안지수는우리나라와비교하면대체로낮은편으로특히조직, 역량강화항목에서약세를보이고있음 ( 상, 중, 하 ) 국가명 2017 GCI 지수 5대하위항목평가및순위지수순위법제기술조직역량협력 종합 케냐 0.570 45 대한민국 0.782 13 ICT 관련주요지수 케냐의전반적인 ICT 발전수준은 ITU 조사국 167개국중하위권에속해있음 지표명 케냐한국점수순위점수순위 ITU ICT 발전지수 (IDI 2016) 2.99 129 8.84 1 접근 (Access) 부문 3.54 133 8.99 8 활용 (Use) 부문 2.05 123 8.57 3 기술 (Skills) 부문 3.76 133 9.08 3 ITU 글로벌사이버보안지수 (GCI 2017) 0.57 45 0.782 13 UN 전자정부지수 (2016) 0.419 119 0.892 3 WEF 네트워크발전지수 (NRI 2016) 3.8 86 5.6 13 ICT 관련주요통계 (ITU, 2016 년말기준 ) 케냐는각종통신서비스보급률은하위권이나이동통신보급률은비교적높음 항목 케냐한국가입자수 ( 천명 ) 보급률 (%) 가입자수 ( 천명 ) 보급률 (%) 유선전화 72 0.15 28,035 56.1 유선브로드밴드 157 0.3 20,555 41.1 이동통신 38,982 81.3 61,295 122.7 인터넷이용률 26.0% 92.7%
1) 정보보호산업개요 가 ) 보안환경 World Economic Forum 의 The Global Information Technology Report 2016 에따르면케냐의네트워크준비지수 (NRI) 는 3.8로전세계 143 개국중 86위임 - 미국 CIA(Central Intelligence Agency) 에따르면, 케냐인구는 4,500 만명, 0-14 세인구는 41.6%, 인터넷사용자는 69.6%, Facebook 사용자는 500 만명, 모바일가입자는 3,750 만명을기록함 케냐는 2017 년 4월 6일, 컴퓨터및사이버범죄법안 2016(Computer and cybercrime Bill)' 을통과시킴으로써사이버보안범죄에대한규제가가능해짐 - 본법안의발표로현재만연하고있는사이버범죄에대한경각심을불러일으키고다소라도범죄통제가가능해질전망임 케냐는 ICT 사회로발전함에따라사이버공격이증가하고있어이에대비하기위해케냐정부는 2014 년국가사이버보안마스터플랜 (National Cyber Security Masterplan), 관련정책및전략을수립하고이에대응할전문가양성등도함께추진중임 - 글로벌컨설팅회사 Deloitte 는사이버범죄로케냐내사업가및인터넷이용자들이 2016 년 180 억케냐실링 ( 약 1,800 만달러 ) 의피해를입었고, 2017 년에는이보다 30% 증가한 234 억케냐실링 ( 약 2,340 억달러 ) 의피해를입을것으로예상함 - Kenya Security Survey 2016' 에따르면, 사이버공격의형태도변화하고있는데 2012 년에는자연발생적인기회를노렸다면 2016 년에는공격스킬향상과더불어타깃을선정하여집중공략하는방식으로진화하고있음 - 현재케냐에서시행되고있는사이버보안전략의핵심은국가인식제고캠페인 (National Awareness Raising Campaign) 이며케냐정부는전문가양성을위해대학내사이버보안학위프로그램을운영하고사이버보안교육기관을설립하고있음 - 케냐정부는 Google, Facebook 과계약을맺는등민간부분과협력해사이버범죄에대응하고있지만, 케냐의사이버범죄대응의공공 -민간협력은최근에야본격화되었으며, 정부는 UN 사이버보안전문가를초빙해사이버보안사례및정보를공유하는등의노력을기울이고있음
