[2017.02.25] 기업 침해사고 주범, 정보보안의 잔존위험 3가지

작성자
isaa
작성일
2017-02-25 15:46
조회
210
잔존위험 3가지는 보안취약점, 내부자 위협, 그리고 도덕적 해이
정보보안 잔존위험 줄여나가야...비즈니스 연속성 위한 대책 마련 시급

[보안뉴스 원병철 기자] 과거 해킹 행위가 자기 실력을 과시하기 위한 목적이 주를 이뤘다면, 이제는 금전적 ‘이익’을 노리는 공격이 대부분이다. 특히, 비트코인이 등장하면서 자금 추적이 어렵게 되고, 랜섬웨어 등 비용을 요구할 수 있는 공격수단이 꾸준히 개발되면서 이러한 공격들은 개인은 물론 기업들을 대상으로 수위를 높여가고 있다. 이 때문에 기업들도 비즈니스를 운영하는 데 있어 사이버 보안을 우선순위로 올려놓고 있다.



이미 많은 연구와 조사에서 보안침해사고가 비즈니스에 영향을 미친다는 결과를 도출한 바 있다. 글로벌 IT 기업이면서 최근 보안사업을 강화하고 있는 시스코는 ‘2017 연례 사이버 보안 보고서’를 통해 보안침해사고는 시스템을 마비시키고 비즈니스 운영에 큰 영향을 미친다고 발표한 적이 있다. 해당 보고서에 따르면, 보안침해사고로 영향을 받는 비즈니스 영역은 △운영(36%) △재무(30%) △브랜드 평판(26%) △고객유지(26%) 등 다양하다. 또한, 보안침해사고로 기업이 보유한 시스템 중 11~30%가 영향을 받고, 1~8시간 동안 다운되는 등 피해를 입는다.


▲ 보안침해사고로 영향을 받는 비즈니스(자료 : 시스코)

하지만 보안침해사고를 겪은 기업의 49%는 그 사실을 외부에 알리지 않으며, 알려진 기업 역시 자발적 발표는 50%에 불과하다. 즉, 보안침해사고로 인한 악영향이 많다는 것을 기업 스스로 충분히 인지하고 있다는 것이다. 하지만 침해를 경험한 후에 보안을 개선하는 기업은 겨우 38%에 불과했다. 보안침해사고를 당해도 외부에 알리지 않으며, 보안을 개선하지도 않는 기업이 60%가 넘는다는 얘기다.

이러한 보안침해사고의 가능성을 최소화하기 위해서는 기업 정보보안의 잔존위험을 줄여나가는 일이 무엇보다 중요하다는 지적이 나온다. 기업 정보보안에 있어 잔존위험은 크게 증가하는 보안취약점과 내부자 위협, 그리고 직원들의 도덕적 해이로 구분될 수 있다.

보안취약점과 관련해서 한국행정연구원 심우현 부연구위원의 조사에 따르면, 미국 국가취약점 DB(National Vulnerability DB)에서 발표한 보안취약점은 49,624개(조사 당시)이며, 그중에서 합법적 보안취약점 거래 DB(Open Source Vulnerability DB)에 등재된 보안취약점은 8,189개, 그리고 실제 공격에 사용된 취약점은 1,274개에 달했다.

그런데 이중에서 실제 공격에 사용되는 보안취약점의 50%는 패치되지 않았으며, 블랙마켓에서 판매되는 익스플로잇 킷에 포함된 보안취약점의 일부 역시 패치되지 않은 것으로 조사됐다.

이러한 보안취약점 뿐만 아니라 메일에 악성코드를 심는 공격 역시 큰 폭으로 늘어나고 있고, 지난해에 이어 올해 역시 ‘랜섬웨어의 해’가 될 것으로 얘상되는 등 기업의 보안위협이 갈수록 커지고 있는 상황이다.

두 번째는 바로 내부자 위협이다. 한 보고서에 따르면 기업 보안임원들 중 62%가 지난 12개월 동안 내부자의 정보 유출 및 탈취 시도를 경험했으며, 또 다른 보고서는 기업 사용자들 중 62%가 ‘업무상 굳이 보지 않아도 되는 데이터인데도 접근이 허용된다’고 답했다. 이렇듯 내부자들은 데이터 접근이 쉽기 때문에 나쁜 마음만 먹는다면 막대한 피해를 입는 보안침해사고에 처할 위험성이 높다.

마지막은 직원들의 도덕적 해이다. 보안담당자들은 보안규정 마련이나 보안 솔루션 도입 등의 이슈에 있어 ‘이 정도면 되겠지’라는 안일한 생각을 갖거나 일반 직원들의 경우 ‘내부 보안규정을 잘 안 지켜도 되겠지’라는 보안의식 결여가 결국 보안침해사고를 야기한다는 것이다.


▲ 보안 강화에 가장 큰 걸림돌

이렇듯 기업에 있어 정보보안의 잔존위험들로 인해 보안침해사고가 발생하지만, 기업들은 여전히 보안 강화에 소극적이다. 2016년 KISA 정보보호 실태조사에 따르면 기업의 정보보호 예산은 아예 없거나(67.5%), 정보화 예산의 1%(23.3%)에 불과하다. 예산이 편성되지 않은 이유 역시 필요성을 느끼지 못하거나(58.4%), 어떻게 해야 하는지 모르는 경우(29%)가 대부분이었다. 이와 함께 시스코 보고서는 비즈니스 제약사항으로 예산(35%)과 호환성 이슈(28%), 전문인력 부족(25%)과 각종 인증(25%)을 꼽았다.

이처럼 많은 기업들이 보안위협의 위험성을 알면서도, 그리고 실제 공격을 당하면서도 기업내 잔존위험을 줄이는데 어려움을 겪고 있다. 잔존위험을 줄이기 위해서는 결국 기업의 정보보호최고책임자(CISO)가 경영진은 물론 전사적으로 보안강화의 중요성을 알리고, 보안 시스템을 효과적으로 운용 및 구축하는데 주력해야 한다. 또한, 체계화된 직원 보안교육을 통해 잔존위험을 최소화하는데 초점을 맞출 필요가 있다.
[원병철 기자(boanone@boannews.com)]

http://www.boannews.com/media/view.asp?idx=53591