지난해 사이버 공격으로 인한 손해가 우리나라 GDP의 5%에 달하는 720억달러(약 77조원)에 달하며, 대기업의 경우 기업당 평균 300억원의 피해를 입은 것으로 확인됐다.
이는 마이크로소프트와 프로스트앤설리번이 공동 조사한 ‘보안 인텔리전스 보고서(SIR)’에 따른 것으로, 보고서에서는 직접적인 피해는 빙산의 일각일 뿐이며, 간접·추가 손실이 90%에 이른다고 밝혔다. 고객을 잃고, 기업 평판을 훼손당하며, IT/보안 최고 책임자를 포함한 관리자 등이 일자리를 잃는 등의 손실을 포함하면 실제 피해 규모는 막대한 규모로 늘어난다.
보안 사고가 발생했을 때, 복구에 소요되는 시간은 보안 솔루션을 많이 사용할수록 오래 걸리는 것으로 나타났다. 10개 이하의 보안 솔루션을 사용하는 기업의 67%는 1시간 이내에 복구가 가능했다고 답했지만, 25개에서 50개의 보안 솔루션을 사용하는 기업은 22%만이 1시간 이내에 복구할 수 있었다고 답했다.
최승환 프로스트앤설리번 이사는ㅍ “보안 솔루션이 많을수록 검토해야 할 보안 이벤트가 많으며, 솔루션간의 관계를 파악하고, 취약점을 점검하는데 많은 시간을 할애하게 된다. 이러한 이유로 보안 솔루션이 많을수록 복구에 어려움을 겪게 되는 것으로 파악되고 있다”고 말했다.
또한 이 보고서에서는 국내 기업의 보안 의식도 심각한 상황이라고 지적했다. 조사에 참여한 국내 기업 중 보안 사고를 경험했다는 응답자가 10%, 사이버 공격 사고가 일어났는지도 모른다고 답한 사람이 29%였다. 사이버 공격으로 인한 우려로 디지털 트랜스포메이션을 연기하고 있다고 말한 응답자는 35%에 달한 것으로 나타나 사이버 보안에 대한 인식 제고가 시급한 것으로 확인됐다.
최승환 이사는 “사이버 범죄자의 해킹 수법이 갈수록 지능화되고 있다. 이를 효과적으로 차단하기 위해 보안을 디지털 트랜스포메이션이 핵심 요소로 차별화하고, 보안 교육 등 투자와 AI, 자동화를 통한 보안 역량 강화가 중요하다”고 말했다.
“쉽게 공격하고 높은 수익 얻는 사이버 범죄자”
보고서에서는 지난해 발생한 사이버 위협 중 가장 주목되는 트렌드로 ▲봇넷 ▲피싱 ▲랜섬웨어를 들었다.
특히 최근 공격자들은 ‘낮게 달려 따기 쉬운 과일’과 같이 쉽게 공격하고 높은 수익을 가져다주는 공격방식을 택한다. 피싱 이메일과 위장 SaaS 애플리케이션, 웹사이트에 악성링크를 몰래 삽입해 사용자를 감염시키는 워터링홀 등의 공격이 그 대표적인 예이다. 실제로 마이크로소프트가 지난해 실시한 가마루(Gamarue) 프로젝트에서는 4만4000개의 봇넷을 발견했으며, 이 중 상당수는 랜섬웨어 공격으로 이어졌다.
공격에 자주 이용되는 애플리케이션의 보안 문제도 매우 심각한 편이다. 애플리케이션에서 보안 취약점을 찾기는 너무 쉽다. 시큐어코딩이나 암호화·난독화를 적용한 애플리케이션이 많지 않다.
김귀련 한국마이크로소프트 보안담당 부장은 “공격자들이 타깃을 감염시키는 방법은 너무나 쉽다. 피싱 이메일, 워터링홀, 가짜 SaaS 앱을 통해 쉽게 악성코드와 봇넷을 유포할 수 있으며, 이것이 랜섬웨어, APT 공격에 이용된다”며 “이미 발견된 취약점을 제거하고, 보안 솔루션의 시그니처를 최신으로 유지하며, 인증 보안을 강화하고, 신뢰할 수 없는 발신자가 보낸 이메일이나 신뢰할 수 없는 웹사이트 방문을 차단하는 등의 기본적인 보안 수칙을 먼저 지켜야 한다”고 말했다.
한편 마이크로소프트는 머신러닝과 AI의 인텔리전스를 활용해 월 평균 9억3000만개의 사이버 위협을 분석·감시하고, 연간 10억달러 이상을 투자한다. 클라우드 제품은 물론이고, 온프레미스까지 신뢰할 수 있는 IT 환경을 구현하기 위해 높은 수준의 통합보안을 제공하고 있다.