하지만보안의식은매우낮아, 케냐소재정보보안컨설팅기업인 SERIANU 보고서에따르면, 케냐비즈니스기업의 70% 가보안위험에노출되어있으나이들조직의 21% 는전혀보안위험에대해염려하지않는것으로조사됨 - Kaspersky Lab 동아프리카담당매니저에따르면, 케냐의 CIO와 CISO 는최근들어사이버보안의현실적문제, 즉해킹등으로데이터손실을가져올뿐만아니라기업의평판에도영향을줄수있다는사실을인식하기시작함 케냐의 125 개기관을대상으로시행한 Kenya Security Survey 2016' 에따르면, 케냐정부기관및기업들의사이버범죄의식및대처는아직낮은수준으로사이버범죄에대응할구체적인대책이시급한것으로드러남 - 조사참여기관 42% 이상이사이버범죄에대한정기직원교육을실시하지않음 - 35% 만연중 1회교육실시중 - 63% 가개인디바이스사용을허용 - 41% 는개인장비사용규제조치또는규정이전무한상태 - 72% 가최근 5년사이버범죄에노출되었으며, 그중 88% 가경찰에신고조차하지않음 - 96% 가사이버보안장비구매등에연간 5,000 달러미만을사용 - 62% 이 PCI 나 ISO 같은사이버보안국제기준방침을준수하지않음 Kenya Security Survey 2016' 에서밝혀진케냐사이버보안의주요문제점은다음과같으며정부차원지원및해결노력의필요성주장 - 사물인터넷분야성장에따른위협의증가 - 불충분한사이버범죄예방에대한직원교육 - 보안에대한낮은인식 - 현실적인정부규제의부족 - 숙련된사이버범죄전문인력부족 Kenya Cyber Security Report 2016 에따르면케냐사이버범죄피해액은 1억 7,500 만달러를기록하였으며은행, 모바일, 온라인서비스가사이버범죄에가장취약한것으로나타남 - 2016 년은악성소프트웨어를통한모바일머니분야사이버범죄피해가막대했으며모바일인터넷뱅킹인프라를목표로하는악성소프트웨어가증가하고있음 - 인터넷상거래플랫폼에서는온라인사기, ATM 카드불법복제, 신원도용과같은
문제가많이발생하고있음 - 보고서에따르면, 케냐정보보안의중요성및위험성에따른순위는다음과같음 순위 2015 년 2016 년 1 정부기관 금융권 2 금융권 정부기관 3 금융서비스및모바일머니 금융서비스및모바일머니 4 제조업 베팅사이트 5 Sacco's 전자상거래 (E-commerce) 6 통신 병원및도소매업 7 보험 8 소매 9 접객업 ( 호텔, 식당 ) 10 전문서비스 - 케냐내사이버범죄는다양한형태로발전하고있는데케냐그린필드프로젝트 ( 신공항건설사업 ), Two Rivers 대형쇼핑몰건설등케냐내여러사업에참여한바있는중국항공기술개발공사 (China National Aero Technology International Engineering Company) 는한케냐입찰사업가와공모해국세청서버데이터베이스에접근해세금탈루시도로경찰에적발되기도함 Kenya ISACA 에따르면보안전문가의숫자는적은상태로공인자격을가진전문가는 1,000 명정도로인구 20만명당한명정도임 보고서에따르면, 케냐의사이버공격은 73% 가멀웨어공격이며 23% 는 DOS 및애드웨어로나타남 - 멀웨어의 68% 는아프리카지역에서만존재하는맞춤형형태인것으로드러남 - 비록 61% 가 BYOD 를허용하고있지만 59% 는이들에대한관리가부족한것으로드러남
나 ) 인터넷및통신환경 유선통신 - 2016 년기준케냐의유선통신가입회선수는 2015 년대비 0.03% 감소한 72,801 회선 ( 보급률 0.15%) 을기록했으며유선가입자는점차적으로감소하는추세임 케냐유선통신가입회선수및보급률 ( 단위 : 회선 ) 출처 : ITU Statistics DB(2017.6) 브로드밴드 - 2016 년기준케냐의브로드밴드인터넷가입회선수는 2015 년대비 0.05% 증가한 157,878 회선 ( 보급률 0.33%) 을기록함 케냐브로드밴드가입회선수및보급률 ( 단위 : 회선 ) 출처 : ITU Statistics DB(2017.6)
이동통신 - 2016 년기준케냐의이동통신가입회선수는 2015 년대비 0.6% 증가한 3,898 만 회선을기록, 인구당보급률 81.3% 를기록함 케냐이동통신가입자수및보급률 ( 단위 : 천명 ) 출처 : ITU Statistics DB(2017.6) 2) 정보보호시장현황 가 ) 시장규모 m 시장규모및성장률 2014 년전세계보안시장성장률은 7.9% 이며중동 / 북아프리카는 8.4%, 남아프리카는 3.8% 의성장률을기록함 - 아프리카시장의성장률에도불구하고글로벌시장에서아프리카가차지하는비중은중동과아프리카전역을합하여 2% 정도에그치고있음 2017 년기준케냐정보보안시장규모는 2,330 만달러수준으로추정 - 시장조사기관 Technavio 의 2015 년자료 1) 를활용해, 2017 년시장규모를추계하는회귀식을구했으며, 이를 2017년변수에적용하는방법을취해 2,330만 1) Technavio, Global Information Security Products and Services Market 2015-2019(2015)
