대부분의 기업들은 APT(지능형 지속 위협), 랜섬웨어, DDoS, 공급망 공격 등 고도화된 기술과 자원을 동원해 막대한 피해를 입히는 공격을 막는 것에 집중하고 있다.

그러나 피싱 메일이나 악성 링크 등의 사회 공학적 기법, 웹 애플리케이션 취약점과 같이 아닌 인간의 실수나 단순한 보안 허점으로 발생하는 피해가 위 공격들 보다 빈번히 발생하고 있다. 이는 심리적 조작에 의존해 방어 체계를 우회하는 사회 공학적 기법과  코드 검증 부족, 업데이트 미비와 같은 관리 소홀로 인한 웹 애플리케이션의 취약점은 쉽게 악용할 수 있기 때문이다.

글로벌 보안 기업 하이브 시스템즈(Hive Systems, CEO 알렉스 네트)가 사이버 공격 벡터에 대한 인식을 조사한 연례 보고서 ‘사이버 공격 인식 문제(The Cyber Attack Perception Problem)’를 발표했다.

보고서는 버라이즌의 데이터 유출 보고서(Verizon Data Breach Investigation Report), 가디언(The Guardian) 각종 미디어 매체, 구글 등 검색 트렌드 데이터를 분석했다.

조사 결과, 버라이즌의 보고서에 따르면, 시스템 침입은 전체 유출 사건의 16%를 차지했으나, 가디언에서는 68%, 구글 검색 트렌드에서는 39%의 미디어 보도가 있었다. 또한 사회 공학적 기법 침해 사례는 실제 26%였으나, 가디언에서는 4%, 연구 플랫폼 에스사이트(Scite.ai)에선 14%로 표현됐다.

한편, 기본 웹 애플리케이션 공격의 경우 전체 침해의 8%를 차지했으나, 뉴욕 타임즈(The New York Times)에서는 0%, 검색 사이트 내 관심도는 약 1%였다.

이 결과에 대해 보고서는 미디어와 대중의 주의가 복잡한 공격에 불균형적으로 집중되면서, 사회 공학 및 웹 애플리케이션 취약점처럼 비교적 단순하고 흔한 벡터들에 관한 관심이 줄어드는 것으로 분석했다.

이를 위해 데이터 기반의 위험 벤치마크를 통해 인식 격차를 좁혀 위협에 대비시키는 것이 필요하다고 전했다.

하이브 시스템즈의 알렉스 네트(Alex Nette) CEO는 “조직은 종종 감각적인 침해를 조명하는 미디어 내러티브와 검색 트렌드에 의해 영향을 받으며, 가장 만연하고 예방 가능한 위협은 간과된다. 이 불일치로 보안 자원 배분에서의 오류와 불필요한 취약성을 초래할 수 있다.”라고 전했다.