2018.08.22

기고 | '실수, 무지, 무관심' 중소기업 사이버보안 실태

Jon Oltsik | CSO
임직원 개개인의 실수, 무지, 무관심으로 중소기업에서 사이버보안 사고가 발생하고 있다.



ESG는 최근 북미에서 임직원 50~499명인 중소기업에서 근무하는 400명의 사이버보안 및 IT전문가를 대상으로 설문조사를 마쳤다. 상상할 수 있듯이 이 회들 조직은 사이버보안 및 IT담당 직원이 CIO나 CISO가 아닌 경영진에게 보고하는 소규모인 경향이 있다.

이들 조직은 사이버보안을 어떻게 다루고 있나? 그다지 잘하는 것 같지는 않다.

설문 조사에 참여한 조직 가운데 지난 2년 동안 한 건의 사이버보안 사고(시스템 손상, 악성코드 사건, DDoS, 대상 피싱 공격, 데이터 유출 등)를 경험했다는 응답자는 2/3였다.

설문 조사 응답자의 거의 절반(46%)은 보안 사고로 생산성이 저하됐고 37%는 비즈니스 애플리케이션이나 IT시스템 가용성의 혼란을 경험했으며, 37%는 비즈니스 프로세스나 프로세스가 중단됐다고 밝혔다(복수 응답 허용).

따라서 소규모 조직을 겨냥한 보안 사고가 금전적인 큰 피해를 미치는 경향이 있다.

SMB의 사이버보안 사고 요인
ESG는 조사 응답자에게 이러한 보안 사고에 가장 크게 기여한 문제를 확인하도록 요청했으며 결과는 다음과 같이 나타났다.
 
• 응답자의 35%는 보안 사고에 가장 크게 기여한 것이 사람의 실수라고 생각했다. 소규모 기업의 사이버보안/IT팀은 사이버보안 전문가가 아닌 IT전문가로 구성되는 경향이 있기 때문에 이는 의미가 있다. 이로 인해 잘못된 구성, 임시 프로세스, 통제 불능 상태 같은 결과가 발생할 수 있다.

• 응답자의 28%는 보안 사고의 가장 큰 원인이 사이버 위험에 대한 일반적인 이해 부족이라고 생각했다. 너무 많은 소규모 조직이 자신들은 공격 대상이 될 수 없다고 생각해 기본적인 보안 준비에 투자하지 않거나 이를 무시할 수 있다는 게 큰 문제다. "여기에서는 일어나지 않을 것이다"는 식의 태도는 위험할 수 있다. 중소기업 임원은 어디에서나 발생할 수 있다는 사실을 깨달아야 한다.

• 응답자의 27%는 적절한 보안 제어 없이 구현된 클라우드 및 모바일 컴퓨팅 또는 SaaS 채택과 같은 새로운 IT 이니셔티브가 보안 사고에 가장 크게 기여했다고 믿었다. 이것은 지식 부족이나 보안/IT팀에 경고하지 않고 SaaS에 서명한 현업이 원인일 수 있다. 어느 쪽이든, IT 및 사이버보안 정책에 대한 철저한 감독이 없다는 의미다.

• 응답자의 24%는 보안 사고에 가장 크게 기여한 이유로 기술직이 아닌 직원을 위한 적절한 사이버보안 교육이 없음을 지목했다. 중소기업은 공격 대상이 아니라고 생각하므로 사이버보안 인식 교육에 투자하지 않는다. 그것은 이들 조직과 거래하는 모든 사람에게 현실적인 문제다.

• 응답자 중 20%는 보안 사고에 가장 크게 기여한 요인으로 사이버보안 담당자가 작업량을 따라잡을 수 없음을 지적했다. 사이버보안에 관해서, 많은 중소기업은 인력 부족하고 고급 기술인력이 부족하다. 이 회사는 가능한 한 빨리 관리 보안 서비스 공급자(MSSP)의 도움을 받아야 한다.

필자는 중소기업 임원들이 중소기업을 겨냥하는 사이버공격자에게 쉬운 표적이라고 알고 있다. 범죄자들은 중소기업을 대상으로 돈을 강탈하거나 중요한 데이터를 훔쳐내는 반면, 국가는 중소기업을 연결 파트너를 공격하기 위한 교두보 역할을 한다.

