미국, 중소기업 위한 사이버 보안 웹사이트 열었다

미 연방거래위원회(FTC), 중소기업 대상 웹사이트 개장
사이버 공격 대비부터 고객 정보 보호까지 실용정보 담아

[보안뉴스 오다인 기자] 독점 규제 및 공정거래 촉진을 위한 미국의 독립기관인 연방거래위원회(FTC: Federal Trade Commission)가 중소기업의 사이버 보안에 도움이 될 각종 팁 및 자원을 제공하는 별도의 웹사이트를 이번 주에 개장했다.

해당 웹사이트(ftc.gov/SmallBusiness)는 중소기업들이 사이버 공격으로부터 자사의 네트워크와 시스템을 보호할 수 있도록 마련됐으며, 이를 통해 일반 소비자 및 직원들의 데이터까지 보호하려는 목적으로 구축됐다. FTC의 팁과 조언들은 모두 무료로 제공된다.

이 웹사이트는 사업체를 겨냥한 사기를 피하는 방법에 대한 정보 및 회사 네트워크를 보호하는 방법에 대한 시범 영상을 제공하며, 소비자와 직원의 민감한 데이터를 어떻게 보호할 수 있는지에 관한 조언 등을 나눠준다.

이와 유사한 정부 서비스로 한국은 경찰청 사이버안전국 홈페이지를 통해 사이버 범죄 예방정보를 안내하고 사이버 범죄 신고 및 상담을 받고 있으며, 인터넷침해사고대응지원센터(KrCERT/CC: Korea Computer Emergency Response Team Coordination Center)를 통해 중소기업 정보보안 지원서비스를 제공하고 있다. 특히, KrCERT의 서비스는 중소기업의 침해사고 피해를 최소화하기 위해 △DDoS 사이버대피소, △웹 취약점 점검 서비스, △소프트웨어 보안약점 진단(시큐어코딩) 서비스, △웹셀 및 악성코드 유포 사이트 탐지 프로그램 휘슬(WHISTL), △웹 방화벽 프로그램 캐슬(CASTLE) 등을 지원하고 있다.

FTC는 보도자료를 통해, “사이버 공격은 중소기업에 특히 더 큰 피해를 일으킬 수 있다”며 이번 웹사이트 개장의 배경을 밝혔다. FTC 의장 대행 마우린 올하우센(Maureen Ohlhausen)은 “중소기업은 미국의 미래를 건설하기 위한 경제적 근력을 기르는 데 매우 중요하며, 또 오늘날 글로벌 시장에서 미국이 경쟁할 수 있도록 돕는 주체”라고 말했다.

“새롭게 선보인 이 혁신적인 웹사이트는 중소기업들이 스스로를 사기꾼과 해커들로부터 보호하기 위한 정보를 한 번에 찾아볼 수 있는, 원스톱(one-stop) 상점 같은 겁니다.” 올하우센은 “만약 사이버 공격에 당했을 때 어떤 자원을 활용할 수 있을지도 찾아볼 수 있다”고 덧붙이며 웹사이트의 실용성을 강조했다.

미국 소기업청(SBA: Small Business Administration)에 따르면, 미국 내엔 2천8백만 개 이상의 중소기업이 있으며, 약 5천7백만 명의 사람들이 고용돼있다. 중소기업을 대상으로 하는 사기꾼들은 주문하지 않은 상품을 마치 결제까지 마친 것처럼 속여 받거나 해당 기업의 네트워크와 컴퓨터를 침해, 멀웨어를 설치하는 등의 수법으로 피해를 가하고 있다.

중소기업들은 대기업이 사이버 보안에 투자하는 만큼의 자원이 없기 때문에, 중소기업에 대한 사이버 공격은 그 파괴력 측면에서 특히 더 심각할 수 있다. 이런 취약성을 노린 공격도 그만큼 많아지고 있다는 뜻이다. 시만텍의 2016 인터넷 보안 위협 보고서에 따르면, 중소기업을 겨냥한 스피어 피싱(spear phishing)의 비율이 2011년 18%에서 2015년 43%로 폭등한 것으로 나타났다.

FTC는 새 웹페이지를 통해 중소기업의 네트워크 및 고객 정보 보호를 돕는 구체적인 정보를 제공한다. 특히 새롭게 선보인 ‘중소기업 컴퓨터 보안 기초 가이드’는 회사가 자사의 파일과 기기를 보호하기 위한 기본적인 보안 방법들과 함께, 직원들이 기업의 계정 정보를 타인과 공유하기 전에 주의 깊게 생각하도록 훈련시키는 방법, 그리고 무선 네트워크 연결을 안전하게 유지하고 데이터 침해에 대응하는 방법 등을 담고 있다. 랜섬웨어나 피싱 사기와 같은 다른 사이버 위협 요소에 대한 정보도 포함한다.

사업체 대상 사기에 대비한 주요 팁은 아래와 같다.

1. 직원들을 교육하라
중소기업 대상 사기 범죄가 어떤 식으로 작동하는지 직원들을 교육시켜라. 회사에 걸려오는 전화를 고정적으로 받는 직원을 포함해서 이런 전화를 받게 될지도 모르는 직원들 전체를 대상으로 훈련을 진행해야 한다.

2. 인보이스를 면밀하게 검토하라
자사의 사업규모나 성격에 알맞은 구매주문 시스템을 시행하라. 특정 규모의 직원 그룹을 구성해 그들에게 구매를 승인하고 결제할 권한을 주라. 구매주문과 관련해선 회사의 모든 직원이 이 그룹에 요청을 보내 승인 받게 하라. 회사 사무용품, 디렉토리 서비스, 기타 비용 등을 일반적으로 어떻게 사용하고 있는지에 대해 목록을 만들고 데이터를 쌓아라. 자사가 잘 알지 못하는 업체와 기대치 못하게 비용을 쓰게 될 경우, 왜 반드시 그 비용을 지출해야 하는지 증명하도록 하라. 주문 여부가 불투명한 제품과 서비스에는 예산을 지출해선 안 된다.

3. 매사 분명히 처리하도록 확인절차를 거쳐라
발신기관이 은행, 신용카드 회사, 정부기관인 것처럼 보이는 메일을 받았다면 답변하기 전에 조사를 해봐야 한다. 해당 기관과 사무실에 전화해 메일에서 요청한 내용의 신뢰도를 파악하라. 우편배달 주소는 미국 내로 돼있지만 본부가 캐나다나 다른 국가에 있을 수 있기 때문에 디렉토리 사기(directory scam)에 걸려들지 않도록 주의해야 한다.

4. 고충처리기관에 신고하라
사기꾼이 가짜 명세서를 보냈다면, 목소리를 높이자. FTC에 해당 사실을 보고하는 것이 하나의 방법이다. 미국 내 우편을 이용한 사기에 피해를 입었다면, 미국 우편물 검사 서비스(U.S. Postal Inspection Service)를 통해 사기 사실을 보고할 수 있다.
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)