2015.01.14

해커들이 중소기업을 노리는 이유

Taylor Armerding | CSO
사이버범죄자들이 현재 중견중소기업들을 노리기 시작했다. 단순히 돈을 벌기 위해서가 아니라 수 천 개의 자동화 툴 덕분에 중견중소기업들을 공격하는 게 쉬워져 너무나도 많은 중견중소기업들이 쉬운 공격 대상이 됐다.


Credit: Shutterstock

기업 규모와 사이버범죄 위협 수준 간에 상관 관계가 있을까?

글로벌 사이버 리스크(Global Cyber Risk)의 CEO 조디 웨츠비는 “해커들이 고려하는 것은 데이터의 매력도지 대상 기업의 크기가 아니다. 개인 정보, 신용 카드 데이터, 의료 데이터, 지적 자산 등, 욕심낼만한 정보가 이들을 움직이게 한다”라고 밝혔다. 대부분 전문가들의 생각도 이와 다르지 않다.

그러나 데이터의 가치만이 사이버범죄율을 높이는 유일한 변인은 아니다. 강철 금고 안에 보관된 다이아몬드보다 상자 안에 보관된 금괴에 더 많은 도둑이 꼬인다는 게 전문가들의 비유다. 즉, 중소기업들이 보유한 데이터가 절대적인 가치는 더 작더라도, 공략하기 쉽기 때문에 범죄 대상이 될 가능성이 더 높은 것이다.

그동안 중소기업들은 예산 부족 등의 이유로 보안망에 충분히 투자하지 못했다. 이들과 대기업 간의 정보 가치 격차가 컸던 과거에는 이것이 그리 큰 문제가 되지 않았다. 하지만 이제는 모든 기업들이 막대한 데이터를 축적하고 관리하게 됐으며, 그에 따라 사이버범죄자들의 관심이 중소기업으로 옮겨가는 추세다.

카네기멜론 대학에서 소프트웨어 엔지니어링 연구소 컴퓨터 침해 사고 대응(CERT) 부문을 이끌고 있는 최고 과학자 그렉 셰넌은 “공격자들의 입장에서 중소기업들을 해킹하는 것은 상대적으로 언론의 이목을 덜 끈다는 장점도 있다. 빼낼 수 있는 데이터의 양과 질은 그리 아쉽지 않으면서 문제가 커질 위험이 낮은 매력적인 공격 대상인 셈이다”라고 설명했다.

셰넌(왼쪽 사진)은 “중소기업들에 대한 공격이 늘어난 또다른 원인은 공격 활동의 자동화다. 범죄자들은 자신들이 누구를 공격하는지, 그 대상이 진짜 공격할만한 가치가 있는 곳인지를 그다지 신경 쓰지 않게 됐다. 그저 여기저기 바이러스와 랜섬웨어를 뿌리고 다닐 뿐이다”라고 덧붙였다.

전문가들은 이러한 자동화 공격 방식을 ‘싹쓸이 어망’에 비유했다. 무작위로 바다 바닥을 긁는 조악한 그물을 상어나 고래 같은 큰 동물은 끊어버릴 수 있지만, 작은 물고기들은 거기에 속절없이 걸려버리고 만다.

보안 업체인 카스퍼스키는 자신들의 온라인 백서에서 “대기업들의 보안망이 해커들의 공격 체계를 압도해감에 따라 사이버 공격의 대상은 기업 먹이 사슬의 아래쪽으로 이동해가고 있다”라고 설명했다.

애틀랜틱 카운슬(Atlantic Council) 내 사이버 경영 기구의 이사인 제이슨 힐리도 “최고의 데이터를 보유한 최고의 기업들은 최고의 방어 체계를 구축하고 있다. 바꿔 말해 공격에 소요되는 노력을 고려한 상대적 값어치는 소규모 기업들이 더 큰 것이다”라고 같은 의견을 내놨다.

PwC의 미주, 글로벌 사이버 보안 자문 데이빗 버그는 “경제 악화 등의 요인으로 중소기업들이 보안 예산을 축소하며 문제는 더욱 심각해지고 있다. 우리가 최근 조사해 발표한 세계 정보 보안 설문 2015 결과를 보면, 연 매출 1억 달러 미만인 중소기업들은 지난해 자사 보안 예산을 평균 20% 수준으로 감축한 것을 확인할 수 있었다. 반면 매출 1~10억 달러 규모의 중견기업과 매출 10억 달러 이상의 대기업들은 평균 5% 수준으로 보안 투자를 늘렸다”라고 밝혔다.
 




