세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
요즘 중소기업들의 정보보안 트렌드 9가지
  |  입력 : 2018-07-10 10:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안은 대기업과 공공 기관만의 몫?...그것은 이미 옛말
랜섬웨어와 멀웨어 걱정 꾸준...CISO는 임시적으로 고용하는 형태로


[보안뉴스 문가용 기자] 최근 발표된 두 개의 보고서는 조금 충격적인 결과를 나타낸다. 중소기업들이 보안에 대해 더 진지하게 생각하고 있다는 것이다. 하나는 보안 업체 웹루트(Webroot)가 600명의 IT 고위직들을 대상으로 조사해 발표한 것으로 중소기업에서 특히 중요하게 생각하고 있는 보안 문제가 무엇이며, 어떤 부분에서 조금 안일한 면모를 보이는지 보여준다.

[이미지 = iclickart]


웹루트의 부회장인 찰리 토메오(Charlie Tomeo)는 “보안 사고에 대한 보도가 사람들의 경각심을 일으키고 있다”고 짚었다. “악의적인 해커들이 계속해서 새로운 멀웨어와 전략을 들고 나와 공격을 가하고 있습니다. 그리고 거기에 피해자들이 계속해서 생겨나고 있고요. 그러니 보안에 대한 중요성을 사람들이 인지하기 시작했습니다. 기존에는 보안을 무시하던 중소기업들마저도요.”

또 다른 보고서는 카스퍼스키(Kaspersky)가 발표한 것으로, 중소기업 사이에서 나타나는 보안 투자와 보안 인력 충원 현황에 대해 연구했다. 카스퍼스키의 북미 지사 부회장인 제이슨 스타인(Jason Stein)은 “중소기업은 CISO의 몸값이 부담스럽다는 전제 하에 이번 연구를 실시했다”고 밝혔다. “그래도 변화가 눈에 띕니다.” 토메오와 스타인은 중소기업의 보안 문화가 다음과 같이 변한다고 입을 모았다.

1. 피싱 공격이 급증하고 있다
피싱 공격이 하도 많아서 요즘 거의 모든 기업의 IT 담당자들은 피싱 잡기에 집중하고 있다. 또한 피싱에 대한 확실한 해결책이 아직까지 없다는 것도 이해하고 있다고 웹루트의 연구 보고서는 설명하고 있다. 피싱이 어제 오늘의 문제가 아니지만 여태까지 중소기업들은 ‘누가 우리 같은 작은 회사를 노리겠어?’라고 생각해왔다. 하지만 이렇게 생각하는 중소기업 담당자들은 크게 줄어들고 있다. 특히 중소기업을 통해 파트너사인 대기업이나 주요 기관들로 들어가려는 공격 시도가 많다는 걸 잘 이해하고 있다.

2. 랜섬웨어에 대한 두려움도 커져
웹루트의 보고서에 따르면 워너크라이(WannaCry) 사태 이후 중소기업의 랜섬웨어에 대한 두려움이 크게 올랐다고 한다. 이전에는 중소기업의 고민 순위에서 5위 정도를 차지하고 있었다면 지금은 3위로까지 올라갔다. 영국 중소기업의 경우는 랜섬웨어에 대한 걱정이 1위에 올랐다. 토메오는 “시장에서도 이런 중소기업의 걱정을 느낄 수 있다”고 설명한다. “저희 회사도 랜섬웨어 관련된 상담이나 인력 수요가 가장 높았거든요.”

소규모 기업들의 경우, 랜섬웨어 경고문이 화면에 뜨는 순간 패닉에 빠진다고 한다. 그래서 대부분은 범죄자들이 요구하는 돈을 내기로 결정하는 편이다. 보안 업체들이나 FBI, 각종 정부 기관들에서 돈을 내면 안 된다고 경고를 해도 말이다. 하지만 정말로 돈을 내도 공격자들이 파일을 정상적으로 복구시켜주는 경우는 50% 정도 뿐이라고 한다.

3. 내부자 위협은 줄어들고
에드워드 스노든(Edward Snowden) 사건이 발생한지 5년이 지났다. 그래서 내부자 위협에 대한 걱정이 스물스물 사라지고 있다. 웹루트에 의하면 25%의 기업들만이 “내부자 위협에 대해 걱정하고 있다”고 말했다고 한다. 토메오는 “몇 년 동안 보안 교육이 다양한 곳에서 공격적으로 이뤄졌는데, 그래서 어느 정도 자신감들이 생긴 것으로 보인다”고 설명한다. “이제 기업들은 정보를 다루고, 어딘가로 전송하는 것에 대해 훨씬 조심스럽게 접근합니다.”

또한, 중소기업은 직원이 많지 않기 때문에 누군가의 악의적인 행동이나 실수가 금방 눈에 띈다는 특징도 있다. 그래서 공격의 의도를 가지고 회사에 입사했다 하더라도, 움직임이 크게 제한된다. 대기업처럼 직원들이 너무 많아 같은 직원인지 파트너사 직원인지 손님인지 구분이 안 되는 곳에는 내부자에 대한 두려움이 더 커질 수밖에 없다.

4. 새로운 멀웨어에 대한 걱정은 계속된다
멀웨어에 감염되는 것은 중소기업의 오래된 걱정이며, 이는 여전히 유효하다. 이 수치는 나라마다 대동소이한데, 미국에서 새 멀웨어를 걱정하는 중소기업은 37%, 호주는 34%, 영국은 32%다. “공격자들은 항상 새로운 멀웨어를 만듭니다. 그래서 보안 업체가 매일처럼 샘플링과 분석을 할 수밖에 없지요. 멀웨어가 드문드문 나타났던 과거와는 전혀 다릅니다. 시그니처도 계속 바뀌기 때문에 보안 업체로서는 참 까다롭죠. 이러한 사정을 중소기업들도 알기 시작했습니다.”

