‘사이버보안 문외한’ 비영리 구호단체에 필요한 새로운 생존의 조건

인도적 차원의 지원 및 구호 사업에 종사하는 비영리 단체는 이미 어려운 환경에서 증가하는 사이버보안 위험에 직면하고 있다.
 
인도적 경제 원조는 항상 전 세계에 빠져서는 안 되는 사업 중 하나였다. 그러나 지난 몇 년보다 더 중요했던 적은 없었을 것이다.

팬데믹의 영향, 자원 가용성을 제한하고 대량 이주를 촉발하는 전례 없는 기상 패턴의 변화, 러시아의 우크라이나 침공, 수십 년 이래 가장 큰 생활비 상승 등 세계를 송두리째 뒤흔든 사건이 여럿 일어났다. 이러한 세계 경제 위기는 모두 도움이 필요한 사람들을 도우려는 인도적 지원 작업(종종 비영리 단체가 주도) 종사자들에게 위기감을 가져왔다. 

그러나 인도적 지원 노력에 참여하는 비영리 단체들은 증가하는 사이버보안 위협으로 인해 안전하게 구호품을 제공할 수 있는 능력을 위협하는 도전에 직면하고 있다. 결과적으로, 이제 사이버보안은 비영리 영역이 주도하는 인도적 지원 환경의 미래에 빠질 수 없는 요소가 됐다. 
 

사방으로 포위 

비영리 단체와 광범위한 인도적 지원 부문은 증가하는 사이버보안 위험과 도전에 직면해 있다. "많은 인도적 경제 지원 및 비영리 단체들이 다른 대부분의 단체보다 늦게 디지털 전환을 시작했다. 최근 사이버 평화 연구소의 CEO 스테판 뒤구인은 "수년에 걸쳐 수혜자를 위한 서비스와 프로그램을 제공하기 위해 더 많은 디지털 기술을 사용하고 있기 때문"이라고 말했다. 

사이버 평화연구소는 지원 기업들이 사이버 공격에 대비할 수 있도록 지원하는 독립 단체다. 무엇보다도 재정적 이유가 사이버 인재를 유치하고 보유하는 것이 어려운 이유다. 여기에 더해 단체들은 수많은 레거시 및 타사 의존성 문제에서도 헤어 나오지 못하고 있음, 날이 갈수록 증가하는 기술적 복잡성과 법적 문제에 고심하고 있다. 이러한 문제는 종종 열악한 사이버보안 관행을 초래하며 점점 더 많은 사이버 공격에 노출된다. 

사이버 평화연구소는 많은 비영리 단체가 자동화된 공격의 희생양이 될 것으로 보고 있다. 기본 보안 수칙만 제대로 확립해도 쉽게 방지할 수 있는 수준의 공격 말이다. 그는 "어떤 공격에서는 특정 비영리 단체가 표적이 아니다. 단지 해커가 공격하는 인프라를 빌려 쓴다는 이유로 공격당하는 일도 있다”라고 말했다. 

랜섬웨어가 등장하면서 범죄자들은 의료 기록과 같은 중요한 데이터를 암호화하고 비영리 단체가 데이터에 대한 접근 권한 되찾기 위해 몸값을 내도록 요구함으로써 네트워크 액세스를 수익화할 수 있게 됐다. 뒤구인은 "결과적으로 많은 비영리 단체가 사이버 보험사로 눈을 돌리는 것을 볼 수 있다. 이는 기부자 자금을 보호하는 데는 좋지만 사이버 복원력을 강화하는 가장 좋은 방법은 아니다"라고 지적했다. 
 

사이버 보험 청구 건수, 57% 증가

사이버 평화연구소는 연합이 발표한 2022년 사이버 손해 배상 청구 보고서 중간 업데이트에 따르면 2022년 상반기 보험계약자 간 사이버 손해 배상 청구 심각도와 빈도는 전년 대비 다소 감소했지만, 비영리 단체의 손해 배상 청구 빈도는 57%나 급증했다.

특히 비영리 단체를 대상으로 하는 사이버 공격의 경우, 거대 비영리 단체는 종종 거액의 기부금을 관리할 뿐만 아니라(사이버 범죄자들에게 큰 관심사가 될 수밖에 없다) 취약한 지역사회에 중요한 서비스를 운영하고, 이에 따라 일반적으로 민감한 개인 데이터를 관리한다는 점으로 인해 공격 대상이 되기에 십상이다. "위협 행위자들은 이러한 서비스를 중단시키고 데이터를 유출하려고 한다. 사이버 공격을 방어하기 위한 자원과 공격하기 위한 자원 간의 비대칭성이 가장 극명하게 나타나는 부분이다”라고 뒤구인은 말했다. 
 