2015.01.14

해커들이 중소기업을 노리는 이유

Taylor Armerding | CSO
사이버범죄자들이 현재 중견중소기업들을 노리기 시작했다. 단순히 돈을 벌기 위해서가 아니라 수 천 개의 자동화 툴 덕분에 중견중소기업들을 공격하는 게 쉬워져 너무나도 많은 중견중소기업들이 쉬운 공격 대상이 됐다.


Credit: Shutterstock

기업 규모와 사이버범죄 위협 수준 간에 상관 관계가 있을까?

글로벌 사이버 리스크(Global Cyber Risk)의 CEO 조디 웨츠비는 “해커들이 고려하는 것은 데이터의 매력도지 대상 기업의 크기가 아니다. 개인 정보, 신용 카드 데이터, 의료 데이터, 지적 자산 등, 욕심낼만한 정보가 이들을 움직이게 한다”라고 밝혔다. 대부분 전문가들의 생각도 이와 다르지 않다.

그러나 데이터의 가치만이 사이버범죄율을 높이는 유일한 변인은 아니다. 강철 금고 안에 보관된 다이아몬드보다 상자 안에 보관된 금괴에 더 많은 도둑이 꼬인다는 게 전문가들의 비유다. 즉, 중소기업들이 보유한 데이터가 절대적인 가치는 더 작더라도, 공략하기 쉽기 때문에 범죄 대상이 될 가능성이 더 높은 것이다.

그동안 중소기업들은 예산 부족 등의 이유로 보안망에 충분히 투자하지 못했다. 이들과 대기업 간의 정보 가치 격차가 컸던 과거에는 이것이 그리 큰 문제가 되지 않았다. 하지만 이제는 모든 기업들이 막대한 데이터를 축적하고 관리하게 됐으며, 그에 따라 사이버범죄자들의 관심이 중소기업으로 옮겨가는 추세다.

카네기멜론 대학에서 소프트웨어 엔지니어링 연구소 컴퓨터 침해 사고 대응(CERT) 부문을 이끌고 있는 최고 과학자 그렉 셰넌은 “공격자들의 입장에서 중소기업들을 해킹하는 것은 상대적으로 언론의 이목을 덜 끈다는 장점도 있다. 빼낼 수 있는 데이터의 양과 질은 그리 아쉽지 않으면서 문제가 커질 위험이 낮은 매력적인 공격 대상인 셈이다”라고 설명했다.

셰넌(왼쪽 사진)은 “중소기업들에 대한 공격이 늘어난 또다른 원인은 공격 활동의 자동화다. 범죄자들은 자신들이 누구를 공격하는지, 그 대상이 진짜 공격할만한 가치가 있는 곳인지를 그다지 신경 쓰지 않게 됐다. 그저 여기저기 바이러스와 랜섬웨어를 뿌리고 다닐 뿐이다”라고 덧붙였다.

전문가들은 이러한 자동화 공격 방식을 ‘싹쓸이 어망’에 비유했다. 무작위로 바다 바닥을 긁는 조악한 그물을 상어나 고래 같은 큰 동물은 끊어버릴 수 있지만, 작은 물고기들은 거기에 속절없이 걸려버리고 만다.

보안 업체인 카스퍼스키는 자신들의 온라인 백서에서 “대기업들의 보안망이 해커들의 공격 체계를 압도해감에 따라 사이버 공격의 대상은 기업 먹이 사슬의 아래쪽으로 이동해가고 있다”라고 설명했다.

애틀랜틱 카운슬(Atlantic Council) 내 사이버 경영 기구의 이사인 제이슨 힐리도 “최고의 데이터를 보유한 최고의 기업들은 최고의 방어 체계를 구축하고 있다. 바꿔 말해 공격에 소요되는 노력을 고려한 상대적 값어치는 소규모 기업들이 더 큰 것이다”라고 같은 의견을 내놨다.

PwC의 미주, 글로벌 사이버 보안 자문 데이빗 버그는 “경제 악화 등의 요인으로 중소기업들이 보안 예산을 축소하며 문제는 더욱 심각해지고 있다. 우리가 최근 조사해 발표한 세계 정보 보안 설문 2015 결과를 보면, 연 매출 1억 달러 미만인 중소기업들은 지난해 자사 보안 예산을 평균 20% 수준으로 감축한 것을 확인할 수 있었다. 반면 매출 1~10억 달러 규모의 중견기업과 매출 10억 달러 이상의 대기업들은 평균 5% 수준으로 보안 투자를 늘렸다”라고 밝혔다.
 


X