“사이버 공격 피해 기업 29%, 매출 손실 입어”

시스코 연례 사이버 보안 보고서 “보안 피해 기업 1/3 이상 매출·비즈니스 기회 20% 이상 손실”

지난 한 해 동안 사이버 공격을 당한 기업의 29%가 매출손실을 입었으며, 22%는 고객을 잃었고, 23%는 새로운 비즈니스 기회를 잃은 것으로 나타났다. 피해 기업의 1/3 이상은 기존 고객의 매출과 비즈니스 기회 규모의 20% 이상 손실을 입은 것으로 나타났다.

이는 시스코가 7일 발표한 ‘2017 연례 사이버 보안 보고서’에 따른 것으로, 사고 이후 피해 기업 중 90%는 IT와 보안 기능 분리(38%), 직원 대상의 보안 인식 교육 확대(37%), 리스크 완화 기법 실행(37%) 등을 통해 위협 방어 기술과 프로세스를 개선했다.

보안 강화 걸림돌은 ‘한정된 예산’

보고서에 따르면 기업의 CSO는 보안 강화의 가장 큰 걸림돌로 한정된 예산, 시스템 호환성, 부족한 전문 인력을 꼽았다. 기업의 65%가 최소 6개에서 50개에 달하는 보안 제품들을 사용하고 있으며, 운영 리더들은 자사 보안 부서 환경이 점차 복잡해지고 있다고 답했다. 이에 따라 사용하는 보안 제품은 많은 반면, 정작 보안 효과는 떨어지는 ‘보안 효과 격차’도 증가하는 것으로 조사됐다.

이 같은 격차를 틈 타 범죄자들이 애드웨어, 이메일 스팸과 같은 고전적 공격 기법을 활용하고 있으며, 이메일 스팸은 2010년 이후 최고 수준을 기록했다. 스팸 메일은 전체 이메일의 65%를 차지하고 이 가운데 8~10%는 악성으로 드러났다. 전세계 이메일 스팸 비율은 증가 추세며 봇넷에 의해 확산되는 경우가 많다.

위협 탐지 시간 줄이는게 관건

이런 공격에 맞서 보안 실행 효과 측정이 매우 중요하다고 시스코는 강조했다. 시스코는 위협 침해와 탐지 사이의 시간을 나타내는 ‘위협 탐지 시간(TTD)’이 얼마나 단축되고 있는지 변화 과정을 추적하고 있다.

위협 탐지 시간 단축은 공격자의 활동 공간을 제한하고 침입 피해를 최소화하는 데 매우 중요하다. 시스코는 위협 탐지 시간의 중앙값을 2016년 초 14시간에서 하반기 최저 6시간까지 단축시켰다. 이 수치는 전세계 시스코 보안 제품으로부터 원격 측정된 정보를 기반으로 한다.

조범구 시스코 코리아 대표는 “디지털 시대가 본격화 되고 이에 맞춰 비즈니스가 변화함에 따라 사이버 보안은 기업이 집중해야 할 가장 중요한 부분”이라며 “시스코는 위협 탐지 시간 단축, 위협 방어 자동화 및 통합 기능을 통해 기업이 재무와 운영상의 위험을 최소화하고 비즈니스를 성장시킬 수 있도록 돕고 있다”고 밝혔다.

피해 기업 40% “고객 기반 20% 이상 잃어”

보안 침해를 당한 기업의 50% 이상이 공개 조사를 겪었고, 여파는 상당했다. 운영 및 재무 시스템이 가장 큰 피해를 입었고, 브랜드 평판과 고객 유지 측면에서도 피해가 컸다. 보안 침해를 당한 기업의 22%가 고객을 잃었으며, 그 중 40%는 고객 기반의 20% 이상을 잃었고, 29%는 매출이 하락했다. 이 가운데 38%는 20% 이상 매출 하락을 겪었다. 보안 침해를 겪은 기업의 23%는 비즈니스 기회를 잃었다. 이 가운데 42%는 20% 이상의 기회를 잃었다.

해킹은 더욱 ‘기업화’ 됐다. 디지털화로 인한 기술 환경의 변화는 사이버 범죄자에게 기회를 제공했다. 공격자는 오래되고 검증된 기법을 지속적으로 이용하는 한편, 새로운 방법도 활용한다.

새로운 공격 방법은 기업의 조직 계층을 모델로 한다. 특정 멀버타이징(malvertising) 캠페인은 중간 관리자 역할을 하는 브로커(또는 ‘게이트’)로 위장해 침입한다. 공격자는 준비 시간을 확보한 후 탐지를 회피하며 더욱 빠른 속도로 공격을 추진한다.

직원들이 임의로 사용하고 있는 써드 파티 클라우드 애플리케이션의 27%는 애초 새로운 비즈니스 기회를 창출하고 효율성을 높이자는 취지와 다르게, 고위험으로 분류되고 심각한 보안 우려를 발생시켰다.

사용자 허가 없이 광고가 다운로드 되는 ‘애드웨어’는 기업의 75%를 감염시키며 여전히 효과적인 공격 수단임을 입증했다.

앵글러(Angler), 뉴클리어(Nuclear), 뉴트리노(Neutrino)와 같은 대규모 익스플로잇 킷(exploit kit) 사용은 2016년 동안 줄어들었지만 그 빈자리를 채우는 소규모 공격자들이 몰려들었다.

비즈니스 보안, 경계 태세 유지

보안 경고를 받은 기업 중 단 56%만 조사에 착수했고, 적법한 경고 중 절반 미만만 문제가 해결되었다. 보안 부서는 사용하는 보안 도구에 신뢰감이 있지만 복잡성과 인력 문제로 어려움을 겪고 있다.

이러한 환경으로 인해 공격자는 공격에 필요한 시간과 목표 대상을 쉽게 확보할 수 있다. 따라서 기업의 비즈니스 우선순위에 보안을 두어야 하며, 기업의 임원진이 보안의 중요성을 강조하고, 보안에 우선적으로 예산을 투입해야 한다.

운영 원칙을 측정하고, 보안 프로세스를 점검하고 패치를 적용한다. 네트워크 시스템, 애플리케이션, 기능 및 데이터에 대한 접점을 제어한다.

더불어 보안 효과 테스트를 위한 분명한 측정 지표를 수립한다. 측정 지표를 활용해 보안 프로세스를 검증하고 개선한다. 통합 방어 접근방식 채택하고, 가시성 향상, 상호운용성 간소화, 공격 탐지와 방어 시간 단축을 위해 통합 및 자동화를 중요 과제로 삼아야 한다. 이로써 보안부서는 실제 위협을 조사하고 해결하는 데 집중할 수 있다.

김선애 기자 다른기사 보기