2초에 한번 랜섬웨어 피해…내부자에 의한 감염·몸값 지불 우려 높아
보안 제품·서비스 지출 연간 4590억달러…직원 보안인식 교육 투자도 증가
[데이터넷] 내년 전 세계 사이버 범죄 피해액이 9조5000억달러(약 1경2400조원)으로, 미국, 중국에 이어 세계 3위의 경제규모를 이를 것으로 예상된다.
사이버시큐리티벤처스가 시큐어웍스 후원으로 조사한 ‘이사회를 위한 사이버 시큐리티 리포트 2023’에 따르면 사이버 범죄 피해 비용이 매년 15% 증가해 2015년 2조달러에서 2025년 10조5000억달러에 이를 것으로 예상된다. 이는 1년동안 발생한 자연재해 피해나 전 세계 마약 거래 총액보다 큰 규모로 분석된다.
“직원 65%, 랜섬웨어 감염·몸값 지불 경험 있어”
보고서는 랜섬웨어로 인한 피해가 2031년까지 매년 2650억달러에 달할 것이며, 2초마다 한 번씩 발생할 것으로 예상했다. 세계경제포럼의 올해 초 조사에서 비즈니스 리더와 보안 리더가 가장 우려하는 사이버 위협은 신원도용 다음으로 사이버 갈취·랜섬웨어였다. 이는 금전적 손실, 주요 인프라 파괴, 사이버 전쟁보다 높은 순위다.
IT 및 보안리더가 우려하는 것 중 하나가 내부자에 의한 랜섬웨어 감염이다. 65%는 자신과 직원이 랜섬웨어 공격의 내부자 역할을 하도록 접근해 현금이나 비트코인으로 대가를 지불한 적이 있다고 답했다. 내부자로 인한 피해는 실수일수도 있지만, 고의에 의한 것일 수도 있다. 보고서는 글로벌 경제 위기 상황에서 생활비 증가, 고용 불안정으로 인해 충성스러운 직원의 심리적 변화로 인해 발생할 수도 있다고 설명했다.
랜섬웨어에 대해 높은 우려를 보이는 것은 금전적인 피해뿐만 아니라 비즈니스 중단을 일으킬 수 이기 때문이다. 현재까지 공개된 가장 큰 규모의 랜섬웨어 피해액은 러시아 조직 피닉스(Phoenix)에 지불한 4000만달러로 기록되는데, 그보다 더 중요한 것은 운영 중단으로 인한 천문학적인 피해를 감당해야 한다는 점이다. 공격자는 단 한번만 성공하면 되지만, 보안은 지속적인 대응과 조치가 필요하다.
보험사, ‘랜섬웨어 피해 보상’ 고민 깊어져
보고서에서는 암호화폐와 관련한 범죄에 대해서도 자세히 다뤘다. 특히 디파이 성장으로 이를 악용한 범죄 규모도 커져 2021년 175억달러에서 2025년 300억달러에 이를 것으로 예상했다. FBI의 인터넷 범죄 신고 센터(IC3)에 따르면 신고된 투자 사기는 암호화폐와 관련돼 있었고, 2022년 피해액은 2021년보다 183% 증가한 25억7000만 달러였다.
보안위협이 높아지면서 사이버 보험 수요도 빠르게 늘어나고 있지만, 보험업계는 랜섬웨어로 인한 피해 보상에 대한 깊은 고민을 안고 있다. 조사에 따르면 2022년 4분기보다 2023년 1분기 랜섬웨어 관련 청구가 무려 77% 증가했다.
범죄자들은 피해 기업의 자금 조달 상황과 사이버 보험 가입 여부와 보상액을 계산해 몸값을 요구하기 때문에 일부 보험사에서는 랜섬웨어 몸값은 보상에서 제외한다는 방침을 밝히기도 한다. 그렇지 않다 해도 피해 기업이 랜섬웨어 예방과 피해 최소화를 위해 어떤 노력을 했는지 확인한 후 보상액을 책정하기도 한다. 또 미국 정부는 랜섬웨어로 인해 중요한 서비스가 차단되는 극단적인 상황을 제외하고 범죄자와 협상하는 것을 금지하는 법안을 고려하고 있다.
AI/ML 탑재 보안 솔루션 선호
사이버 위협 수준이 높아지면서 사이버 보안 제품과 서비스 지출액도 빠르게 증가해 2021년부터 2025년까지 5년간 누적액 1조7500억달러에 이르며, 2025년까지 연간 4590억달러씩 증가할 것으로 예상된다. 더불어 AI/ML을 이용하는 강화된 탐지 기술이 앞으로 더 많이 채택될 것으로 보인다. AI는 위협의 우선순위를 식별하는데 도움을 줄 뿐만 아니라 기존 보안 탐지 시스템을 우회하는 지능적인 공격을 찾아내는데 탁월하다.
많은 보안사고가 인적 요인으로 발생하기 때문엔 강력한 보안 솔루션만으로 해결할 수 없다는 점도 보고서는 강조한다. 따라서 직원들이 피싱과 같은 교묘한 사기에 넘어가지 않도록 보안인식 교육을 꾸준히 실시해야 한다. 보고서는 보안인식 교육에 대한 전 세계 지출이 2023년 56억달러에서 2027년 100억달러로 크게 증가할 것으로 예상했다.
CISO 60% “1년간 번아웃 경험”
사이버 위협 수준이 높아지면서 사이버 보안 인력 부족 현상이 점점 더 심해지고 있다. 전 세계에서 채용중인 사이버 보안 일자리가 2013년 100만개에서 2021년 500만개로 350% 증가했으며, 2031년까지 매년 35%씩 늘어날 것으로 예상된다. 다른 직업의 평균 성장률은 5%이다.
보안조직의 스트레스가 심해 장기근속을 하지 않는다는 것도 보안일자리 부족현상을 심화시키는 요인 중 하나다. 사이버시큐리티벤처스는 포춘 500대 기업 CISO 중 24%가 1년만 CISO의 역할을 수행한 것으로 분석했다. 전 세계 1600명의 CISO를 대상으로 한 설문조사에서 60%가 1년동안 번아웃을 경험했으며, 미국에서는 무려 73%가 그렇다고 답했다. 보고서는 CISO는 업무가 까다롭고 스트레스가 많으며, 회사와 산업에 따라 책임이 바뀌기 때문에 재직기간이 짧다고 분석했다.
한편 보고서는 이사회가 사이버 보안 최우선 과제로 삼아야 한다는 점을 강조했다. 하이드릭앤스트러글스(Heidrick & Struggles) 보고서에 따르면 2022년 상장기업 사외이사 중 사이버 보안 통찰력을 가진 사람 14%에서 2023년에는 17%로 다소 늘었다.
앞으로 많은 국가에서 사이버 위협 발생 시 경영진과 리더의 과실을 공개적으로 물으면서 이사회의 보안인식 개선이 시급한 것으로 보인다.
