시장조사기업 스태티스타(Statista)가 모든 사이버 침해의 80% 이상이 사람의 실수에서 비롯된다는 연구 결과를 내놨다. 스태티스타는 올해 사이버 범죄의 피해액은 약 13조 달러에 달할 것으로 예상되며, 2027년에는 연간 24조 달러 규모의 패해가 발생할 것으로 전망했다.

보안 매체 사이버뉴스에서 무료로 제공하는 사이버 침해 모니터링 도구 ‘랜섬루커(Ransomlooker)’에 따르면 전체의 64%의 조직이 랜섬웨어 공격을 받은 경험이 있는 것으로 나타났다.

사이버뉴스는 지난 10년간 기업과 산업 전반에서 사이버 보안에 대한 인식이 높아졌지만 여전히 많은 조직들이 랜섬웨어로 피해를 보고 있다고 지적하며, 더욱 철저한 사이버 보안 교육이 필요하다고 강조했다.

최근 미국 라스베이거스의 유명 호텔에서 발생한 사이버 공격은 조직 구성원들의 사이버 보안 인식 제고가 얼마나 중요한지 보여주는 사례라고 할 수 있다.

지난 9월 11일, 라스베이거스의 대표적인 호텔 MGM이 사이버 공격을 받아 약 1주일 동안 모든 고객 서비스가 제대로 작동하지 않으면서 1억 달러 이상의 손실이 발생한 것으로 알려졌다. 또 다른 유명 호텔 시저스는 사이버 공격자들에게 1500만 달러의 비용을 지불했다고 한다.

라스베이거스 호텔들을 대상으로 한 사이버 공격의 배후에 있는 랜섬웨어 조직인 스캐터드 스파이더(Scattered Spider)와 ALPHV/BlackCat은 음성 기반의 피싱 공격을 통해 MGM과 시저스의 네트워크 시스템에 접근한 것으로 확인됐다. 시저스 측은 IT 아웃소싱 업체를 통한 사회공학적 공격이 있었다고 주장했다.

사회공학적 공격은 사람들이 관심을 갖는 주제를 통해 악성 파일 다운로드를 유도하는 사이버 침해 방식으로, 조직원이 실수로 이메일 등에 첨부된 파일을 다운로드 했다가 큰 피해로 이어지는 사고가 종종 발생하고 있다.

이러한 보안 사고가 발생했을 때 대기업의 경우 큰 손해를 보긴 해도 회사를 유지하는 데에는 어려움이 없지만 중소기업은 상황이 많이 다르다. 많은 중소기업들이 보안 사고로 인한 손실과 평판 하락으로 치명적인 피해를 입고 있으며, 조사에 따르면 심각한 보안 침해를 당한 중소기업의 60%가 같은 해 문을 닫은 것으로 나타났다.

사이버뉴스 연구팀은 사회공학적 공격으로부터 조직을 보호하기 위한 수칙을 제안했다.

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다. 

석주원 기자 다른기사 보기