Offcanvas

CSO / SNS / 랜섬웨어 / 비즈니스|경제 / 아웃소싱

계속해서 사이버공격 표적 된 '중소기업', 왜?

2017.05.08 Kacy Zurkus  |  CSO
중소기업(SMB)는 사이버 범죄의 표적이 될 것으로 생각하지 않는다. 이런 이유로 오랫동안 자사 보안 프로그램이 ‘그 정도면 괜찮다’고 생각했던 것 같다. SMB는 정말 괜찮을까? 중소기업도 방화벽, 바이러스 백신(안티바이러스)을 운영한다. 더 나아가 이중 인증을 이용하는 경우도 있다.

그런데 이것만으로 충분하다고 믿는 실수를 한다. 공격자에게 SMB는 큰 가치가 없는 표적이라고 생각하기 때문이다. 그러나 SMB의 공격 표면이 대기업보다 작을지 모르지만, 취약성에는 큰 차이가 없다.



랜섬웨어 공격에서 SMB가 표적이 되는 사례가 증가하고 있다. 또 아주 큰 영향을 받는다. US NCSA(National Cyber Security Alliance)에 따르면, 침해 사고 발생 후 6개월 이내에 문을 닫는 비율이 60%에 달했다.

SMB를 겨냥한 공격이 증가하는 이유 중 하나는 사이버보안에 대한 잘못된 인식이다. 랜섬웨어(ransomware)는 SMB를 파산하게 할 수도 있다.

아틱 울프 네트웍스(Arctic Wolf Networks)의 보안 책임자인 샘 맥레인는 최근 설문조사 결과를 인용해 "중소기업 IT담당자 95%는 회사의 사이버보안 준비 수준이 평균 이상이라고 주장하고 있다. 그러나 소속 회사의 보안 시스템을 개선할 수 있다고 대답한 비율도 같다는 점에 주목해야 한다"고 말했다.

사소한 부분을 경시하는 바람에 회사에 막대한 복구 비용이나 평판 손실이 초래될 수 있다. 맥레인은 "데이터를 복구할 수 있는지 백업을 테스트 해 확인해야 한다. 그래야 도움이 된다"고 강조했다.

복구 테스트가 중요한 이유도 바로 여기에 있다. 맥레인은 "주말에 아주 중요한 서버를 복구하는 테스트를 해야 한다. 모든 패치를 적용해야 한다. 몇 차례 인터넷이 중단되었다는 보고를 받았다면, 문제가 있는 것이다"고 지적했다.

PCM(PCM, Inc) 첨단기술 그룹의 사이버보안 담당 이사인 존 크로닉은 "2016년 사이버 공격의 표적이 된 조직의 절반이 실제 '피해자'가 됐다. '피해자'가 된 조직 가운데 1/3은 보안 체계가 무력화되었다고 보고했다"고 밝혔다.

이는 SMB에 중요한 교훈 하나를 전달한다. 보안의 기본에 충실해야 할 기업이 많다는 것이다. 크로닉은 "대부분 보안 툴이 있었다. 그러나 제대로 사용하지 못했다. 예산(계획)과 프로세스가 있어도, 이를 제대로 집행하거나 활용하지 못하면 침해 사고가 발생한다"고 설명했다.

소셜 엔지니어링(social engineering)의 성공 확률은 50%이다. 이점을 고려했을 때, SMB는 적절한 이행(활용)과 사고 대응, 보안 인식 교육을 중시할 필요가 있다. 크로닉은 또 "내부 문제로 발생하는 보안 침해 사고가 잦다. SMB는 시스템 패칭, 중요도에 입각한 시스템 스캔에 각별한 관심을 기울여야 한다"고 강조했다.

SMB는 정립된 베스트 프랙티스를 경시하면서 방화벽 뒤 시스템을 패치하지 않는 경우가 많다. 크로닉스는 "방화벽 뒤에 FTP시스템을 배치했는데, 괜찮다고 생각하고 패치를 하지 않아 사고가 발생한 회사의 사례가 있다. 이 사고로 며칠 동안 기업 활동이 중단되었다"고 말했다.

포춘 선정 100대 기업과 SMB 사이에 '타임 워프'가 존재하는 것 같다. SMB가 과거 포춘 100대 기업의 실수를 따라 하고 있다는 의미다. 카사바 시큐리티(Casaba Security)의 크리스 웨버는 SMB는 엔터프라이즈들로부터 모든 것을 배울 수 있고, 그렇게 해야 한다고 강조했다.