보안 파트너십이 핵심이다

사이버보안 공급업체 옥타의 사회적 영향 및 지속 가능성 담당 부사장인 에린 보도 펠터는 비영리의 단체의 사이버보안을 개선하기 위해 기술 기업과 공공 및 사회 부문 간의 파트너십이 매우 중요하다고 말했다.

9월 넷호프(개발·인도적·보존적 과제를 해결하기 위해 움직이는 글로벌 비영리 단체)와 민간 대외원조 및 개발원조 관리를 담당하는 미국 연방정부의 독립기관인 미국국제개발청(USAID), 옥타 등이 새로운 계획을 발표했다. 새로운 정보 공유 및 분석 센터(ISAC) 설립하기 위한 양해각서를 발표했다. 이 센터는 인도적 경제 지원 분야를 위한 사이버보안 공유 서비스와 도구의 증가를 지원하는 것을 목적으로 한다. 사이버 평화연구소도 이 계획에 대해 지지를 발표했다.

일단 설립되면, ISAC는 주최국 정부, 기부자, 기술 회사 및 기타 신뢰할 수 있는 제공자가 비영리 기관과 세계에서 가장 취약한 공동체의 정보 보안 요구 범위를 지원할 수 있도록 할 것이다. 관련 기업들은 이 이니셔티브가 전문 지식을 하나의 플랫폼으로 통합하여 서비스하는 기업의 효율성, 범위 및 디지털 영향을 촉진하는 힘의 승수 역할을 할 것이라고 말했다. 

이는 지정학, 디지털 윤리 및 허위 정보 위험에 대한 각 비영리 회원들의 주요 초점 영역과 요소를 지원하여 사이버 위험을 식별하고 해결책을 제안하도록 설계되었다. 사이버보안 및 위협 대응에 대한 교육 및 조언을 직원들에게 제공하고 위협을 수신하고 대응할 수 있는 도구와 기술을 제공할 것이다.
 

비영리 단체가 전문가와 함께 참여할 수 있는 공간

"이와 같은 정보 공유 약속은 비영리 단체들이 자신들의 요구를 표명하고 기업들이 듣고 대응할 수 있는 공간을 제공한다"라고 보도 펠터는 말했다. 그는 "또한 우리가 정부와 기관 후원자를 협상 테이블로 데려올 때, 훨씬 더 큰 지원을 확보할 기회를 열어준다. 기술 부문의 목표는 시민 사회를 단순히 제품의 또 다른 구매자로 보는 것을 피하고, 사회 부문을 더 지원하기 위해 시민 사회가 부담할 수 있는 자원을 파악하는 것이라고 그는 덧붙였다. 다음과 같은 원칙을 따른다고 그는 설명했다. 

1.    팀의 전문성이 고객과 파트너의 즉각적인 네트워크 이상의 이점을 누릴 수 있도록 보장한다.
2.    제품을 시민사회단체가 접근하기 쉽고 사용하기 쉬우며 신뢰할 수 있는/안전한 제품으로 만든다. =
3.    더 많은 위험을 감수하도록 기존 후원보다 기업 지원을 장려한다. 이는 넷호프의 인도적 ISAC와 같이 새롭고 혁신적인 접근방식을 만들고자 먼저 나서야 한다는 뜻이다. 

넷호프 CEO 랜스 피어스는 "수십 년 전, 업계가 사이버 침해의 위협을 받고 있다는 것을 알았을 때, ISAC가 대응책이었다”라며 "정보 보안 전문가로 구성된 산업체형 ISAC는 일상적으로 정보를 공유하고 네트워크에서 관찰한 사항에 대한 피드백을 받았다"라고 말했다. 

그는 "소프트웨어가 '모든 것이 괜찮다'고 말할 때, 보안 채널의 신뢰할 수 있는 동료들과 공유하고 알려주기 위해 앉아 있는 숙련된 전문가들만이 문제가 있음을 식별할 수 있다. 인도주의와 개발 부문은 아직 ISAC를 가지고 있지 않다. 넷호프의 글로벌 인도주의 ISAC가 이 공백을 메우려고 한다”라고 설명했다. ciokr@idg.co.kr