이사회 구성원과 최고 경영진 등의 고위 임원들은 민감한 정보에 접근할 수 있다. 기업 방어를 뚫으려는 나쁜 행위자들의 주요 표적이 된다. 여러 진입 지점 중에서도 그들의 개인 기기는 사이버 범죄자에게 탐스러운 공격 벡터다.
널리 알려져 있듯이, 사이버 사고에는 인간적인 요소가 포함되는 경우가 많으며, 임원들은 모두 너무 인간적이다. ‘버라이즌 2022 데이터 침해 조사 보고서’에 따르면, 82%의 침해가 인적 요소와 관련되어 있으며, 상당수가 피싱, BEC 및 도난 된 자격 증명과 관련되어 있다.
새로운 공격 표면 ‘가정’
개인적인 경로를 통해 조직의 최고위층을 목표로 하는 새로운 위험군이 등장하고 있다. CISO가 기억해야 할 메시지는 임원들의 디지털 라이프가 특히 약한 연결고리가 될 수 있으며, 그들의 회사 기기와 계정뿐 아니라 홈 서버, 홈 보안 장비, 패밀리 기기, 심지어 소셜 미디어 활용도 기업의 보안 위험을 야기할 수 있다는 것이다. 블랙클록의 CEO인 크리스 피어슨은 “가정이 새로운 공격 표면이라는 것을 의미한다”라고 말했다.
조직을 보호하기 위해 내부 시스템과 인력을 확보하기란 그나마 쉽지만, 쉽게 통제할 수 없는 외부의 위험을 관리하기란 훨씬 어렵다. 피어슨은 리더십 팀의 디지털 라이프가 시한폭탄이 될 수 있다고 지적했다.
피어슨의 분석에 따르면 특히 초기 적응하는 임원의 경우 상당 비율(39%)이 위험한 개인 디지털 라이프 측면을 가지고 있다. 개인적인 삶과 기업적인 삶이 연결된다면, CISO들에게 큰 문제의 원인 될 수 있다.
팬데믹으로 인한 하이브리드 작업의 증가로 직업적인 디지털 라이프와 개인적인 디지털 라이프의 경계가 흐릿해지면서 임원들이 야기하는 위험은 빠르게 증가했다. 복잡한 지정학적 긴장, 기업에 대한 디지털 행동주의 동향, 부유층을 대상으로 한 재정적 이익의 가능성은 모두 경영진의 개인적인 디지털 라이프에 대한 위험을 증가시켰다.
KPMG 호주 지사의 사이버 서비스 파트너인 거가나 윈저는 특히 미디어와 소셜 미디어에서 활동하는 최고 경영진을 보유한 상장 기업이라면 나쁜 행위자들의 관심을 끄는 피뢰침이 될 수 있다고 지적했다. 윈저는 “소규모 범죄자들 중 일부는 온라인에서 쉽게 구입할 수 있는 맬웨어나 랜섬웨어를 활용하여 네트워크 가치가 높은 유형의 개인에게 배포함으로써 금전적인 수익을 창출할 수 있다는 현실을 알게 되었다”라고 말했다.
개인적인 침해가 기업 공격으로 이어진다
피어슨에 따르면 고위층 개인으로 인한 위험은 여러 가지 형태로 나타날 수 있으며, 특히 큰 위험 중 하나는 지적 재산에 대한 것이다. 즉, 통제가 거의 없거나 전혀 없는 경영진의 개인 기기나 개인 계정에서 회사 문서가 손실되는 것이다. 그는 “기업 경영진은 보안 카메라 등이 있는 복잡한 스마트 홈 시스템을 보유하는 경향이 있으며, 이것들이 잠재적 진입 지점이 된다”라고 말했다.
