(4/4) 해커에겐 너무나 가벼운 표적...사이버 공격 사후 조치 안 하는 중소기업 45.5%로 나타나

(4/4) 해커에겐 너무나 가벼운 표적...사이버 공격 사후 조치 안 하는 중소기업 45.5%로 나타나

해킹 및 랜섬웨어 등 사이버 공격의 피해 규모가 해를 거듭할수록 늘어나고 있다. 지난 1월 한국 인터넷 진흥원(KISA)이 발표한 자료에 따르면 최근 3년 연속 매해 1,000억 원 이상의 사이버 공격으로 인한 피해액이 발생했으며 그중 98%는 영세 및 중소기업이 공격 대상이었다.

최근 중소 벤처기업부가 발표한 기술 보호 수준 실태조사에 따르면 중소기업의 매출액 대비 평균 보안 투자 규모는 대기업의 10분의 1 수준에 머물고 있다. 주목할 만한 점은 사이버 공격 발생 후에도 보안 관련 사후 조치를 하지 않은 중소기업이 45.5%의 비율로 높게 나타난 것이다.

보안에 취약한 중소기업을 대상으로 한 사이버 공격은 금전적 이익을 쉽게 취득할 수 있어 그 자체로도 충분한 타깃이다. 더불어 국가 기관 및 대기업과 파트너를 맺은 중소기업은 그 중간에서 중요한 데이터를 유출하려는 미끼 역할로도 이용되고 있다.

가비아는 이 같은 현상에 대해 주된 이유로 CEO를 비롯한 중소기업 임직원들의 사이버 위험에 대한 이해 부족을 뽑았다.

가비아 보안 서비스팀이 분석한 통계에 따르면 보안 사고의 주된 요인은 웹 방화벽 미사용, 12345 등 계정 탈취에 취약한 비밀번호 사용, PC 업데이트 미진행 등으로, 가장 기초적인 보안 규칙도 지켜지지 않은 것으로 파악됐다.

지난해 8월, A 무역 업체 구매 담당자의 메일 계정이 유출되어 해커가 중간에서 담당자로 위장한 인보이스를 거래 업체로 발송해 2억 원 상당의 금액을 가로챈 사례도 있었다. 이는 관리자가 2016년 이후 변경하지 않은 비밀번호를 지속적으로 사용해 미흡한 기초 보안 관리로 일어난 피해 사례였다.

이러한 사이버 보안 사고를 예방하려면 어떻게 해야 할까? 기업이 취할 방법은 크게 관리적 보안과 기술적 보안으로 나눌 수 있다.

관리적 보안은 사내 보안 정책 마련 및 정기적인 임직원의 보안 교육을 통해 실행할 수 있다. 사내 보안 정책은 기업 경영 목표에 맞는 정보 보호 관리 체계 인증(ISMS, Information Security Management System) 및 ISO27001 인증 등의 가이드라인을 참고할 수 있다. 기업은 이를 바탕으로 보안 정책, 표준, 가이드라인을 지정하고 그 항목에 맞는 보안 요소들을 배치할 수 있다.

기술적 보안으로는 보안 솔루션 도입을 예로 들 수 있다. 대표적으로 기업용 백신이 있다. 이는 개인용 백신과 달리 중앙 관리가 가능하며 주기적인 백신 예약 및 업데이트 진행이 가능하다. 이외 NAC(Network Access Control)솔루션을 통한 기업 네트워크 제어 및 DLP(Data Loss Prevention) 솔루션을 통한 내부 데이터 유출 방지가 가능하다.

성공적인 보안은 조직 구성원들의 제대로 된 보안 인식들이 뒷받침되어 조직 전체에 정착된다. 가장 먼저 정기적인 사내 PC 점검 및 비밀번호 변경 주기를 통해 체계적인 임직원의 보안 인식을 형성할 수 있다. 비밀번호는 한국 인터넷 진흥원이 제안하는 암호 생성 규칙에 의하면 최소 8자 이상 및 세 가지 종류 이상의 문자를 혼합해 설정해야 한다. 이외 최근 도입되고 있는 OTP 및 SMS 인증을 통한 2단계 보안 설정을 활용하는 것도 좋다.

가비아 보안 서비스팀 관계자에 따르면 “중소기업이 보안 전담 인력과 자체 보안 시스템 비용 투자에 대한 부담감을 이유로 보안에 투자하지 않는다”라며 “중소기업은 보안에 투자하는 비용이 사이버 공격으로 인한 시스템 마비나 DB 유실 등의 문제를 해결하는 비용과 견주어 훨씬 낮다는 것을 깨달아야 한다”라고 전했다.