Offcanvas

How To / 보안

기업을 위험에 빠뜨리는 잘못된 사이버보안 인식 5가지

2021.12.16 Barry O'Donnell  |  IDG Connect
사이버보안의 중요성이 증가함에 따라 우리의 사이버보안 인식도 증가했다. 부실한 사이버보안은 오늘날 기업에 가장 큰 위협으로 작용한다. 사이버보안과 관련된 문제는 종종 사이버보안 인식 부족에 기인한다. 2020년 사이버위협 대응 보고서에 따르면, 기업의 사이버보안 대책에 가장 부정적인 영향을 미치는 중요한 요소가 ‘사이버보안 인식 부족’으로 조사됐다.
 
ⓒ Getty Images Bank

사이버보안 인식 부족은 사이버보안 교육 부재와 잘못된 정보에 지속적으로 노출되는 환경 때문이다. 언론에서 그 어느 때보다 사이버보안에 주목하고 있음에도, 보안에 대한 ‘미신’은 여전히 기업을 위협에 빠뜨린다. 사이버보안에 대한 잘못된 인식을 소개하고, 이를 바로잡는 방법을 소개한다. 


1. 사이버보안은 나의 잘못이 아니다

아직도 많은 사람이 IT 보안을 IT팀의 문제로만 여긴다. 하지만 그렇지 않다. 모든 직원은 기업 비즈니스를 보호해야 하는 책임이 있다. 직원은 기업의 사이버 공격 방어의 최전선에 있음과 동시에 가장 큰 공격 지점이다. 해커는 사이버보안에 대한 지식이 부족한 직원을 표적으로 삼고 피싱 캠페인을 진행한다. 

잘못된 인식을 가진 직원이 기본적인 사이버보안 위생을 지키지 않는다면, 심각한 결과를 초래한다. 이메일 링크를 클릭하거나 소프트웨어를 다운로드할 때 주의를 기울이지 않아 비즈니스를 위험에 빠뜨리는 것이다. 따라서 사이버보안의 중요성과 각 직원이 해야 하는 역할 교육이 매우 중요하다. 교육받은 직원은 자기 행동에서 보안에 위협이 되는 요소를 발견하고, 이를 개선할 수 있다.


2. 해커는 중소기업을 공격하지 않는다

일반적으로 언론은 야후나 우버, 메리어트와 같은 대기업을 대상으로 한 사이버 공격을 보도한다. 그렇다고 해서 대기업만 사이버 공격을 받는 것일까? 정답은 ‘전혀 그렇지 않다’이다.

이 인식은 꽤 오랜 시간 지속했다. 해커가 대기업을 공격해야 더 많은 돈을 갈취할 수 있다는 사실과 대기업을 대상으로 한 공격에만 주목하는 언론 보도 때문이다. 하지만 미국 FSB(Federation of Small Businesses)에 따르면, 중소기업을 대상으로 하는 사이버 공격은 하루 1만 건 이상 발생한다. FSB는 ‘공식적인 비밀번호 정책 부족, 업데이트 미배포, 보안 소프트웨어 미사용’이 중소기업에 널리 퍼진 취약점이라고 지적했다. 

대기업을 공격하면 해커가 얻을 수 있는 금전적 이득이 더 크지만, 중소기업을 공격하는 것보다 위험 부담이 더 높다. 사이버 공격자도 이를 알고 있다. 사이버 공격을 받은 중소기업은 존폐 위기에 놓일 수 있다. 보험 업체 히스콕스(Hiscox)의 조사 결과, 영국에서는 중소기업을 대상으로 한 사이버 공격이 19초마다 성공하는 것으로 나타났다. 따라서 사이버보안 예산이 매우 한정적인 중소기업은 서드파티 IT 관리 업체에 기업 규모에 적합한 대책을 자문해야 한다.


3. 비밀번호는 언제나 계정을 안전하게 지켜준다

비밀번호와 관련해 2가지 잘못된 인식이 존재한다. 하나는 비밀번호에 영문 대문자와 숫자, 특수문자를 포함하면 절대 깨뜨릴 수 없다는 인식이다. 비밀번호 설정 시 영문 대문자와 숫자, 특수문자를 포함하도록 규정하는 기업에는 이런 잘못된 인식이 이어지기 마련이다. 그러나 비밀번호 보안은 길이에 좌우된다. 길이가 짧은 비밀번호는 복잡성에 상관없이 소프트웨어로 며칠이면 풀 수 있다. 길이가 긴 비밀번호는 깨뜨리는 데 더 많은 시간이 투입된다. 따라서 비밀번호를 설정할 때 권장 사항은 좋아하는 책이나 노래에서 특수문자가 없고 기억할 수 있을 만한 구절을 사용하는 것이다.

강력한 비밀번호 설정은 사이버보안의 첫걸음일 뿐이다. 사용하는 서비스가 해킹당하거나, 사이버 공격자가 비밀번호에 접근하게 된다면 취약해지는 것은 뻔한 일이다. 이런 이유로 다중인증(MFA)이 필요하다. 다중인증은 계정에 접속할 때 추가 확인 절차를 거치는 방법이다. 로그인 시 보안 코드를 입력하라는 메시지가 나타나며, 이 코드는 사용자의 휴대폰 문자메시지나 전용 인증 앱으로 전송된다. 해커가 사용자의 비밀번호를 손에 넣더라도 계정에 접근할 수 없다.


4. 기본 안티 바이러스 프로그램이면 충분하다

맥아피(McAfee)나 어베스트(Avast) 같은 안티 바이러스 솔루션으로 비즈니스를 보호할 수 있는 시절은 끝났다. 이제는 랜섬웨어처럼 특정한 사이버 위협에 맞설 수 있는 전문화된 보안 솔루션이 필요하다. 모든 솔루션이 상호 작용하는 동기화된 보안 방식은 지금까지 가장 강력한 대책으로 평가된다. 기업의 보안 솔루션은 엔드포인트부터 방화벽, 네트워크 연결, 이메일까지 보호할 수 있어야 하며, 향후 발생할 수 있는 사고에 대비해 백업 및 재난 복구 솔루션도 마련하는 것을 추천한다. 


5. 해커의 공격만 예방하면 된다

비즈니스에 가장 위협이 되는 것은 해커다. 하지만 악의적인 내부자나 우발적인 실수도 무시해서는 안 된다. 대표적인 것이 영국 히드로 공항 직원이 실수로 민감한 정보가 들어있는 USB를 잃어버린 사건이다. USB를 습득한 사람이 이를 악의적으로 이용하지 않고 공항 측에 돌려주었지만, 영국 정보 위원회는 공항 측에 정보 보호 위반으로 12만 파운드(약 1억 8,000만 원)의 벌금을 부과했다. 이 밖에 직원이 실수로 중요 데이터가 포함된 엑셀 파일을 회사 외부 이메일로 보내는 경우도 발생하기 쉽다.

마찬가지로 민감한 내부 정보에 접근할 수 있는 직원이 회사에 불만을 품게 된다면, 충분히 데이터를 훔치거나 외부와 공유할 수 있다. 이런 상황에는 기업의 핵심 시스템에 꼭 필요한 인원만 접근할 수 있도록 통제하는 방법이 도움이 된다. 아울러 우발적인 데이터 침해를 방지하기 위해서는 이동식 장치를 암호화하는 정책을 도입하고, 특정 첨부 파일을 기업 외부와 공유하지 않도록 시스템을 설정하는 방법이 있다. editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.