5. 훈련 프로그램은 어떻게 기획해야 할까?
공격적인 보안 훈련이 이뤄진다고 하지만, 기업마다 사정이 다르다. 또한 정기적으로 보안 교육을 실시하는 조직은 찾기가 힘들다. “중소기업은 인력이 충분치 않기 때문에 업무를 해내는 데에만도 인력을 빡빡하게 배치해야 합니다. 교육으로 시간을 빼는 게 쉽지 않아요. 그래서 전혀 엉뚱한 사람들이 대신 교육을 받기도 하죠. 심지어 실제 카드 정보를 다루는 직원이 아니라 CEO가 교육을 받고 와서 다 잊어버리기도 합니다.”

그래서 웹루트는 사건이 일어날 때마다 교육을 실시한다고 한다. “예를 들어 누군가 잘못된 링크를 클릭하면 악성 링크에 관한 2분짜리 영상이 팝업으로 떠서 재생됩니다. 비슷하게, 실제 사건이 발생했을 때 교육을 하면 효과가 높아집니다. 그리고 시간도 아낄 수 있고요.”

6. 유출의 비용이 낮아지고 있다
웹루트와 카스퍼스키의 연구에서 한 가지 뚜렷한 차이점이 있다면 바로 유출 사고로 인한 비용 문제다. 웹루트의 보고서에 따르면 유출 사고로 인한 비용이 9% 낮아져 52만 7,256달러를 기록하고 있다. 하지만 카스퍼스키는 이를 약 12만 달러라고 집계하고 있다. 이 부분은 ‘유출 사고의 비용’을 계산하는 방법이 차이가 있기 때문인데, 보통은 벌금, 소송 등에 드는 법적 비용, 복구 비용, 사업 손실, 명성 피해 등을 포함시킨다. 유출 때문에 드는 비용이 실제로 낮아지고 있거나, 낮아지고 있다고 기업들이 인식하고 있다는 것도 특이한 흐름이다.

7. 보안 예산은 증가하고 있다
카스퍼스키의 보고서에 따르면 중소기업의 보안 예산이 작년 20만 1,000달러에서 올해 24만 6,000달러로 올랐다고 한다. 특이할 점은 규모가 대단히 작은 업체의 경우도 보안 사고에 대한 위험성을 인지하기 시작해 지난 1년 새 보안 예산을 2,400달러에서 3,900달러로 올렸다는 것이다. 이제 기업활동을 한다고 하는 조직은, 그 규모가 어쨌든 보안을 진지하게 고민하기 시작했다는 의미라고 카스퍼스키는 해석한다.

또한 CISO를 풀타임으로 채용하기 어려운 규모의 기업들은 ‘임대식 CISO’ 제도를 애용하고 있다고 한다. “업계 내에서 점점 인기가 높아지고 있는 제도로, 교육 할 때나 뭔가를 평가할 때만 단기적으로 CISO를 초대하는 겁니다. 외부 전문 인력을 두고 필요할 때만 CISO의 역량을 발휘해달라고 하는 겁니다.”

8. 클라우드 서비스가 가장 비싸다
카스퍼스키에 의하면 중소기업을 위협하는 보안 사고들 중 가장 많은 비용이 들게 하는 건 외부에 호스팅 된 IT 인프라에 공격이 가해졌을 때다. 즉 대부분의 경우 클라우드를 말하는데, 클라우드에 일어난 공격을 복구하는 데 드는 비용은 11만 8,000 달러였다. 그 다음은 컴퓨팅과 상관없는 장비들을 통해 사고가 발생했을 때로, 대부분 사물인터넷 기기들을 말하며, 9만 8,000달러가 소요됐다.

“이는 기업들이 클라우드로 IT 인프라를 이전하면 보안도 클라우드 업체가 알아서 해줄 것이라고 보고 있어요. AWS나 MS 에저 등 대기업의 이름이 붙어 있으면 보안도 완벽할 것이라고 여기는 것이죠. 그러나 클라우드 보안의 반은 고객사의 책임입니다. 그러므로 다 해줄 거라고 생각하는 건 오산입니다.”

9. 복잡해지는 IT 기술이 보안 투자를 유도한다
IT 업계는 요새 신기술의 등장이 너무 빨라 전문가들조차 정신이 없다고 말할 정도다. 기술 발전이 빨라지니 네트워크 역시 점점 더 복잡해지고 있다. 카스퍼스키는 이것 때문에 사람들이 지레 겁을 먹고 투자를 결단한다고 말한다. “이제 방화벽만 놓으면 네트워크가 안전해지던 때는 먼 과거의 일입니다. 이제 인프라 곳곳을 안전하게 만들어야 하고, 그 안에 저장된 데이터도 그래야 합니다. 이런 사정을 일반 사용자가 세세하게 몰라도 어느 정도 느끼고 있어요.”

그러면서 또 하나 나타나는 현상은 보안이 세분화되고 있다는 것이다. “디도스 공격에 특화된 보안 전문가, 피싱 캠페인에 능한 전문가가 각각 활동을 시작했다는 것이죠. IT 보안을 통체적으로 알기가 힘들어지고 있기도 하거니와, 중소기업의 경우 특화된 전문분야의 사람을 부르는 게 더 저렴하기도 합니다. 이 ‘세분화’는 심지어 솔루션 별로도 이뤄지고 있습니다. MS에 특화된 사람, 아마존 제품을 전문으로 하는 사람 등으로 말이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)