해킹 및 랜섬웨어 등 사이버 공격의 피해 규모가 해를 거듭할수록 늘어나고 있습니다. 지난 1월 한국인터넷진흥원(KISA)의 발표에 따르면, 최근 3년 연속 매해 1,000억 원 이상의 사이버 공격으로 인한 피해액이 발생했으며 그중 98%는 영세 및 중소기업이 공격 대상이었다고 합니다.
그럼에도 최근 중소벤처기업부의 기술보호 수준 실태조사에서는 중소기업의 매출액 대비 보안 투자 규모가 대기업의 10분의 1 수준에 머물고 있는 것으로 나타났습니다. 주목할만한 점은 사이버 공격 발생 후에도 보안 관련 사후 조치를 하지 않은 중소기업이 45.5%의 비율로 높게 나타난 것입니다.
보안에 취약한 중소기업을 대상으로 한 사이버 공격은 금전적 이익을 쉽게 취득할 수 있어 그 자체로도 충분한 타깃이 됩니다. 더불어 국가 기관 및 대기업과 파트너를 맺은 중소기업은 그 중간에서 중요한 데이터를 유출하려는 미끼 역할로도 이용되고 있습니다.
가비아 시큐리티는 이 같은 현상의 주된 이유로 CEO를 비롯한 중소기업 임직원들의 사이버 위험에 대한 이해 부족을 뽑고 있습니다.
가비아 보안서비스팀이 분석한 통계에 따르면 보안 사고의 주된 요인은 웹 방화벽 미사용, 12345 등 계정 탈취에 취약한 비밀번호 사용, PC 업데이트 미진행 등으로, 가장 기초적인 보안 규칙도 지켜지지 않은 것으로 파악되었습니다.
지난해 8월에는 A 무역 업체 구매 담당자의 메일 계정이 유출되어 해커가 중간에서 담당자로 위장한 인보이스를 거래 업체로 발송해 2억 원 상당의 금액을 가로챈 사례도 있었습니다. 관리자가 2016년 이후 변경하지 않은 비밀번호를 지속적으로 사용해 피해가 발생한 것입니다.
이러한 사이버 보안 사고를 예방하려면 어떻게 해야 할까요?
기업이 취할 방법은 크게 관리적 보안과 기술적 보안으로 나눌 수 있습니다.
관리적 보안은 사내 보안 정책 마련 및 정기적인 임직원의 보안 교육을 통해 실행할 수 있습니다. 사내 보안 정책은 기업 경영 목표에 맞는 정보 보호 관리 체계 인증(ISMS, Information Security Management System) 및 ISO27001 인증 등의 가이드라인을 참고할 수 있습니다. 기업은 이를 바탕으로 보안 정책, 표준, 가이드라인을 지정하고 그 항목에 맞는 보안 요소들을 배치할 수 있습니다.
기술적 보안으로는 보안 솔루션 도입을 예로 들 수 있습니다. 대표적으로 기업용 백신이 있습니다. 이는 개인용 백신과 달리 중앙 관리가 가능하며 주기적인 백신 예약 및 업데이트 진행이 가능합니다. 이외 NAC(Network Access Control)솔루션을 통한 기업 네트워크 제어 및 DLP(Data Loss Prevention) 솔루션을 통한 내부 데이터 유출 방지가 가능합니다.
성공적인 보안은 조직 구성원들의 제대로 된 보안 인식이 뒷받침되어야 조직 전체에 정착될 수 있습니다. 가장 먼저 정기적인 사내 PC 점검 및 비밀번호 변경 주기를 통해 체계적인 임직원의 보안 인식을 형성할 수 있습니다. 비밀번호는 한국 인터넷 진흥원이 제안하는 암호 생성 규칙에 의하면 최소 8자 이상 및 세 가지 종류 이상의 문자를 혼합해 설정해야 합니다. 이외 최근 도입되고 있는 OTP 및 SMS 인증을 통한 2단계 보안 설정을 활용하는 것도 좋은 방법입니다.
중소기업의 경우 보안 전담 인력과 자체 보안 시스템 비용 투자에 대한 부담감을 이유로 보안에 투자하지 않는 경우가 많습니다. 그렇지만 보안에 투자하는 비용은 사이버 공격으로 인한 시스템 마비나 DB 유실 등의 문제를 해결하는 비용과 견주어 훨씬 낮다는 것을 기억하시기 바랍니다.