Offcanvas

How To / 보안

SMB가 고려해야 할 사이버 범죄 비용 5가지

2015.04.15 Ed Tittel  |  CIO
범죄자들은 대기업만을 노리는 게 아니다. 사실 중소기업체 역시 대기업만큼이나 매력적인 공격 목표다.

인터넷을 통해 일어나는 범죄들은 크게 두 분류로 나눌 수 있다: 정보 탈취와 디지털 파괴다. 정보 탈취의 대상으로는 금융 정보, 제품이나 전략 상용 정보, 고객 정보, 거래 내역 등이 있다. 한번 탈취되면 이들 정보는 중소사업체 혹은 그 고객들로부터 직접적으로 돈을 훔치는데 사용되거나, 다른 범죄자들에게 판매된다. 정보 탈취를 위해 널리 활용되는 방법으로는 암호나 신용카드 번호 같은 민감한 정보를 신뢰할 수 있는 기관으로 가장해 탈취하는 피싱이 있다.

디지털 파괴에는 DoS(denial of service) 공격, 바이러스, 기타 유형의 맬웨어 등이 포함되며, 종종 단순히 비즈니스에 지장을 주거나 이를 통해 돈을 갈취하려는 목적으로 일어난다.



중소사업체의 비용 산정
소규모 사업체들에게 고객 정보 도난은 사업을 마비시키고 회사를 망하게 할 수 있는 중대한 타격이다. 한번의 사건이라도 회사의 명성을 손상시킬 수 있으며 복구 불가능한 피해로도 이어질 수 있다.

2103년 조사에 따르면 소규모 사업체가 한 번의 공격을 받았을 때 입은 평균적 직접 피해액은 9,000달러였다. 그러나 여기에는 브랜드에 대한 피해와 기타 계산하기 힘든 피해액은 포함되어 있지 않다. 포네몬(Ponemon)에 의하면 중소사업체는 사이버범죄로 인한 한 사람당 피해액이 대기업의 4배에 달하기도 한다.

많은 중소사업체들에게 이런 지출은 치명적이다. 2012년 NCSA(National Cyber Security Alliance)의 연구에서는 사이버 공격의 36%가 중소사업체를 대상으로 감행된다는 점을 보여주었다. 그 중에서 60% 가까이는 공격 후 6개월 안에 사업을 접어야 했다. 그런데도 중소사업체 사장의 77%는 그들의 회사가 사이버 보안 공격으로부터 안전하다고 믿는다.

사이버범죄는 정보화시대의 안타까운 부작용이다. 물리적 물건이나 현금이 한때는 도둑들의 모든 공격 대상이었지만, 이제는 정보가 그런 것 보다 더 큰 가치를 지닌다. 사업체들은 전자 도난에 대비해 더 대비를 철저히 해야 하며, 중소사업체들도 예외는 아니다. 사이버 범죄에 대한 그들의 잠재적 노출도를 계산하고, 공격을 막고 무력화하기 위한 조치를 취해야 한다.

비록 기업의 규모와 공격 상황에 따라 피해액이 다르겠지만, 다음 섹션에서는 그런 안타까운 상황에서 중소사업체가 입을 수 있는 손실 유형에 대해 정리해보았다.

1. 비즈니스 중단
보안 사고는 일정 기간 동안 중소사업체의 디지털 운영이 중지됨을 의미한다. 디도스 공격의 대상이 된 온라인 소매점의 경우 공격의 근원을 찾고 시정 조치를 취하기 위해 며칠에서 몇 주까지 폐쇄해야 할 수도 있다. 신용카드정보가 도난 당한 고객 데이터 유출도 그와 유사한 영업 중단으로 이어질 수 있다. 이 밖에 IT 서비스 제공 업체가 공격받은 경우도 있다. 이 때에도 며칠 분에 달하는 총 매출 손실이 발생할 수 있음을 감안해야 한다. 

2. 회사 자산 손실
공격으로 인해 탈취된 은행 계좌 번호와 암호는 자금 도난을 유발할 수 있다. 중소사업체 사장들이 은행이 그 피해액을 보상해주리라는 잘못된 믿음을 가지고 있는 경우가 있다. 하지만 현실을 그렇지 않다. 도난의 책임은 사업체가 치는 경우가 대부분이며 이는 결국 영업 자본 손실로 이어지게 된다.

