[글=박세환 Ph.D.]
(주)기술법인 엔펌 전문위원(Chief Consultant) | 한국산업기술진흥협회-ReSEAT프로그램 전문위원 | 한국과학기술정보연구원 KOSEN전문가 | 한국산업기술평가 관리원 CS-서포터즈 위원, 사회적가치추진위원 | 한국CCTV연구소 영상보안CCTV산업발전연구회장 | 과학기술정보통신부 연구자권익보호위원회 위원 | 한국철도공사연구원 철도차량부품개발사업 6분과위원장
디지털 전환(Digital transformation)이 가속화되고 다양한 업무 방식들이 확산되면서 사이버 위협 요인이 새롭게 진화하고 있다. 아울러 코로나19 장기화 등으로 전 산업 부문에서 보안 솔루션 기능 개선에 투자가 급증하면서 기업의 보안 디지털화 로드맵의 필요성이 강조되고, 공공 기관 및 ICT 전문 기업 등을 중심으로 정보 보호의 중요성이 확산되고 있다. 본고에서는 사이버 보안 위협 요인을 진단하고, 정보 보호 수칙의 생활화 등 정보 보안 핫 이슈를 제시한다.
진화하는 사이버 보안 위협 요인
디지털 전환 기술이 가속화되고 재택 및 원격근무 등 다양한 업무 방식들이 확산되면서 새로운 사이버 위협 요인들이 나타나고 있는 상황이다. 특히 ICT 기업들이 이러한 사이버 보안에 주목하는 이유는 여러 요인들이 있을 것이다. 대표적으로는 날로 지능화되어 가고 있는 사이버 위협 및 공격에 빈번하게 직면함으로써 우리 기업이나 보안 시스템이 사이버 공격의 대상이 될 수도 있다는 위기 의식이 가장 큰 것으로 나타났다.
델 테크놀로지스(Dell Technologies)의 ‘한눈에 살펴보는 2022 사이버 보안 전망’ 보고서에 따르면, 고객사의 72%가 “임직원의 재택근무 증가로 인해 데이터 유출 및 손실의 위험도가 증가했다”고 응답했다. 아울러 대부분의 해킹 공격은 급변하는 네트워크 시스템에 집중되었으며, 사무실보다 재택 및 원격근무 시 피싱 사기에 걸려들 확률이 47% 높다고 조사되었다.
델 테크놀로지스는 이를 해소하기 위해 ▲미국국립표준기술연구소(NIST)에서 개발한 ‘사이버 시큐리티 프레임워크’를 제시하고 있으며 ▲새로운 보안 위협 요인에 대응하기 위해서는 ‘사이버 복원력’을 신속하게 확보할 수 있어야 한다고 제시하고 있다. 여기서 사이버 복원력이란 사이버 공격 예측, 대응, 회피와 더불어 피해 시 빠른 데이터 복구를 할 수 있는 역량을 의미한다.
NIST의 사이버 시큐리티 프레임워크는 이제 백신 하나로 대부분의 사이버 보안 위협 요인들에 대응할 수 있는 시대가 아니라는 것을 시사하고 있다. 즉, 새로운 보안 위협에는 새로운 대응 방법이 필요하다는 것이다. 사이버 공격 취약 지점을 여러 겹의 보안 솔루션으로 커버하는 기존의 대응 방법은 지속적으로 발생하는 보안 위협 요인들을 방어하기에 제한적이기 때문이다.
사이버 보안 위협 요인 진단
융복합 기술 시장이 급속히 확산되면서 기업의 비즈니스 환경도 빠르게 변화함에 따라, 사이버 위협 요인 또한 크게 증기하고 있는 추세다. 특히 아시아태평양 지역 국가의 중소기업들이 사이버 보안 위험에 대한 우려가 매우 커지고 있는 상황이다. 이와 관련된 시스코의 조사 결과를 간단히 요약해 보면 다음과 같다.
중소기업을 위한 사이버 보안: 아시아태평양 지역 기업의 디지털 방어 대비(시스코, 2021.09.)
- 2021년 9월 기준으로, 아시아태평양 지역 중소기업의 75%가 1년 전 대비 사이버 보안 우려가 커졌다고 응답했다.
- 사이버 보안 우려 정도를 각 국가별로 보면 인도가 84%로 1위, 필리핀이 82%로 2위, 뉴질랜드가 81%로 3위, 인도네시아(80%), 호주(77%)가 뒤를 잇고 있다.
특히, 이 조사 결과에서는 기업 내 어느 지점에서 사이버 위협이 가장 크게 발생하는지에 대한 인식이 매우 높아진 것으로 나타났다. 아울러 아시아태평양 지역 국가 내 약 45%의 중소기업들이 가장 큰 위협으로 꼽은 요인은 피싱이 1위를 차지했다.
이유는 피싱 위협이 신뢰할 수 있는 기관으로 교묘하게 위장된 특정 디지털 콘텐츠(이메일·하이퍼링크·SMS/MMS 등)를 사용자로 하여금 의심 없이 열어보게 하는, 가장 손쉬운 사이버 공격 방법이기 때문이다. 이러한 공격 방식은 가장 오래되고 기본적인 해킹 기법이지만, 간단하고 효과적이기 때문에 여전히 많이 사용되고 있다.
