09.19
뉴스홈 > 칼럼
[기고] 사이버 범죄의 끊임없는 진화, 기업 보안 이대로 괜찮을까?조원균 F5 네트웍스 코리아 지사장

   
▲ 조원균 F5 네트웍스 코리아 지사장

[아이티데일리] 많은 기업들은 비즈니스의 향상과 자원의 효율적인 운용을 위해 IT 기술들을 적극 활용하고 있으며 이러한 추세는 앞으로 더욱 증가할 것으로 보인다. 오늘날 비즈니스 세계는 BYOD(Bring Your Own Devices)부터 사물인터넷(IoT) 시대의 정점까지 더 뛰어난 엔터프라이즈 아키텍처로 급격하게 마이그레이션되고 있다. 65%에 달하는 대부분의 기업들이 현재 클라우드 기술을 사용하고 있으며, 이제 퍼블릭 또는 프라이빗의 논의에서 벗어나 각자의 필요에 맞는 맞춤형 클라우드 솔루션에 대한 논의로까지 보편화된 지경이다.

기업들의 클라우드 도입으로 인해 기업과 소비자 간의 소통은 새롭게 조명되고 있는데, 기업들이 현재 고객 그리고 고객들이 구매하는 것에 대한 정보 및 그 이상에 대해 엄청난 양의 정보를 보유하는 것으로 확인된다. 그렇다면 이들의 ‘빅데이터’는 얼마나 큰 규모일까? 현재 아마존 S3에 저장되어있는 정보만 2조 개 이상인데, 이 수치는 중국 전체 인구인 13억 5천만 명이 각각 가진 1,481개의 정보 수와 비슷한 규모이다.

   
 
하루 보안사고 117,339건

성공한 기업들은 언제나 사이버 범죄의 첫 번째 타깃이 되고 있으며 오늘날의 초연결, 클라우드 기반 사회는 범죄 활동이 더 증가하고 활성화되는데 완벽한 환경이 됐다. 더 불행한 소식은 기업들이 내부 네트워크 인프라에 투자하는 속도에 맞게 사이버 범죄의 공격 및 탈취 수단 또한 새롭고 혁신적으로 발전하고 있다는 것이다.

기업의 내부 또는 클라우드에 위치한 서버에 저장된 정보는 정보 자체의 높은 가치로 인해 데이터를 노리는 모든 공격자들에게 탐나는 목표가 됐다. 고객의 신용카드 정보부터 직원들의 개인 정보, 특정 비즈니스 정보까지 이제 데이터의 중요성은 더욱 커졌다.

현재 기업들은 광범위하게 퍼진 클라우드 컴퓨팅 솔루션의 보편화되고 이질적인 특징으로 인해 내부 정보를 철저하게 보호하는 것에 점점 더 어려움을 느끼고 있다. CIO들은 이전에는 폐쇄형 및 내부 인프라를 감독하던 것에 벗어나 이제는 제3자, 그리고 다른 지역에 셀 수 없이 많은 디바이스에 보관되어 있는 기업 정보를 관리하게 됐다.

이는 결과적으로 사이버범죄에 엄청난 기회를 부여했다. 기업들은 2014년 한 해에만 4,280만 건의 보안 사고를 겪었으며, 이는 2013년 보다 48% 증가한 수치이다. 즉, 이 수치는 하루 당 117,339건 또는 시간당 5,000건의 사건사고가 발생하는 것에 해당한다.

   
 
전 세계 사이버 범죄로 인한 비용 4,550억 달러, 2020년엔 3조 달러에 이를 듯

전 세계에서 발생하고 있는 이러한 사이버 범죄로 인한 비용은 약 4,550억 달러에 달하는 것으로 나타났다. 사이버 범죄는 기업들이 위협 대응 전략을 준비하는 속도보다 훨씬 빠르게 발전하고 있다.

