세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
사이버 보안 전문가들, 범죄의 유혹에 시달리고 있다
  |  입력 : 2018-08-09 18:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중견 기업 노리는 사이버 범죄자가 가장 많고, 피해도 가장 커
‘범죄가 돈 더 많이 벌게 해준다’는 인식 팽배...그레이 햇 수 증가 추세


[보안뉴스 문가용 기자] 사이버 보안 기술을 가지고 있는 사람이 왜 ‘화이트 햇’이 아니라 ‘블랙 햇’이 되는지를 밝힌 연구 보고서가 등장했다. 보안 업체 멀웨어바이츠(Malwarebytes)와 리서치 기관인 오스터만 리서치(Osterman Research)가 합작한 것으로, 지난 5월부터 6월가지 약 200명의 보안 전문가들을 만나 심층 취재한 것을 바탕으로 하고 있다.

[이미지 = iclickart]


사이버 범죄자들을 보다 더 이해하기 위한 노력으로서 이번 연구를 진행했다는 두 회사는 제일 먼저 “보안 사고가 터졌을 때의 비용이 엄청나게 커져 있다”는 걸 발견했다고 한다. 이는 침해사고 자체가 많이 발생한다는 걸 의미하고, 산업 내 ‘그레이 햇’의 수가 증가하고 있기 때문이기도 하다. 그레이 햇이란 보안 전문가이면서 동시에 해커이기도 한 사람들을 말한다.

범죄로 인해 발생하는 비용은 크게 세 부분으로 나눌 수 있다.
1) 보안 인프라 구성을 위한 예산으로, 각종 서비스, 툴, 인력을 포함한다.
2) 대규모 보안 사고 발생 시 예상치 않게 사용하게 되는 비용.
3) 내부자 침해 발생 시 처리되어야 하는 비용.
임직원 수가 2500명이 넘는 조직의 경우 이 비용은 총 190만 달러에까지 달할 수 있다고 두 회사는 보고서를 통해 밝혔다.

또한 보고서에 의하면 지난 1년 동안 미국 기업 대부분은 최소 한 건의 보안 사고를 겪은 바 있다고 한다. 피싱 공격이 가장 많았고, 그 다음은 애드웨어 및 스파이웨어, 스피어피싱 등이었다. ‘심각한 공격’의 경우 평균 1.8회 경험한 것으로 나타났는데, 심각한 공격이란 사업의 일부를 진행하지 못하게 한 것을 말한다.

직원의 수가 500~1000명 정도 되는 중견 기업의 경우가 가장 많은 피해를 기록했다. 그보다 작은 기업은 피해가 클 정도의 데이터를 처음부터 보유하지 않은 경우가 많고, 대기업들은 방어가 튼튼한 편이었기 때문이다. “중간급 기업은 소기업보다는 더 많은 공격을 겪었고, 대기업과 비슷한 수준을 기록했습니다. 다만 대기업만큼 방어가 좋지 않았어요.”

그러므로 현재 사이버 범죄자들에게 있어 중견 기업들만큼 먹음직스러운 먹잇감은 없다고 두 업체는 보고서를 통해 경고한다. 멀웨어바이츠의 첩보 책임자인 아담 쿠자와(Adam Kujawa)는 “그러나 보안의 비용이 너무 비싸기 때문에 실제로 조치를 제대로 취할 수 있는 중기업들은 그리 많지 않을 것”이라고 덧붙였다. “보안 전문가의 몸값이 중견 기업들에겐 좀 부담스러운 것이 사실입니다.”

재미있는 건 몸값이 비싼 보안 전문가들이지만 일부는 어둠의 유혹을 받는다는 것이다. “이번 조사에서 응답자의 절반 이상이 ‘범죄 해킹 행위를 저지르는 사이버 보안 전문가를 1명 이상 알고 있다’고 답했습니다. 사이버 범죄자들이 접근해서 이런 길로 빠지는 경우가 22%, 접근 시 심각하게 고려하는 경우가 8%인 것으로 나타났습니다.”

그래서 두 회사는 이번 조사에서 보안 전문가들에게 ‘그레이 해커’가 될 의향이 있냐고 물었다. 즉 낮에는 보안 전문가로서 근무하고 밤에는 블랙 햇으로 활동할 수 있느냐고 물었던 것인데, 미국의 응답자 중 5.1%는 “동료 중 이미 그레이 해커인 사람들이 있다”고 답했고, 영국의 응답자 중에는 7.9%가 그레이 해커 활동을 할 수 있다고 답했다.

보안 업계에 종사하고 있는 사람들 중 많은 이들이 “사이버 범죄가 보안 전문직보다 돈을 더 많이 벌게 해준다”고 인식하고 있음 또한 이번 조사에서 밝혀진 바다. 미국의 보안 전문가들의 경우 다섯 명 중 세 명이 바로 이러한 이유 때문에 그레이 햇이나 블랙 햇으로 변한다고 여기고 있었다. 하지만 또 다른 이유도 있었다. 고용주에 대한 보복으로서, 혹은 철학적인 이유 때문에 블랙 햇으로 변모한다는 응답자가 합쳐서 절반을 넘었다.

쿠자와는 “이런 경우 보안 담당자가 악성 내부자로 변한다”고 경고한다. “이런 사람들이 악성 내부자로서 변모할 경우, 기존 사이버 범죄자들이 해킹으로 탈취할 수 있는 것보다 훨씬 귀중하고 값어치 높은 데이터를 훔쳐낼 수 있습니다. 더 치명적인 피해를 줄 수도 있고요. 게다가 기업은 네트워크의 신뢰를 잃게 되는데, 이는 회복에 긴 시간이 걸립니다.”

또한 쿠자와는 이번 연구 결과에 대해 “사이버 범죄가 우리 생각보다 훨씬 가까운 곳에 있다”고 정리한다. “이번 조사에 응한 전문가들도 ‘마음만 먹으면 블랙 햇 세상에 빠질 수 있다’고 답했습니다. 유혹이 강력하다고도 말했습니다. 이건 보안 커뮤니티가 심각하게 고려해봐야 할 문제입니다.”

3줄 요약
1. 사이버 보안 전문가에게 접근하는 사이버 범죄자들의 유혹, 강렬하다.
2. 범죄 활동하면 사이버 보안 전문가로서 버는 돈보다 더 많이 벌 수 있다는 인식 팽배.
3. 낮에는 보안 전문가, 밤에는 범죄자 되는 그레이 햇 증가하고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)