달러규모를도출 2) 케냐보안시장은 IT 서비스의시장성장과더불어성장할것으로예상되나현재케냐 IT 서비스시장자체는여전히작은규모임 케냐 IT 서비스시장 : 2014-2020 출처 : BMI Research(2016) - 케냐 2016 년 IT서비스시장규모는 IT 전체시장중 21.5% 로, 이집트의 28.4%, 남아프리카공화국의 40% 와비교됨 - 정부가추진하는프로젝트가동기간동안가장큰 IT 시장의재원 - 향후클라우드컴퓨팅과비용대비효율적인솔루션이케냐 IT시장의긍정적인전망을가져올것으로예상됨 정보보안시장에서는각종제품과서비스에대한수요가지속적으로증가하고있는 것으로보이나, 신뢰할만한시장정보를확보하기는쉽지않은상황임 - 글로벌기업들의움직임을보면 Cyberoam 등의네트워크장비기업이현지여러기업 과파트너십을체결하고자사제품을현지에마케팅하고있는것을파악할수있음 2) GDP 와인구규모를독립변수로다중회귀분석을실시. 계수의 p 값이낮은 GDP 데이터를활용했으며, 국가별 GDP 편차가크게나타나 LOG 값을취하여다중회귀분석을재실시하여추정의정확도를제고함. 데이터가있는 22 개국가의시장규모와 GDP 에기울기인 1.09544492562193 를곱해서산출했으며, Y 절편인 0.668571234 를계산하여세네갈등데이터가없는 8 개국가의 GDP 에곱해서추정
- 또한, 클라우드서비스의증가로 MSS(Managed Security Service) 등과같이아웃소싱및서비스형태로기업에게통합적인보안서비스를제공하는사업자도증가하고있는상황임 - 케냐침해사고대응팀사이트인 KE-CIRT 홈페이지에서는보안사고에대한신고를받고있으나, 케냐자체적으로사이버범죄에대한신뢰성있는자료를구하기힘든상황이며이러한통계는글로벌기업의통계에의지할수밖에없는상황임 시장조사기관 SDI 는 2015 년국토보안 (Homeland Security) 부문에대한케냐정부의예산을 10억달러규모로분석했으며, 이집트, 앙골라, 모로코등과비교할때낮은것으로평가함 - 정부의국토보안을향상시키기위한현대화계획및군력증강에힘입어케냐예산지출증가율은 2016 년 ~ 2020 년까지연평균 3.94% 의성장률을기록할전망임 아프리카주요국국토보안예산 : 2011-2015 vs. 2016-2020 국가 CAGR 2011-2015 CAGR 2016-2020 2015 년예산 ( 십억달러 ) 앙골라 22.54% 10.74% 8.2 이집트 8.42% 9.82% 5.9 남아공 -2.87% 2.85% 4.0 모로코 4.70% 4.44% 4.0 케냐 2.60% 3.94% 1.0 출처 : SDI, Homeland Security Expenditure in Kenya to 2020: Market Review(2015.6) 2016~2020 년케냐국토보안부문에대한정부지출규모및성장률전망 출처 : SDI, Homeland Security Expenditure in Kenya to 2020: Market Review(2015.6)
나 ) 주요사업자현황 m 시장특성및경쟁강도 케냐사이버보안시장은 Symantec 및 Cyberoam 등다국적기업들이현지통신사및 ISP 등과협력하여시장을공략하고있는상황임 - 케냐는여타국가와같이다국적보안솔루션기업의영향력이큰상황이며, 최근에는네트워크장비위주의보안에서통합적으로제공되는보안서비스시장으로의전환및보완도이루어지고있는것으로판단됨 - 현지 IT솔루션기업인 Naisoft 가현지에서판매하는제품을보면다음과같으며주로네트워크보안장비에치중하고있는것으로분석됨 Antivirus Content/Spam Filtering Network Management Change and Configuration Audit Data Leakage Protection Intrusion Detection & Prevention IDS/IPS. Firewalls Virtual Private Network (VPN) Integrated Security Appliance (UTMs) m 주요사업자 Safricom - 케냐통신사업자 Safricom 은케냐정부와 149 억케냐실링 (KES)(1 억 6,220 만달러 ) 규모의시스템을구축하는계약을체결하였으며 18개월에걸쳐완료될예정임 - 국회행정및보안협의회는해당프로젝트를 2014 년 6월승인했으며이러한조치는 2013 년 9월나이로비웨스트게이트쇼핑몰의보안사고후에일어난조치임 - 해당계약하에사업자는통신및보안경계시스템을설치및운영할것이며, 우선나이로비및몸바사지역경찰서를연계할예정임