나쁜 소식은 바로 아태지역 전역에서 분산서비스거부(DDoS, 이하 디도스) 공격이 더욱 큰 규모로 교묘해지고 있으며, 중소기업 또는 글로벌 다국적 기업을 구분하지 않고 더 방대한 양의 데이터를 목표로 한다는 점이다. 많은 기업들은 현재 사이버 범죄와 쫓고 쫓기는 게임을 하고 있는 한편, 사이버 범죄가 더욱 지능적으로 변하면서 승자가 되고 있다.

또한, 사이버 범죄는 더욱 교묘해질 뿐만 아니라 더욱 공격적인 면을 보이고 있다. 2014년에는 전 세계적으로 단지 1,500건의 공격만으로 10억 개 이상의 데이터 기록이 탈취됐다.

초기 인터넷 시대처럼 ‘서부의 무법천지’ 시대가 도래했으며, 기업들은 현재 완벽한 보안 및 위협 대응 전략 없이 클라우드 기술 채택을 서두르고 있는 실정이다. 문제는 극도로 치열한 비즈니스 세상의 경쟁은 매 순간 극심해지고 있으며 시장을 선도하거나 한 번의 실수로 영영 도태될 수도 있다는 것이다. 클라우드 기반 플랫폼에 중요한 데이터가 보관되어 있는 이상 언제든지 사이버 범죄의 주 타깃이 될 위험도 함께 한다.

2014년 1월에 열린 세계경제포럼에 따르면 사이버 보안 능력을 제대로 갖추지 않으면 2020년에 이르러 전 세계적으로 3조 달러의 경제적 손실이 발생할 것이라고 한다. 사이버 공격은 더욱 교묘한 방식으로 증가할 것이며 데이터 유출의 피해 또한 더욱 심각해 질 것이다.

   
 
한국도 이러한 추세에 예외는 아니라서, 국내는 2009년 7·7 디도스 공격대란(2009), 3·3 디도스 공격(2011) 등 정부기관, 포털, 은행, 이동통신사 등을 대상으로 한 디도스 공격이 지속적으로 발생하며 위협이 이어지고 있다. 특히 지난해에는 SK브로드밴드, LG유플러스 등 이동통신사 DNS 대상 디도스 공격 발생으로 약 1시간동안 인터넷 망이 마비됐고, 유출된 개인정보를 이용한 전자금융사기로 시달리다가 연말에는 한국수력원자력 해킹으로 기밀문서가 대거 공개되는 일도 있었다.

향후에도 DNS, DDNS(Dynamic DNS)를 대상으로 표적화된 공격을 시도하는 디도스 공격은 지속적으로 확대될 것으로 예상되며, 공격 기술의 진화 및 손쉬운 디도스 공격 서비스 이용으로 전 세계적으로 더욱 강력하고 지능적인 디도스 공격이 등장할 것으로 전망된다. 특히 공격자들이 스마트 폰이나 홈 케이블 모뎀, 모바일 디바이스, 스마트 홈 또는 웨어러블 기기와 같은 사물인터넷(IoT) 기기들을 디도스 공격에 사용할 것이 예상됨에 따라 DDNS를 이용하는 스마트 홈, 모바일 기기 등의 피해 방지 대책 마련이 중요하게 요구된다.

   
 
이러한 사이버범죄의 글로벌 트렌드에 따르면 국내 은행, 금융기관 및 고객 데이터를 취급하는 조직들은 여전히 상당히 매력적인 표적이 될 것이며 이들 조직들에서 더 많은 데이터 유출 사건이 발생할 것을 쉽게 예상할 수 있다. 따라서 공격에 언제든지 노출될 수 있다는 전제 하에 기업들은 끊임없이 네트워크에 대한 위협들을 감시해야 한다.

최신의 보안 제품과 솔루션에 대한 지속적인 업데이트는 말 할 것도 없고 내부적으로 개인정보는 반드시 암호화 해 보관하거나 전송하고, 암호화 키는 별도로 안전하게 관리해야 하며, 개인정보에 접근할 수 있는 사람과 시스템에 대해 철저한 접근제어 전략을 반드시 적용해야 한다. 새로운 보안 기술과 솔루션도 중요하지만 보안 체계에 대한 지속적인 전략 수립과 관리 노력이 없이는 완벽한 보안은 불가능하다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오