2018
9-10월(합본호)

수치로 본 사이버 보안 동향
스콧 베리나토(Scott Berinato)

ARTICLE

수치로 본 사이버 보안 동향


좋은 소식은,
기업들이 그 어느 때보다 많은 사이버 공격을 막아내고 있다는 점이다. 나쁜 소식은 충분히 짐작하고도 남을 것이다.

스콧 베리나토, 맷 페리
 

이버 보안 실태가 얼마나 심각한지 인식하려면, 먼저 아래의 통계자료를 살펴봐야 한다. 2017년 전 세계 기업을 대상으로 한 이 자료는, 자사를 노린 표적공격에 대한 설문조사 결과를 바탕으로 만들어졌다. 위협보다 훨씬 성가시고 빈번하게 발생하는 수준 낮은 범죄행위와 대조적으로, 표적공격은 네트워크 방어체계를 뚫고 중요한 자산을 손상시키거나 빼낼 수 있는 공격을 뜻한다. 이 설문조사를 통해 이들 기업에 실제 피해를 입힌 공격에 대해서도 들을 수 있었다.

 

 





 

기업이 들이는 비용이 점점 늘어나는데도 상황은 제자리걸음이라는 점이 분명해졌다. 기업들에 피해를 입힌 평균 유출 건수는 거의 같은 수준을 유지하고 있다. 전문가들은 공격 횟수가 계속 증가할 것이기 때문에, 이 수치가 크게 낮아지지 않으리라고 본다. 더욱이 기존의 유출 사건이 공격받을 경우 훨씬 큰 충격을 가져올 표적에 영향을 끼치고, 더 광범위한 결과를 낳을 것이라고 우려하고 있다. 관련 비용도 지속적으로 증가할 공산이 크다. 예방 조치의 강도와 실제 유출 사건이 초래하는 비용이 모두 높아지고 있기 때문이다.

 

본 아티클은 세 개의 권위 있는 업계보고서를 기초로 차트를 작성해 사이버 보안 실태를 시각적으로 보여준다. 버라이즌이 내놓은 <  2018 Data Breach Investigations Report  > 65개국에서 발생한 53000건 이상의 사이버 보안 사건(데이터를 유출시킬 가능성이 있는 사건) 2216건의 유출 사건(데이터 유출이 확인된 사건)을 분석한 결과를 담고 있다. 액센추어의 <  2018 State of Cyber Resilience  > 15개국 19개 업계의 10억 달러 이상 기업의 임원 4600을 대상으로 실시한 설문조사를 바탕으로 작성됐다. 액센추어가 시장조사기업 포네몬연구소와 공동으로 작성한 <  2017 Cost of Cyber Crime Study  > 7개국 254개 기업을 대상으로 실시한 설문조사를 기초로 했다. 위협을 파악하기 어렵다는 특성을 감안할 때 사이버 보안 사건에 대한 확정적 데이터를 확보하기는 어렵지만, 이 세 보고서를 종합해서 현황을 자세히 들여다볼 수 있다.

 


본 데이터는 양면적 현실을 보여준다. 한편으로는 별반 달라진 게 없다. 사이버 공격은 꾸준히 일어나며, 여러 해 동안 똑같은 기술적 수법이 공격에 동원되고 있다. 다른 한편으로는 상황이 근본적으로 달라졌다. 그 어느 때보다 많은 사이버 공격이 발생하고 있다. 공격 수법도 점점 악랄해지고 있다. 주요 기반시설을 노린 공격이 증가하고 있다. 데이터나 기술에 대한 사용자의 접근을 막고, 이를 볼모로 삼아 금전을 요구하는랜섬웨어의 대규모 공격도 나타나고 있다.

지금까지 알려진 사이버 보안 현황은 다음과 같다.

  

누가 침입하나?

모든 유출의 약 25%는 내부자 소행이다. 그러나 대다수 업계의 수치는 이 평균치에서 벗어나 있다. 상당히 민감하고 중요한 정보를 다루는 의료서비스, 행정, 전문서비스, 기술서비스, 과학서비스 등의 분야에서는 내부자의 비율이 높은 반면, 일반 대중을 상대로 하는 업계, 식당, 상점의 경우에는 외부 공격자의 비중이 훨씬 높다.


 

 

얼마나 자주 침입하나?

취약성이 두드러지게 높은 업계는 훨씬 많은 해킹 공격을 받는다. 그러나 대부분의 경우 유출에 한 번 성공하려면 여러 번 공격을 시도해야 한다.



 

각 업계의 해킹시도 횟수 대비 실제 유출 횟수의 비율은 그 업계의 취약성을 잘 보여준다. 숙박 및 요식서비스 업계는 가장 취약한 표적 중 하나다. 실패한 공격 1건당 성공한 공격은 평균 11건에 이른다. 그러나 사이버 공격으로 치르는 대가는 다른 업계에 비해 낮다. 공공 분야는 심각한 사이버 공격을 받고 있으며, 조사대상 업계 중 가장 높은 공격시도 횟수를 기록하고 있다. 하지만 대부분의 공격이 실패한다. 실패한 공격 74건당 성공한 공격 횟수는 1건에 불과하다.

 

 

어떤 정보가 유출되나?

