이번 기사에서 제시하는 숫자는 악성코드 추세에서 예산 이동에 이르기까지 업계 현황을 파악할 수 있는 최신의 것들이다. 
 

ⓒ Getty Images Bank 

사이버보안 세계에서 무슨 일이 일어나고 있는지 자신의 판단을 뒷받침할 수 있는 확실한 수치를 갖고 있는가? 보안 산업 현황에 대한 연구와 조사를 통해 현재 보안 상황과 이에 대해 보안 리더들이 어떻게 대응하고 있는지 파악했다. 

어떤 시스템이 가장 취약한지, 어떤 악성코드가 순위에서 1위를 차지하고 있는지, 그리고 이런 공격과 사고들을 대응, 처리하기 위해 얼마나 많은 돈을 지출하고 있는지에 대한 데이터를 원한다면 계속 읽어보자. 

한 눈에 보는 9가지 주요 사이버보안 통계

 

  • 악성코드의 94%가 이메일을 통해 전달된다. 
  • 피싱 공격은 보고된 보안 사고의 80% 이상을 차지한다. 
  • 피싱 공격으로 1분에 1만 7,700달러의 손실이 발생한다.  
  • 보안 침해의 60%는 패치가 제공됐지만 적용하지 않은 취약점과 관련이 있다. 
  • 기업의 63%가 하드웨어 또는 반도체 레벨의 보안 침해 사고로 인해 12개월 내에 데이터를 해킹당할 가능성이 있다고 답했다. 
  • 2019년 상반기 IoT 디바이스 공격은 3배로 증가했다. 
  • 2019년 상반기 동안 파일리스 공격이 256% 증가했다. 
  • 데이터 침해 사고로 기업은 평균 390만 달러를 지불했다. 
  • IT 리더 가운데 40%가 사이버보안 업무자를 채워넣기가 가장 어렵다고 응답했다. 

기본부터 시작해보자. 사이버보안에 관한 기사에서 새롭고 낮선 취약점의 수와 관계없이 모든 기본 취약점에 대한 것이다. 수천 건의 보안 사고를 조사한 결과, 버라이즌은 거의 모든 악성코드가 이메일을 통해 컴퓨터에 도달했다는 사실을 밝혀냈다. 94%의 경우가 그러했다. 

관련이 없는 뉴스에서 보고된 사고의 80% 이상이 차지하는 소셜 엔지니어링 공격의 가장 큰 유형은 피싱이었다. 피싱의 최종 목표는 사용자들에게 악성코드를 설치하도록 유도하는 것이다. 

따라서 보안 태세를 개선하고 싶다면 어디서부터 시작해야 할지 알 수 있다(그리고 피싱은 일종의 동유럽이나 나이지리아의 사기라고 생각하기 전에 피싱 C&C(Command and Control) 서버의 40%가 미국에 있다는 것을 알아야 한다). 

그렇다고 다른 취약점이 중요하지 않다는 것은 아니다. CVE(Common Vulnerabilities and Exploits) 데이터베이스에는 일반적으로 사용되는 시스템과 소프트웨어에서 1만 1,000개 이상의 악용 가능한 취약점이 나열되어 있으며, 2019년 중반 34%의 취약점이 패치를 사용할 수 없었다.  

취약점 패치 프로세스가 어떻게 진행되는 지를 보여주는 좋은 예는 마이크로소프트의 수식 편집기의 취약점인 CVE-2017-11882에서 볼 수 있다. 이 약점을 통해 전달되는 악성코드는 IT 부서가 윈도우 7에서 서버를 패치 또는 업그레이드함에 따라 불과 몇 개월 만에 70% 이상 급감했다. 그러나 보안 패치에 따르면, 침해 사고의 60%는 패치를 사용할 수 있는데, 적용하지 않은 취약점과 관련이 있다. 

취약점의 세계를 더 깊이 파고들려면 컴퓨터와 베어메탈, 운영체제 사이를 중재하는 BIOS 수준으로 더 깊이 들어가야 한다. 델이 실시한 설문 조사에 따르면, 기업의 63%가 하드웨어 또는 반도체 수준의 보안 침해로 인해 12개월 이내에 데이터가 손상될 가능성이 있다고 응답했다(아마도 동일한 설문 조사에서 28%의 기업만이 공급업체의 하드웨어 보안 관리에 만족하는 것으로 나타났다). 

마지막으로 고려해야 할 공격 표면의 하나는 점점 더 보편적으로 존재하는 IoT 기기들이다. IoT 기기는 제조 제어 장치에서부터 가정에서 음악 재생에 이르기까지 모든 것에 의존하고 있다. 보안 전문가는 미라이 봇넷 시절부터 IoT에 대한 경고를 해왔지만, 점점 더 빠르게 악화되고 있다. F시큐어(F-Secure)는 IoT 기기에 대한 공격이 2019년 상반기에 3배로 증가했다고 추정한다. 