제품 디자인, 고객 정보, 기업 전략, 직원 정보 등의 기업 비밀 정보가 종종 유출되거나 탈취되기도 한다. 이런 탈취 자산은 흔히 사업체에 계산할 수 없는 가치를 가지고 있는 것들이며, 복구하기 힘든 피해로 이어지곤 한다.

3. 명성 손상
수량화하기 어려운 또 다른 피해는 공격 이후의 평판 손상이다. 유명한 타깃(Target) 유출사고는 1억 명의 고객 정보가 유출됐던 사고다. 직접적인 피해 복구 현금 지출 비용만 보험과 별개로 약 1억 4,800만 달러에 달했다.

그러나 이것으로 끝이 아니다. 타깃의 명성에 대한 손상은 오래도록 이어져서 고객들이 그들의 개인 정보를 타깃 측에 제공하거나 그들의 신용카드를 매장에서 사용하는 행동을, 또는아예 타깃에서의 쇼핑 자체를 하는데 주저하게 만들 것이다. 포레스터는 타깃의 총 피해액이 10억 달러를 초과한다고 추정했다.

이 시나리오는 중소사업체의 경우 더 심각할 수 있다. 예를 들어 새 고객을 끌어들이고, 예약을 하고, 브랜드를 유지하는데 웹사이트에 크게 의존하는 리조트 운영자가 있다고 가정해보자. 만약 그 사이트가 해킹되고 악성 링크에 감염된다면 검색엔진이 이 사이트를 “수용소”에 오랫동안 격리시켜 고객들이 이 웹사이트를 찾기 더 어렵게 만들 것이다.

운영자가 그 해킹을 해결한 이후에도, 리조트의 실질적 명성이 복구되는 데는 여러 달이 더 걸릴 수 있다. 그리고 이런 피해에 공격 기간 도중 영향 받은 고객 매출 손실까지 더해지게 된다.

4. 소송
타깃 사례의 경우, 소비자들 그리고 신용카드 피해를 입은 은행들이 집단 소송을 제기했다. 법원은 타깃가 해커들이 회사 데이터센터에 접속하도록 하는데 “핵심적 역할”을 담당했다고 판결 내렸고, 이로 인해 은행들이 소송을 이어갈 수 있는 근거가 되었다.

기업은 보안 사고와 관련해 소송의 가능성을 염두에 두어야 한다. 타당한 조치(법률용어로는 “상당의 주의”)를 취함으로써 미래 데이터 유출 같은 안타까운 상황에서 소송 당하는 일을 미연에 방지할 수 있다.

5. 보호 비용: 직원, 방화벽, 암호화, 소프트웨어
사이버 범죄로 인한 가장 중요한 비용은 바로 보호비용이다. 모든 규모의 사업체들은 사이버범죄로부터 스스로를 보호해야 하며 이를 위해서는 비용이 필요하다. 1인 기업 같은 최소 규모의 중소사업체의 경우, 이는 까다로운 암호를 모든 시스템에 사용하고 년 50달러 정도의 저비용 보호 소프트웨어를 활용하는 정도의 간단한 조치가 무난할 수 있다.

하지만 사업체 규모에 따라 비용 규모는 달라진다. 보안 비용을 절감하는 방안 중 하나는 SIEMs(security information and event management solutions), IPSs(intrusion prevention systems), 네트워크 인텔리전트 시스템, 데이터 애널리틱스 등을 활용하는 것이다. 어떤 보고서에 의하면 비용을 6분의 1까지 줄여준다고 한다.

전문가 조언: 조치를 취하라
중소사업체 관리자의 가장 큰 위험은 바로 태만이다. 사이버 범죄를 무시한다고 사업체가 안전해지는 것은 아니다. 사이버 범죄에 대항한 보호 조치는 이제 오프라인 상점 현관문의 자물쇠보다도 더 중요하다.

중소사업체의 규모에 알맞은 전자 보호 조치를 취하는데 실패하는 것은 상점 안 눈에 보이는 곳에 현금을 쌓아 놓은 채로 문을 활짝 열어두는 비즈니스 모델과 다를 바가 없다.

* Ed Tittel은 IT 전문 저술가이자 컨설턴트다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.