상대적으로 부유층이라는 점도 문제가 된다. “경영진은 순자산(net worth)도 많기 때문에 범죄자들에게 매력적인 표적이 될 수 있다. 오늘날 그들의 개인 이메일이 비즈니스 이메일 손상 공격으로 침해 받고, 그들의 개인 기기가 맬웨어 및 기타 소셜 엔지니어링 스캠을 통해 공격당하는 모습이 흔하다. 돈은 이러한 공격의 큰 동기가 된다”라고 피어슨은 말했다.
악의적인 의도를 가진 개인적 공격도 있다. 이름, 주소, 전화번호, 심지어 개인 사진과 비디오까지 노출되는 개인 신상 털기는 개인 정보 보호를 위반하고 경영진을 위험에 빠뜨릴 수 있다. 피어슨은 “평판 손상과 심지어 협박도 가능하다”라고 덧붙였다.
해법은 쉽지 않다. 그러나 전문가들에 따르면, 이러한 복잡한 보안 문제를 해결하기 위해 경영진, 그들의 가족, 그리고 기술 사이에 추가적인 마찰을 일으켜서는 안 된다. 또 그러한 유형의 계정, 서비스 및 장치에 대한 공격 표면을 축소하고 위험을 완화할 수 있다는 자신감이 있어야 한다.
CISO가 경영진 보안 위험을 완화하는 방법
CISO가 개인의 디지털 라이프에 직접 개입할 수 없는 경우 경영진에 대한 보호를 보장하는 것은 어려울 수 있다. 피어슨은 “그들 또한 업무와 삶을 분리하기를 원한다. 그들은 개인 정보 보호를 원하지만, 어떤 조치가 이뤄지고 있는지 높은 수준에서 알기를 원한다”라고 말했다.
피어슨은 CISO가 일단 기업 환경과 개인 환경이라는 위험 환경이 어떻게, 어디에서 교차하는지 정확하게 이해해야 한다고 말했다. “당신네 회사의 ‘회사 소개’에서 경영진 페이지를 보라. 거기가 시작점이다. 이 계층의 측면에서 이 문제가 얼마나 심각한지 파악한 다음 개인이 개인적인 삶에서 직면할 수 있는 위험을 파악하라. 이후 CISO가 이러한 위험을 줄이거나 완화하기 위해 무엇을 할 수 있는지 파악하라”라고 그는 말했다.
윈저는 정교한 사이버 공격이 회사 시스템이 아닌 경영진 개인을 공격하는 것에서 시작해 확산될 수 있다고 경고했다. 예방 조치로 CISO는 리더십 및 경영진 위험 프로필의 변화에 대해 경계할 필요가 있으며, 이는 사각지대를 찾는 데 호기심을 갖고 지속적으로 관심을 갖는 것을 의미한다.
이러한 사각지대는 매우 클 수 있다. 미디어에 자주 등장하거나, 소셜 미디어 대화에 포함될 정도로 충분히 잘 알려진 CEO는 잠재적인 해커들에게 눈에 띄는 먹이감이 된다. 그녀는 “CISO로서 나는 개인에게 잠재적으로 해를 끼칠 수 있는 위협과 조직 내에서 업무 범위에 대해 알고 있어야 한다”라고 말했다.
기업의 ‘크라운 주얼’을 보호할 것
개인에서 기업으로 확산될 수 있는 잠재적 취약성을 해결하기 위해 윈저는 CISO가 보호해야 할 회사의 ‘크라운 주얼’을 식별할 필요를 언급했다. 여기에는 개인적 공격을 포함한 잠재적 위험의 평가와 완화 전략 개발이 포함되어야 한다.
윈저에 따르면 이것이 가능한 한 많은 위협이나 취약성을 문서화하고 고려하는 것을 의미하며, 이는 개인적인 침해의 가능성과 영향을 평가하는 데 도움이 된다. 그녀는 “위협이 경영진과 이사회 구성원에게 어떤 의미를 갖는지 계산한 다음 거기서 조치를 취하라. 하지만 이는 위험 수용범위와 회사가 보호해야 한다고 생각하는 것을 기반으로 해야 한다”라고 말했다.