악성코드 추세 

이 취약점을 악용하려는 수많은 악성코드가 있다. 카스퍼스키는 자사의 웹 안티바이러스 플랫폼이 2019년에 2,461만 126개의 고유한 악의적인 개체를 식별해 2018년보다 14% 증가했다고 밝혔다. 

카스퍼스키에 따르면, 전체 인터넷 사용자의 약 20%가 악성코드의 공격 대상이었다. 그러나 이런 공격은 반드시 균등하게 분포된 것은 아니며, 공격자는 좀 더 잘 알고 잠재적으로 가능성이 높은 목표들을 추구하고 있다. 예를 들어, 멜웨어바이츠(Malware Bytes)에 따르면, 소비자에 대한 악성코드 공격은 실제로 2% 감소했지만 기업은 해커들로부터 집중적인 공격을 받았고, 이에 대한 위협은 13% 증가했다. 

지난 한해 동안 어떤 유형의 악성코드 공격이 발생했는가? 멜웨어바이츠는 해킹 툴이라고 부르는 악성코드 범주의 감염률이 224% 증가했다고 지적했다. 이는 기본적으로 시스템과 네트워크를 통해 검색하고 취약점을 악용하기 위해 악성 페이로드를 다운로드할 수 있는 악성 프로그램이다. 

다른 유형의 악성코드는 2019년에 크게 번창했다. RAM에만 있고 디스크에는 파일을 쓰지 않는 파일리스 공격이 지속적으로 증가했다. 트렌드마이크로는 파일리스 공격이 2019년 상반기동안 256% 증가했다고 밝혔다. 폭발적으로 증가한 또 다른 위협은 웹 스키머(web skimmer)다. 이는 서버에 주입된 코드 유형, 또는 범죄 조직이 신용카드 번호를 수집하기 위해 온라인 결제 거래의 클라이언트 측에 삽입한 코드다. 웹 스키밍 공격은 187%나 급증했다. 

5년 넘게 세상을 뒤흔들었던 뱅킹 트로이목마인 이모텟(Emotet)은 2019년에도 계속 진화하고 있다. 오늘날에는 대부분 트릭봇(TrickBot)과 같은 다른 트로이목마를 확산시키는 스팸봇(spambots) 네트워크를 운영한다. 코펜스(Cofense)에 따르면, 2019년 마지막 3개월 동안, 이모텟은 29만 개 이상의 해킹된 이메일 주소를 사용해 3만 3,000개가 넘는 악성코드를 유포했다. 

보안 실패의 비용

전설에 따르면, 은행강도 윌리 서튼은 “돈이 있는 곳”이기 때문에 은행을 털었다. 그리고 버라이즌의 침해보고서에 따르면, 돈이 사이버 범죄의 주요 동기가 된다는 것을 확인시켜줬다. 보고된 침해사고의 71%가 재정적인 동기였다. 그러나 사이버 범죄자의 이익은 법을 준수하는 시민의 손실이며, 이런 손실은 합산된다.  

앞서 이메일과 피싱이 여전히 악성코드가 가장 많이 전달되는 방식이라고 설명한 바 있다. 그 피해는 엄청나다. 

리스크아이큐(RiskIQ)는 피싱 공격으로 1분에 1만 7,700달러의 피해가 입는 것으로 추정하고 있다. 그러나 이는 단지 피해의 시작일뿐이다. 데이터 유출과 관련해 모든 사건이 애퀴팩스(Equifax) 해킹 사건처럼 피해자에게 많은 비용이 들지는 않지만 여전히 나쁜 것일 수 있다. IBM은 500개 이상의 조직에서 발생한 침해 사례를 조사해 벌금에서 근무 시간 손실까지 392만 달러에 이르는 것으로 집계했다. 

액센츄어(Accenture)는 다양한 유형의 사이버 공격 비용에 대한 자체 연구를 통해 흥미로운 결과를 얻었다. 악성코드에 가장 비싼 값을 치룬 피해자의 비해 비용은 260만 달러였다. 랜섬웨어가 공격 피해 비용이 평균 64만 6,000달러에 불과해 최하위권에 근접한다는 점은 뉴스에서 주목받은 점을 감안했을 때 다소 놀랍다. 그리고 이 금액은 비용 자체뿐만 아니라 생산성 손실과 같은 부수적인 비용도 포함하고 있는 것으로 랜섬웨어 공격의 피해 비용은 종종 놀라울 정도로 낮다.
 
데이터 브리치 투데이는 2019년 3분기 평균 침해 비용을 4만 1,000달러로 책정했다. 백업 전략이나 포기하지 않기로 결정한 조직은 때때로 지불을 거부하기 때문에 지불금이 종종 0인 경우도 있다. 실제로 몸값을 지불하는 피해자 비율은 국가마다 크게 다르다. 미국이 3%정도가 몸값을 지불하는 것에 반해 캐나다인은 77%나 된다. 독일과 영국은 극단의 사이에 있다. 