Cyberoam - 인도의네트워크보안솔루션공급자인 Cyberoam 은케냐에본거지를둔민간및공공 IT서비스제공사업자 BusinessIT Africa 와파트너십을체결하고보안분야에서협력하기로함 (2014.10) - BusinessIT 는 Cyberoam 보안제품, 즉 UTM(Unified Threat Management Appliances) 및관련보안제품을케냐에서마케팅하기로함 - Cyberoam 케냐채널매니저에따르면, 케냐의인터넷및스마트폰사용증가로네트워크보안은비즈니스의필수불가결한부분이되고있음 - 케냐에서판매되는 Cyberoam 제품은다음과같음 Cyberoam NetGenie Cyberoam Network Security Appliances Next-Generation Firewalls(NGFW), Unified Threat Management Appliance(UTM) Cyberoam iview Cyberoam Central Console 케냐에서판매되는 Cyberoam 제품 Symantec - Symantec 은 SEACOM 의클라우드컴퓨팅계열사 Pamoja 와의파트너십을발표함 - Symantec 은사하라이남지역 (Sub-Sahara) Pamoja 의네트워크에서전계층을포괄하는통합솔루션을제공할예정임 - 케냐및남부아프리카에데이터센터를가지고있는 Pamoja 는중소기업을타깃으로함 AccessKenya - 인터넷서비스제공자 AccessKenya 는보안기업 Security Risks Solution 및 Internet Solutions Kenya 와협력하여보안관리서비스 (Managed Security Service, MSS) 를출시함 (2014.3)
- 동서비스는주 7 일네트워크모니터링이가능하고, 실시간으로로그를캡처링할 수있으며, 전자파일조작을사전에고지하는등의기능을제공함 NetGuardians - 스위스소프트웨어기업인 NetGuarians 는금융 IT 기업 Sofgen 과파트너십을체결하고케냐에사기방지 SW를출시하기로함 - NetGuarians 는 Price Waterhouse Coopers(PwC) 현지조직이수행한컨설팅및리서치결과에의해케냐내기술적금융사기가큰위협으로부상함에따라동서비스를시작하게됨
3) 정보보호정책및기관현황 가 ) 관련법령및정책 m 관련법령및규제 케냐정보통신보안법령 (Kenya Information and Communication Act CAP411A) - 케냐정보통신보안법령은 1998 년제정되었으며, 2013 년과 2014 년에개정됨 - 동법령은 Communications Commission of Kenya(CCK) 가국가보안대응팀인 CIRT(National Computer Incident Response Team) 를설립하고이를통해국가사이버보안프레임워크를개발하도록규정함 - CCK 는 KE-CIRT/CC 설립을통해국가사이버보안사고에대응 관리하고자국내이해관계자, 지역및해외와의협력을주도하도록역할을부여함 케냐내각은 2017 년 4월 6일 컴퓨터및사이버범죄법안 2016(Computer and cybercrime Bill)' 을통과시킴으로써사이버보안범죄에대한규제가가능해짐 - 동법안은국회의승인을거쳐 2017 년연말경발효될예정 - 법안 2016 은사이버공격, 즉컴퓨터기만, 사이버침해, 어린이포르노그래피및컴퓨터시스템무단침입등을범죄로규정하며, 현재 M-Pesa, Airtel Money 등의모바일트랜잭션기만등을방어할수있게될전망 - 처벌로는컴퓨터무단접근은 3년이하징역, 5백만케냐실링까지벌금형에, 사이버시스템침입에대해서는 10년이하징역, 천만케냐실링까지벌금형에처할수있음