*Jon Oltsik은 ESG 수석 애널리스트이자 이 회사의 사이버보안 서비스 창립자다. ciokr@idg.co.kr
 



2018.08.22

기고 | '실수, 무지, 무관심' 중소기업 사이버보안 실태

Jon Oltsik | CSO
임직원 개개인의 실수, 무지, 무관심으로 중소기업에서 사이버보안 사고가 발생하고 있다.



ESG는 최근 북미에서 임직원 50~499명인 중소기업에서 근무하는 400명의 사이버보안 및 IT전문가를 대상으로 설문조사를 마쳤다. 상상할 수 있듯이 이 회들 조직은 사이버보안 및 IT담당 직원이 CIO나 CISO가 아닌 경영진에게 보고하는 소규모인 경향이 있다.

이들 조직은 사이버보안을 어떻게 다루고 있나? 그다지 잘하는 것 같지는 않다.

설문 조사에 참여한 조직 가운데 지난 2년 동안 한 건의 사이버보안 사고(시스템 손상, 악성코드 사건, DDoS, 대상 피싱 공격, 데이터 유출 등)를 경험했다는 응답자는 2/3였다.

설문 조사 응답자의 거의 절반(46%)은 보안 사고로 생산성이 저하됐고 37%는 비즈니스 애플리케이션이나 IT시스템 가용성의 혼란을 경험했으며, 37%는 비즈니스 프로세스나 프로세스가 중단됐다고 밝혔다(복수 응답 허용).

따라서 소규모 조직을 겨냥한 보안 사고가 금전적인 큰 피해를 미치는 경향이 있다.

SMB의 사이버보안 사고 요인
ESG는 조사 응답자에게 이러한 보안 사고에 가장 크게 기여한 문제를 확인하도록 요청했으며 결과는 다음과 같이 나타났다.
 
• 응답자의 35%는 보안 사고에 가장 크게 기여한 것이 사람의 실수라고 생각했다. 소규모 기업의 사이버보안/IT팀은 사이버보안 전문가가 아닌 IT전문가로 구성되는 경향이 있기 때문에 이는 의미가 있다. 이로 인해 잘못된 구성, 임시 프로세스, 통제 불능 상태 같은 결과가 발생할 수 있다.

• 응답자의 28%는 보안 사고의 가장 큰 원인이 사이버 위험에 대한 일반적인 이해 부족이라고 생각했다. 너무 많은 소규모 조직이 자신들은 공격 대상이 될 수 없다고 생각해 기본적인 보안 준비에 투자하지 않거나 이를 무시할 수 있다는 게 큰 문제다. "여기에서는 일어나지 않을 것이다"는 식의 태도는 위험할 수 있다. 중소기업 임원은 어디에서나 발생할 수 있다는 사실을 깨달아야 한다.

• 응답자의 27%는 적절한 보안 제어 없이 구현된 클라우드 및 모바일 컴퓨팅 또는 SaaS 채택과 같은 새로운 IT 이니셔티브가 보안 사고에 가장 크게 기여했다고 믿었다. 이것은 지식 부족이나 보안/IT팀에 경고하지 않고 SaaS에 서명한 현업이 원인일 수 있다. 어느 쪽이든, IT 및 사이버보안 정책에 대한 철저한 감독이 없다는 의미다.

• 응답자의 24%는 보안 사고에 가장 크게 기여한 이유로 기술직이 아닌 직원을 위한 적절한 사이버보안 교육이 없음을 지목했다. 중소기업은 공격 대상이 아니라고 생각하므로 사이버보안 인식 교육에 투자하지 않는다. 그것은 이들 조직과 거래하는 모든 사람에게 현실적인 문제다.

• 응답자 중 20%는 보안 사고에 가장 크게 기여한 요인으로 사이버보안 담당자가 작업량을 따라잡을 수 없음을 지적했다. 사이버보안에 관해서, 많은 중소기업은 인력 부족하고 고급 기술인력이 부족하다. 이 회사는 가능한 한 빨리 관리 보안 서비스 공급자(MSSP)의 도움을 받아야 한다.

필자는 중소기업 임원들이 중소기업을 겨냥하는 사이버공격자에게 쉬운 표적이라고 알고 있다. 범죄자들은 중소기업을 대상으로 돈을 강탈하거나 중요한 데이터를 훔쳐내는 반면, 국가는 중소기업을 연결 파트너를 공격하기 위한 교두보 역할을 한다.

*Jon Oltsik은 ESG 수석 애널리스트이자 이 회사의 사이버보안 서비스 창립자다. ciokr@idg.co.kr
 

X