또한, 심각한 보안 사고가 기업의 비즈니스에 미칠 수 있는 영향에 대한 인식도 높아지고 있는 것으로 나타났다. 설문에 응답한 약 74%의 중소기업 경영자는 심각한 사이버 보안 사고로 인해 기업의 생명이 끝날 수도 있어, 매우 심각한 상황이라고 응답했다.
특히 코로나19의 장기화로 중소기업의 비즈니스 환경이 변화하면서(운영 방식 및 대규모 재택·원격근무로의 전환 등) 회사 내 직원이 원격지에서 스마트폰을 통해 회사 네트워크에 연결하고 정보에 액세스하는 일이 많아지면서 사이버 공격에 노출될 위협이 높아졌다.
시스코의 보고서에서는 중소기업들이 가장 우려하는 사이버 보안 위협 요인을 피싱 이메일(43%), 보안이 갖추어져 있지 않은 랩톱 컴퓨터(20%), 조직에 대한 악의적인 공격자의 타깃팅 공격(19%), 보안이 갖추어져 있지 않은 직원의 스마트기기(12%), 의도하지 않은 인적 오류(6%) 순으로 꼽았다.
기업의 보안 디지털화 로드맵의 필요성
코로나19가 장기화되면서 모든 산업 분야에서 보안 솔루션의 기능을 개선하는 데 투자가 급증하고 있는 상황이다. 이는 많은 부문의 경제 활동이 폐쇄되거나, 원격근무 환경으로 전환된 환경에서 지속적인 고객 서비스를 제공하기 위한 것이다.
여러 국가들은 점차 경제 활동 재개 계획을 수립하면서 그간 축적된 기술을 적극 활용하여 뉴노멀 환경에서도 지속적인 성공 경영을 기대하고 있다. 특히 아시아태평양 지역의 중소기업에게는 더욱 절실한 과제로 인식되고 있다.
중소기업(SMEs)의 사이버 보안 트렌드
(출처: 중소기업을 위한 사이버 보안: 아시아태평양 지역 기업의 디지털 방어 대비, 시스코, 2021.09.)
- 중소기업의 94%가 새로운 기술을 도입한 것으로 나타났다.
- 특히 90%의 대부분 기업들이 디지털화 로드맵(Digitalization Load-map)을 제시하고 있는 것으로 나타났다.
- 태국과 같은 비선진국의 경우 99%의 중소기업이, 인도에서는 95%가 로드맵을 제시한 것으로 나타났다.
- 이에 반해 선진국 대열에 속한 일본이나 한국의 경우, 각각 77%와 75%로 오히려 이 수치가 다소 낮은 것으로 나타났다.
- 디지털화 로드맵 실행 정도는 65%의 중소기업이 어느 정도 디지털화가 진행된 상황이며, 50% 이상이 디지털화 계획 이행을 위한 배포를 완료한 것으로 나타났다.
- 특히 인도네시아, 인도, 홍콩 등의 중소기업은 50% 이상 디지털화가 진행된 반면, 대만, 말레이시아, 한국 등의 디지털화는 가장 더딘 것으로 나타났다.
정보 보호 수칙의 생활화
다양한 산업 부문에서 사이버 보안 사고가 급증하면서 코로나-19 시대 개인 방역 수칙을 생활화하듯이 공공 기관 및 ICT 전문 기업 등을 중심으로 정보 보호 수칙의 생활화가 확산되고 있다. 특히 빅데이터 시대에서 대규모 클라우드 컴퓨팅 시스템을 이용한 사이버 보안 대응이 주목받고 있다. 몇몇 사례를 소개하면 다음과 같다.
ASTRON SECURITY의 클라우드 안전 솔루션
- 클라우드 워크로드 관점에서 가장 안전한 보안환경 구현
- 정밀한 워크로드 보안 구현, 통합화된 보안 운영 환경 제공, 보안 운영 편의성 극대화 등
- 클라우드 인프라에 대한 능동 방어 시스템 구현으로 최적의 보안 달성
개인정보보호위원회 & 한국산업기술평가관리원의 개인정보 보호 캠페인
- 홍보 문구: 개인정보 지키면 프라이 벗, 놔두면 프라이 빚
- 개인정보 보호 7가지 수칙
1. SNS에 업로드 할 사진·동영상에 개인정보가 있는지 확인합니다.
2. 출처를 알 수 없는 문자, 이메일, SNS 메시지에 포함된 링크는 열지 않습니다.
3. 공용 PC, 공용 Wi-Fi 사용 시 금융 서비스 등을 이용하지 않습니다.
4. 비밀번호는 주기적으로 변경합니다.
5. 스마트폰 앱 설치 시 개인정보 접근 권한을 살펴보고 동의합니다.
6. 최신 보안 프로그램을 설치하고 실시간 감시 기능을 실행합니다.
7. 클라우드 서비스 이용 시 개인정보 파일은 암호화하여 올립니다.