최근 몇 년간 사용자 데이터와 신용카드 데이터를 보호하기 위한 다양한 노력이 진행돼 왔음에도, 이 두 가지 정보는 여전히 가장 많이 도난당하고 있다. 여기에 포함되지는 않지만 계약서, 제안요청서, 제어 시스템 등 다른 정보 기반 표적도 과거 어느 때보다 많이 유출되고 있다. 그래도 가장 인기 있고 가장 취약한 표적은 여전히 사용자 데이터와 신용카드 데이터다. 이런 현실은 지금의 방어 조치가 별 도움이 안 된다는 점을 보여준다.


 

의료, 숙박 및 요식서비스처럼 유출 사고가 거의 한 가지 유형의 정보에 집중되는 업계라면 방어 조치를 더 정교하게 다듬을 수 있다. 예상되는 리스크가 분명하기 때문이다. 악당들은 거의 언제나 같은 것을 노린다. 그러나 금융, 제조처럼 가능한 표적이 여러 개이고, 가장 인기 있는 표적을 꼽기 어려운 업계의 경우에는 방어장치를 다방면으로 마련하는 보다 유연한 리스크 완화 전략을 갖춰야 한다.

 

 

적이 네트워크에 침입하는 경로는 업계에 따라 다르다. 하지만 웹 애플리케이션이 성공한 공격에 얼마나 자주 활용됐는지 유의해서 봐야 한다. 각 업계에서 공격 시도에 가장 많이 이용된 3대 경로(불렛 포인트로 표시), 성공한 공격에 가장 많이 이용된 3대 경로(오렌지색으로 표시)는 다음 둘 중 한 가지 사실을 시사한다.

 

1. 공격 시도에 가장 많이 이용된 경로와 성공한 공격에 가장 많이 이용된 경로가 일치한다면 이들 경로가 주로 공격의 표적이 되고, 기업들도 이 사실을 잘 알고 있다는 것을 뜻한다. 그러나 적들은 어쨌든 공격에 성공하고 있다. 어딘가 분명 잘못됐다.

 

2. 공격 시도에 가장 많이 이용된 경로와 성공한 공격에 가장 많이 이용된 경로가 일치하지 않는다면, 기업들이 잘 방어하는 영역(공격 시도율 대비 공격 성공률이 낮은 영역)도 있지만, 사이버 방어의 사각지대(공격 시도율 대비 공격 성공률이 높은 영역)가 존재한다는 것을 뜻한다.

 

네 가지 관점으로 살펴본 비용

비용을 파악하는 가장 간단한 방법은, 방어 조치에 투자하든 공격으로 인한 피해 복구에 지출하든 비용이 계속 증가한다는 것이다.



전 세계적으로 사이버 범죄 비용이 증가하고 있다는 사실은 그리 놀랍지 않다.
독일과 미국 기업들의 사이버 범죄 비용이 전년도에 비해 가파르게 상승한 것은, 두 국가가 가치와 취약성 측면에서 해커들에게 가장 매력적인 곳이라는 점을 시사한다.




비용을 부문별로 살펴보면 몇 가지가 눈에 띈다. 유틸리티 및 에너지 기업의 사이버 범죄 비용이 높은 이유는, 어느 정도는 공격에 한 번 성공하면 즉각 인명을 위협할 수도 있다는 업계의 리스크 프로파일 때문이다. 공공 부문이 치르는 비용은 비교적 낮지만 이를 겨냥한 공격 횟수가 상당히 많다는 사실은, 향후 비용이 대폭 증가할 수 있음을 시사한다. 특히 국가 수준의 첩보활동이 늘어남에 따라 비용이 증가할 가능성이 높다.




앞서 본 대로 2015~2017년 사이버 공격 탐지 및 방지 활동에 들인 비용이 약 5% 상승하고 유출 방지율이 개선됐다. 그러나 오른쪽 도표를 보면 수익 감소율이 이에 비례해 줄지 않고 있다. 지금은 업무방해 공격으로 인해 유발되는 비용이 과거보다 적다. 줄기찬 사이버 공격 시도에도 정상적인 기업활동을 유지하는 역량이 향상되고 있기 때문이다. 그러나 정보 손실 비용은 가파르게 상승하는 중이다. 사이버 공격을 막아내는 능력이 향상되는데도 공격으로 인한 피해가 줄지 않는 것은 사이버 보안의 역설이다.



 

결론적으로 말해서, 기업들은 여러 시스템을 인터넷에 연결했을 때 얻는 이득이 위험보다 더 큰지 아닌지를 고려해 봐야 한다. 사이버 공격이 성공한다면 상당히 심각한 영향을 끼칠 수 있는 주요 시스템의 네트워크 연결을 끊어야 한다는 새로운 주장이 제기되고 있다. 이럴 경우 기업들은 편의성과 효율성 면에서대가를 치러야만 한다. 하지만 과연 이 대가가 별 효과도 없고 끝없이 늘기만 하는 사이버 공격 방어 조치 비용보다 더 클까?

 

스콧 베리나토(Scott Berinato) HBR의 선임 편집자다.

맷 페리(Matt Perry) HBR의 선임 인포메이션 디자이너다.

  • 아티클 다운로드
    (PDF)
    5,000원

    담기바로구매

  • 2018년 9-10월호
    25,000원
    22,500원

    구매하기

  • 디지털서비스
    1년 150,000원

    디지털서비스란

    신청하기

운영관리 다른 아티클

무료 열람 가능 아티클 수 0/1 회원가입 | 서비스상품안내