마지막으로 사용자 적대적인 데이터 정책은 재정적으로 위험하게 만들기 때문에 부적절한 보안은 해킹을 당하지 않더라도 비용이 발생할 수 있다. 예를 들어 지난해 구글은 GDPR을 준수하지 않아 프랑스에서 5,500만 달러의 벌금을 지불해야 했다. 

예산 및 지출 우선순위

이런 잠재적 손실이 가까워짐에 따라 기업은 자사를 보호하기 위해 돈을 써야한다는 걸 깨닫고 이에 따른 예산을 적절히 계획하고 있다. 본지에서 실시한 2020년 CIO 연구에서 응답자들은 확실히 보안에 대해 우려하고 있다. 전체 34%가 보안 및 위험 관리를 전체 IT 지출에서 1위를 차지했다. 

IDG의 보안 우선순위 연구는 지출에 대한 구체적인 결정이 어떻게 이뤄지는 지에 대한 통찰력을 제공한다. 응답 기업 가운데 73%는 업계 모범 사례를 맞추기 위해 지출하고 있으며, 이는 올바르게 나아가는 모습을 보여주는 고무적인 반응이다. 

반면, 66%는 예산의 일부를 법과 규정을 준수하기 위해 지출할 것이며, 이는 정부가 요구하는 모범 사례와 일치한다고 주장할 수 있지만, 많은 기업은 이런 방식을 본적이 없다. 조사 응답자들은 준수 의무는 전략적 계획을 실행하는데 방해가 된다고 말했다. 

2019년 가장 큰 지출 가운데 하나는 기업들이 사이버보안에 대한 외부 지원을 원한다는 결정이었다. 사고 대응 지원에서 완전한 인프라 관리에 이르기까지 다양한 범위의 매니지드 보안 서비스가 점점 더 자주 바뀌고 있다. 이 서비스에 대한 지출은 2019년 64억 2,000만 달러를 기록했는데, 이는 인프라 보호 및 네트워크 보안 장비에 대한 투자보다 2배 이상 증가한 수치다. 케넷 리서치(Kennet Research)는 향후 4년동안 지출이 두 자리 수로 증가할 것이라고 추산했다. 

케넷 리서치는 또한 중소기업의 보안 현황에 대해 몇 가지 좋지 않은 소식을 갖고 있다. 중소기업의 의사결정권자를 대상으로 한 2019년 설문조사에서 18%가 사이버보안을 가장 낮은 우선순위로 꼽았다. 이 같은 태도는 어느 정도 안일함에서 비롯된 것이다. 66%는 2019년 중소기업의 67%가 사이버 공격에 실제로 타격을 입었음에도 불구하고 사이버 공격이 거의 없을 것이라고 생각한다.

 
숫자로 보는 사이버보안 경력 

이 모든 숫자들이 사이버보안 전문가에게 주고 있는 공통된 메시지가 하나 있다면, 그것은 다음과 같다. 

“보안 전문가가 필요하다.” 

CIO 연구에서 IT 리더의 40%가 사이버보안 인력을 채우기가 가장 어렵다고 응답한 것으로 나타났다. ISC2 연구에 따르면, 사이버보안 전문가의 실직률은 0%에 달하기 때문이다. 

사이버보안이 중요하고 수요가 많은 상황에서 정보보안이 많은 기업 내에서 제도적인 힘을 얻고 있는데, 이는 그리 놀라운 일이 아니다.  

CIO 연구에 따르면, 응답 조직의 54%가 C레벨의 보안 담당자를 두고 있으며, CSO(Chief Security Officer), CISO(Chief Information Security Officer) 등과 같은 직함을 갖고 있다. 이런 직무는 반드시 IT 부서에 맡겨지는 것이 아니다. 

각 직책의 40% 이상이 CIO나 다른 최고 IT 경영진에게 보고하는 것이 아니라 CEO에게 직접 보고하는 것이다(수준이 높은 사이버보안 전문가에 대한 수요가 얼마나 많은 지 보여주는 또 다른 재미있는 사실은 이런 임원 가운데 25%는 외부 조직에서 접근한 경험이 있다는 것이다). 

사이버보안은 해킹할 수 있는 사람들에게 유리한 직업 분야다. 집리크루터(ZipRecruiter)는 2020년 초에 미국 전역의 초심 사이버보안 전문가에 대한 평균 연봉을 7만 4,340달러로 책정했다(이는 모든 초심자 수준 직업 평균의 거의 2배다).  
 
몬도(Mondo)에 따르면, 애플리케이션 보안 엔지니어는 연봉을 최대 18만 달러까지 받을 수 있으며, 정보보안 관리자는 최대 21만 5,000달러를 받을 수 있다. 이번 기사에서 지금까지 다뤘던 많은 숫자와는 달리, 이 수치는 사이버보안 전문가에게는 솔깃한 내용이다. editor@itworld.co.kr 





Source link

Write a comment:
*

Your email address will not be published.