날로 진화하는 사이버 범죄
인적 보안에 철저히 대비해야
김욱 < 한국IBM 보안 서비스총괄 본부장 >
보안사고로 인한 기업 피해가 점차 늘고 있다. 지난 3년간 세계에서 누출된 이메일 주소, 신용카드 번호, 비밀번호가 10억여건이나 된다. 한국도 예외가 아니다. 2014년 보안사고가 가장 많이 발생한 나라는 미국, 영국, 캐나다, 한국 순이었다.
보안사고가 급증하는 이유는 돈이 되기 때문이다. 지난해 사이버 범죄로 인한 피해액은 4450억달러에 이른다. 포네몬연구소의 ‘전 세계 데이터 유출현황 조사’에 따르면 데이터 유출에 따른 피해액은 평균 380만달러로, 2013년 이후 23% 증가했다. 돈이 되다 보니 범죄로 이어진다. 사용자 로그인정보 및 금융정보 탈취 악성코드인 ‘시타델(Citadel)’은 러시아 지하시장에서 거래되는 인기 상품이다.
해커는 더 이상 ‘외로운 늑대’가 아니다. 세계 지하시장을 통해 협력하며 악성코드를 판매하고 고객 애프터서비스 등의 맞춤 서비스를 제공한다. 보안 공격의 패러다임이 바뀌었다는 것은 기존의 보안 솔루션이나 툴의 효력 또한 약해졌다는 의미다. ‘황금 방패’가 사라진 세상에서 기업은 방어의 패러다임을 바꿔야 한다.
우선 기본으로 돌아가야 한다. 기본의 핵심은 인적 보안이다. 개인 비밀번호와 내부 직원에 대한 권한 관리부터 시작하는 것이다. 미국의 유명 클라우드 스토리지 회사는 쉬운 비밀번호 사용으로 고객 계정 600만개를 도난당해 망신을 샀다. 한국은 최근 발생한 금융회사 정보유출 사건 9건 중 7건이 내부자 또는 협력업체 직원에 의한 것으로 타국에 비해 인적 요소 비중이 세 배 이상 높다.
인적 보안 다음은 환경이다. 전사적 정보보호체계를 마련하고 사내 네트워크 망을 분리해 외부 침입 자체가 어려운 보안 환경을 조성하는 것이다. 더불어 사물인터넷(IoT), 모바일, 핀테크 등 신기술에 대한 보안을 강화해야 한다. 사물인터넷을 서비스하는 기업이라면 사물인터넷 관련 제품 및 서비스 기획·설계 단계부터 보안을 고려해야 한다. 모바일도 마찬가지다. 앱 단계에서 위험 자각과 자가 방어가 가능하도록 해야 하며, 핀테크의 경우 사기방지서비스 등 자체 보안 서비스를 도입할 필요가 있다. 보안사고는 기업 비즈니스와 생사에 영향을 미치고, 나라 경제와 국가 안보까지 위협할 수 있다. 모든 창을 막을 수 있는 ‘황금 방패’가 존재하지 않듯 보안에 지름길은 없다는 것을 인정하고 개인, 기업, 산업, 국가 모두 중장기적 안목으로 협업해야 할 것이다.
김욱 < 한국IBM 보안 서비스총괄 본부장 >
[한경+ 구독신청] [기사구매] [모바일앱] ⓒ '성공을 부르는 습관' 한국경제신문, 무단 전재 및 재배포 금지
인적 보안에 철저히 대비해야
김욱 < 한국IBM 보안 서비스총괄 본부장 >
보안사고로 인한 기업 피해가 점차 늘고 있다. 지난 3년간 세계에서 누출된 이메일 주소, 신용카드 번호, 비밀번호가 10억여건이나 된다. 한국도 예외가 아니다. 2014년 보안사고가 가장 많이 발생한 나라는 미국, 영국, 캐나다, 한국 순이었다.보안사고가 급증하는 이유는 돈이 되기 때문이다. 지난해 사이버 범죄로 인한 피해액은 4450억달러에 이른다. 포네몬연구소의 ‘전 세계 데이터 유출현황 조사’에 따르면 데이터 유출에 따른 피해액은 평균 380만달러로, 2013년 이후 23% 증가했다. 돈이 되다 보니 범죄로 이어진다. 사용자 로그인정보 및 금융정보 탈취 악성코드인 ‘시타델(Citadel)’은 러시아 지하시장에서 거래되는 인기 상품이다.
해커는 더 이상 ‘외로운 늑대’가 아니다. 세계 지하시장을 통해 협력하며 악성코드를 판매하고 고객 애프터서비스 등의 맞춤 서비스를 제공한다. 보안 공격의 패러다임이 바뀌었다는 것은 기존의 보안 솔루션이나 툴의 효력 또한 약해졌다는 의미다. ‘황금 방패’가 사라진 세상에서 기업은 방어의 패러다임을 바꿔야 한다.
우선 기본으로 돌아가야 한다. 기본의 핵심은 인적 보안이다. 개인 비밀번호와 내부 직원에 대한 권한 관리부터 시작하는 것이다. 미국의 유명 클라우드 스토리지 회사는 쉬운 비밀번호 사용으로 고객 계정 600만개를 도난당해 망신을 샀다. 한국은 최근 발생한 금융회사 정보유출 사건 9건 중 7건이 내부자 또는 협력업체 직원에 의한 것으로 타국에 비해 인적 요소 비중이 세 배 이상 높다.
인적 보안 다음은 환경이다. 전사적 정보보호체계를 마련하고 사내 네트워크 망을 분리해 외부 침입 자체가 어려운 보안 환경을 조성하는 것이다. 더불어 사물인터넷(IoT), 모바일, 핀테크 등 신기술에 대한 보안을 강화해야 한다. 사물인터넷을 서비스하는 기업이라면 사물인터넷 관련 제품 및 서비스 기획·설계 단계부터 보안을 고려해야 한다. 모바일도 마찬가지다. 앱 단계에서 위험 자각과 자가 방어가 가능하도록 해야 하며, 핀테크의 경우 사기방지서비스 등 자체 보안 서비스를 도입할 필요가 있다. 보안사고는 기업 비즈니스와 생사에 영향을 미치고, 나라 경제와 국가 안보까지 위협할 수 있다. 모든 창을 막을 수 있는 ‘황금 방패’가 존재하지 않듯 보안에 지름길은 없다는 것을 인정하고 개인, 기업, 산업, 국가 모두 중장기적 안목으로 협업해야 할 것이다.
김욱 < 한국IBM 보안 서비스총괄 본부장 >
[한경+ 구독신청] [기사구매] [모바일앱] ⓒ '성공을 부르는 습관' 한국경제신문, 무단 전재 및 재배포 금지
관련뉴스