웨버는 "엔터프라이즈는 사이버 공격의 주요 표적이고, 소셜 엔지니어링부터 애플리케이션 보안까지 다양한 문제를 다루고 있다. 이는 SMB의 보안 프로그램에 도움을 준다. 엔터프라이즈는 사이버보안과 관련된 정보를 공개해 도움을 준다"고 설명했다.

SMB는 동일한 도구와 프로세스 중 일부를 도입해 취약점을 줄일 수 있다. 피싱 캠페인에 가장 취약한 조직이 SMB다. 이메일이 중대한 취약점이라는 이야기다.

웨버는 "정교한 공격의 표적이 되는 경우는 없는 편이다. 그러나 의도가 다양한 여러 공격의 표적이 된다. 공격자는 SMB로부터 이득을 취하기 원한다"고 말했다.

보안의 경우, 방어자의 일이 더 힘들다. 공격자는 단 1개의 취약점만 찾아 침입하면 된다. 웨버는 "엔터프라이즈는 파트너 및 모바일 장치와 통합된 여러 다양한 시스템을 보유하고 있다. SMB도 규모만 작을 뿐 유사하다. 그런데 통상 역량이 부족하다"고 지적했다.

IT담당자가 있더라도 이들이 책임지는 일이 너무 많다. 웨버는 "풀타임 보안 담당자가 있는 SMB는 드물다. 또 기업용 오피스 365, 기타 클라우드 서비스를 아웃소싱 하는 일을 하고 있을 뿐이다"고 밝혔다.

쓰레트모델러(ThreatModeler)를 창업한 CTO인 아치 아가왈은 "현재 대기업 대부분이 애플리케이션 보호에 많은 돈과 자원을 투자하고 있다"고 언급했다. 그러나 10년 전은 달랐다.

대기업과 계약을 맺은 써드파티 업체 중에는 SMB가 많다. 이제 이들 SMB 업체들도 보안을 보증해야만 한다.

과거에는 SMB가 해킹당해도 신경 쓰지 않았다. 그러나 이제는 아니다. 대기업에 큰 영향을 초래할 수 있기 때문이다. 이제 이들 SMB는 사이버보안 태세를 향상하는 방법을 생각해야 한다.

B2C SMB의 상황은 더 위험하다. 사이버공격을 견디어 낼 수 없기 때문이다. 아가왈은 "파산할 수도 있다. 해커는 자동화 툴로 디도스 공격을 할 수 있다. 이제 이런 상황에서 브랜드를 보호할 방법을 생각해야 한다"고 강조했다.

B2B와 B2C 모두 보안 프로그램을 준비할 때 평판과 관련된 문제를 중요하게 고려해야 한다. 아가왈은 "비즈니스에 큰 영향이 미치지 않도록 보호할 방법을 찾아야 한다. 또 지적 재산, 영업 비밀 등을 보호해야 한다. 중국의 해킹으로 IP(지적 재산)를 도난당한 SMB가 있었다. IP를 훔친 중국 회사는 지금 그 IP를 반값에 판매하고 있다"고 말했다.

이런 현실을 인정하는 SMB가 많다. 그러나 강력한 보안 태세를 구축할 자원과 시간이 없다. 아가왈은 "위협이 발생하는 곳을 파악할 위협 모델 구축이 출발점이다. 그러면 해당 기업에 특정적인 위협을 방어하는 우선순위를 책정할 수 있다"고 설명했다.

위협 모델은 '큰 그림'을 보고, 위협을 이해하며, 이를 통해 이들 위협을 경감할 지점에 초점을 맞출 수 있도록 도와준다. 아가왈은 "'큰 그림'을 파악하면 위협을 100여 목록으로 정리할 수 있다. 이 가운데 중대한 위협은 30개 정도에 불과하다"고 이야기했다. 과거에는 도구를 이용했다. 그런데 해당 도구가 방어할 수 있는 위협이 뭔지 몰랐다. 아가왈은 "위협 모델은 해당 기업, 기업의 비즈니스 위험과 직결된 위협 방어에 집중할 수 있도록 해준다"고 덧붙였다.

SMB는 공격 가치가 없다고 생각하면 안 된다. 이는 기업을 파산시킬 수 있다. 아가왈은 사이버보안을 중시해야 한다고 강조했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.