작은 회사가 사이버공격 위험 낮추려면

작은 회사에도 심각한 문제로 대두된 사이버공격 위험을 낮추려면 어떻게 해야 할까. 기술적인 대책을 마련해야 하지만 더불어 보안의 중요성을 내부 경영진에 이해시킬 내부 전문가도 필요하다는 게 전문가 조언이다.

미국 지디넷 자매 IT미디어 테크리퍼블릭은 지난 21일 작은 회사가 사이버 공격자의 유입을 피할 수 있는 방법을 소개했다. 사이버 범죄자들이 작은 회사를 유망한 표적으로 삼고 있는 이유와 작은 회사의 사이버 위험을 낮추려면 취해야 할 조치를 전문가의 조언으로 제시했다.

사이버보안 위협 대비는 이제 규모가 큰 회사뿐아니라 작은 회사에도 필요하다. 사이버보안 전문가 조셉 스타인버그에 따르면 2011년께 공격자들이 작은 회사를 노리는 비중은 공격 5번에 1번 미만이었지만 이제 절반에 달할 만큼 늘었다. 스타인버그는 작은 회사를 공격하려는 경향은 지속되는 추세고, 공격자들에게 대기업보다 더 매력적인 표적이 돼 간다고 덧붙였다.

왜 해커들이 대기업을 제쳐 놓고 작은 기업을 공격 표적으로 삼으려는 걸까. 스타인버그는 4가지 이유를 들었다.

첫째, 작은 회사는 몸값(ransom)을 낸다. 작은 회사는 운영 예산이 빠듯하다. 회사 데이터가 지불능력이 있는 상태로 유지돼야 한다. 이들은 공격 피해를 복구하려할 때 대부분 해커가 요구하는 몸값을 지불하게 된다.

둘째, 작은 회사는 값진 데이터를 보유하고 있다. 사이버범죄자는 작은 회사라 하더라도 충분히 민감한 정보를 저장하고 있음을 파악하고 있다. 개인정보나 금융정보를 예로 들 수 있다. 따라서 해킹을 시도해 볼만한 가치가 있다.

셋째, 작은 회사는 해커에게 다른 기업으로 침입할 수 있는 실마리를 준다. 작은 회사는 다른 크고 작은 기업과 서비스 제공 및 공급 관계를 갖고 있다. 사이버 범죄자가 이런 작은 회사를 공격하면 더 많은 이익을 기대할 수 있는 다른 회사까지 공격할 기회를 얻게 된다.

넷째, 작은 회사는 대체로 사이버방어(cyberdefenses) 수준이 떨어진다. 작은 회사가 대기업 수준의 사이버방어 체계를 갖추긴 쉽지 않다. 작은 회사는 풀타임 근무하는 사이버보안 담당자를 둔 경우가 드물다.

테크리퍼블릭은 2가지 이유를 보탰다. 방어자는 모든 약점을 찾아 막아야 하지만 공격자는 그 중 뚫을 수 있는 한 곳만 찾아 내면 된다는 점, 보안 전문가 그레그 스콧의 지적처럼 "공격자는 보통 표적의 장비와 그걸 어떻게 뚫어야할지를 그 소유자보다 더 잘 안다"는 점이다.

여건이 열악하다면 작은 회사는 그저 증가하는 사이버공격 위협에 손 놓고 당해야 할까. 물론 그렇지 않다. 인용된 보안 전문가들은 큰 회사와 작은 회사간 사이버공격 위험 격차를 좁힐 수 있다고 주장한다.

작은 회사가 사이버공격 위험을 낮추려면 디지털 위험 평가(digital risk assessment)부터 시작해야 한다. 모든 평가 요소를 위협(threats), 취약점(vulnerabilities), 잠재적 손실(potential losses) 등 측면에서 검토하고 지금 충분한지, 개선해야할지 자문해야 한다.

피싱, 랜섬웨어, 분산서비스거부(DDoS) 공격 등을 물론 고려해야 하지만, 상당수 사이버공격은 조직 안에서 불만을 품은 직원이나 내부자 실수로 발생한다는 점도 고려해야 한다. 또 모든 취약점을 자체 평가로 찾기 어려우니 컨설턴트와 외부 전문업체 활용도 검토할 만하다.

보안 전문가 맷 디앤젤로는 "회사 직원이 위협을 들여다보고 취약점을 판정하고나면, 사이버보안 컨설턴트는 위험 계량과 비즈니스 보호 전략 수립을 도울 수 있다"고 말했다.

관련기사

다른 보안 전문가 조지 레이는 "기업이나 그와 협력하는 개인이 들여다볼 때 회사의 경험과 업무를 고려해 사이버보안의 비즈니스 측면을 이해하는 것이 중요하다"고 지적했다.

레이는 이어 "작은 회사는 기술을 통해 위험을 관리할 수 있지만 기술이 유일한 해법은 아니다"라며 "회사의 비즈니스 측면을 이해하면서 보안 문제를 회사 경영진이 이해할 수 있는 운영이나 재무 지표에 결부시킬 수 있는 담당자가 있는 게 중요하다"고 강조했다.