윈저에 따르면 완화 전략에는 이들 경영진이 공개적으로 자신에 대해 노출할 수 있는 정보가 무엇이고 얼마나 되는지에 대한 정책이 포함될 수 있다. “위협을 평가하기 위해 가능한 한 많은 정보를 확보하고, 이를 위험 관리대장에 등록한 다음, 이를 무시하기보다는 이에 대해 조치를 취하는 것이 정말 중요하다. 왜냐하면 그것이 사이버의 모든 것이기 때문입니다. 우리가 어떤 것을 무시할 때마다 그것이 나타나서 우리를 괴롭혔다”라고 윈저는 말했다.
고위 경영진에 대한 사이버보안 교육
위험 평가 및 완화 전략 외에 사내 교육은 경영진의 디지털 흔적을 보호하는 데에도 도움이 될 수 있다. ISACA 신흥추세 실무그룹(Emerging Trends Working Group)의 일원인 스티브 심은 최고 경영진이 모든 직원들과 마찬가지로 피싱 시뮬레이션 연습과 탁상 훈련(TTX)을 포함한 맞춤형 인식 교육에 참석해야 한다고 강조했다. “이러한 연습에는 최고 경영진도 포함되어야 하며, 가능하면 사이버 사건으로 야기된 조직 위기를 시뮬레이션 하는 동안 의사 결정에 참여하는 이사진도 포함해야 한다”라고 그는 말했다.
심은 “이러한 훈련은 사람, 프로세스 및 기술을 아우르는 다년간의 보안 개선 프로그램의 일부여야 한다”라며, 또 교육 영역이 보안 커뮤니티의 디지털 및 비즈니스 공급망과 정보 생태계 전반으로 확장될 필요가 있다고 말했다.
심은 사이버 위협 환경이 새로운 전술이나 기법으로 빠르게 발전함에 따라 경영진과 기업 모두의 위험 관리대장을 지속적으로 업데이트할 것을 권장했다. 또 사이버보안 개선 프로그램의 성공적인 제공을 위해 사이버보안 이니셔티브 및 프로젝트의 보안 지표, 핵심 위험 지표 및 핵심 성과 지표를 지속적으로 측정해야 한다는 주문이다. 그는 “이를 통해 기업은 현재의 위험 수용정도를 충족시킬 수 있을 뿐만 아니라 최고 경영진과 기업에 대한 잠재적 위협에 대한 미래의 대비책을 마련할 수 있다”라고 말했다.
기업문화를 고려할 것
윈저에 따르면, 경영진 위험을 관리하는 데 있어 문화는 간과되어서는 안 되는 또 다른 중요한 요소이다. 이는 CISO가 패치나 교육 프로그램에 의존하지 않고 전체적인 접근 방식을 취하는 것을 의미한다. 그녀는 사이버 문화를 정말로 향상시키기 위해서는 최고 경영진 전반에 걸친 강력한 협력적 접근이 필요하다고 강조했다. 윈저는 “CISO, CFO, CEO 모두가 협력하여 [공유 책임] 문화가 조직 전체에 전파되도록 해야 한다”라고 말했다.
무엇보다도, 공동의 책임은 공동의 위험이 있다는 것을 이해하는 것이다. “CEO가 영향을 받고 자신의 지위나 회사에 대해 알고 있는 민감한 정보, 영업비밀 등을 포함한 개인적인 데이터와 파일이 유출되면 그것은 CISO의 문제가 된다. 이것은 더 이상 CEO의 사생활 문제가 아니다”라고 그녀는 덧붙였다.
윈저는 “모든 사람이 자신의 역할과 사이버 보안에 대한 책임이 있다는 것을 알고 있다면 CISO가 일을 하는 것이 훨씬 쉬워진다”라고 말했다. ciokr@idg.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.