아프리카지역보안법률제정현황 출처 : simmons & simmons(2015.6) m 주요전략및정책 케냐는 ITU와미국무역개발부의도움으로 CIRT 를설립함 - 케냐통신위원회는국가사이버보안사고중재및관리에책임기관인 CIRT 를운영함 - 2012 년 2월, 정부는 ITU와국가컴퓨터사고대응센터를설립하기로계약을체결함 - 또한정부는벌률및사이버공간의표현자유를해결하기위한지역사이버보안워크숍에참가함 - 케냐는동아프리카커뮤니티 (East African Community) 에포함되어있으며, Common Market Protocol 를뒷받침하기위한사이버법률을개발하는것에관심을표명했음 - 미국무역개발청은 58만달러를케냐정보통신부에기부하여케냐가국가사이버보안마스터플랜, 즉국가정보네트워크를위한사이버보안표준, 보안프레임워크를개발하도록지원함 케냐정부의국가사이버보안전략 (National Cyber security Strategy) - 케냐정부의보안전략은 Vision 2030 의 3가지원칙을중심으로움직이면서국가 ICT 마스터플랜도지원하는개념으로진행 - 전략의목적은케냐사이버보안비전, 성취목표및목적을확고히하여케냐사이버공간의안전을확보함으로케냐의지속적경제성장에필수적인 ICT 성장을장려
하기위함임 - 케냐정부는사이버보안인식에대한수준을개선하기위한필요를인식하면서다음과같은몇가지조치를취함 : Kenya Information and Communications (Amendment) ACT, 2014 개정안, National Kenya computer incident response Team coordination Center(KE-CIRT), Nation Certification Authority Framework 제정 - 공공주요인프라구현및케냐현지및국제사이버보안협력기구및포럼과의협력을위한프레임워크를설립함 케냐사이버보안전략및마스터플랜의목표 출처 : Kenya Cybersecurity Report 2015 케냐정부는사이버보안에관한정부차원의확고한실천을위해서다음과같은 4가지목표를설정함 - 목표 1) 정부는사이버보안이국가성장, 안전및번영을가속화한다는자세로정부차원의사이버보안의식을강화함 - 목표 2) 정부는사이버보안의식을높이고사이버보안필요에따른인력등의개발함으로써국가적사이버보안능력을구축함 - 목표 3) 정부는사이버보안정책및정보등을업계이해관계자와공유, 이를통한협력체계를강화함 - 목표 4) 정부는국가사이버보안비전, 목적, 목표등을정의하여사이버보안의국가적리더십을확립하고국가차원의사이버보안동기부여를고취함
케냐사이버보안목적및목표 출처 : Kenya Cybersecurity Report 2015 나 ) 담당기관 케냐컴퓨터침해사고대응팀 (Kenya Computer Emergency Response Team, KE-CERT) - KE-CIRT 의기능은다음과같음 로컬 CIRT, 지역 CIRT, 타국의 CIRT 및다른조직과의연계를담당 정보보안사고에관한기술정보수집, 취약점, 보안수정사항및여타보안사항등의공표및알림 컴퓨터보안및관련기술리서치및분석수행, 또한새로운트렌드에대한정보제공및가이드 국가공공보안인프라스트럭처 (PKI) 의개발독려 정보보안에대한능력확립및사이버보안관련활동에대한인식제고
- KE-CIRT/CC 의이해관계는다음과같음 Ministry of Information and Communication(MOIC) Communications Commission of Kenya(CCK) Kenya ICT Board(KICTB) International Telecommunications Union(ITU) 케냐사이버보안거버넌스조직 출처 : www.privacyinternational.org 다 ) 규제및인증제도 케냐정부차원의인증시스템부재 - 케냐정부는공식적으로승인된인증을위한국가 ( 특화된분야포함 ) 사이버보안프레임과국가차원의에이전시또는공적부분의전문가시스템을보유하고있지않음 라 ) 최근정책동향및이슈 남아프리카 IT 인프라기업 Dimension Data(DiData) 는케냐은행및고객데이터등의 보안과관련높은리스크로보안솔루션을필요로하는분야를대상으로사이버보 안시장에진입함 (2016.5)
- 2016 년 5월, Dimention Data 는자사의 매니지드시큐리티서비스 (MSS) 를런칭하였는데이는기업고객이내부보안전문가및규제관련조직에투자해야하는비용부담을절감하게함 - 동사는중동및아프리카지역에자사의보안운용센터 (Security Operation Centres, SOCs) 를통해보안서비스를제공하는것을중점사업으로하고있음