랜섬웨어, 비즈니스 이메일 침해 및 기타 사이버 공격으로 인한 막대한 손실을 자세히 설명하는 많은 통계와 보고서에도 불구하고, 많은 지방 자치 단체는 여전히 이러한 위협에 대한 준비가 부족한 상황이다.

글로벌 보안 의식 교육 및 모의 피싱 플랫폼 기업 노우비4(KnowBe4)가  사이버 범죄가 주 및 지방 정부에 미치는 지속적인 영향을 보여주는 '지자체에 대한 사이버 공격의 경제적 영향' 보고서를 발표했다. 

이 보고서는 재정적 비용, 평판에 미치는 영향, 공공 신뢰 수준 및 기타 사이버 공격이 지자체에 미치는 영향을 자세히 설명한다. 보고서에는 사이버 공격이 미치는 영향을 주 및 지방 정부의 평균 재정적 손실, 재정적 손실로 인한 시민 서비스 거부, 공격의 빈도/유형 및 반복되는 공격의 위험, 공격과 경제 투자 감소를 방지하기 위해 자본을 할당하는 데 대한 도전과제 등이 포함되어 있다.

보고서에 따르면 랜섬웨어는 모든 산업 분야에서 지자체에 큰 장애가 되고 있다. BEC(기업 이메일 침해, Business Email Compromise) 공격은 2022년에 가장 수익성이 높은 사이버 공격 형태 중 하나이다. 모든 산업 부문에서 수십억 달러의 손실을 발생시키고 모든 부문에서 175% 증가했으며 2022년에는 81%로 급증했다.

주 및 지방 정부는 사이버 범죄자가 피해자에게 보다 쉽게 공격을 맞춤화할 수 있는 기회를 주는 정부 투명성 법률로 인해 이러한 공격에 특히 취약하다.

많은 지자체가 사이버 보안 예산이 부족하거나 전혀 존재하지 않는 상태이다. NASCIO(주 최고정보책임자 전국 연합, National Association of State Chief Information Officers)에 따르면 대부분의 주 사이버 보안 예산은 전체 IT 예산의 0%~3%이다. 또한 18개 주에만 사이버 보안 예산 항목이 있으며 16%의 주만이 2018년 이후 예산이 10% 이상 증가했음을 보고했다.

2022 IC3 보고서에 따르면 2022년에 BEC 공격으로 인해 전체 부문에서 총 27억4235만4049달러의 손실이 발생했다. 이는 2021년에 비해 3억4600만달러, 2020년에 비해 8억7500만달러 증가한 금액이다.

매일 170만 건의 랜섬웨어 공격이 발생하며 이는 매초 19건의 랜섬웨어 공격이 발생함을 의미한다. 사이버시큐리티 벤처(Cybersecurity Ventures)는 2031년까지 랜섬웨어는 피해자에게 연간 2650억달러의 피해를 입히고 2초마다 기업, 소비자 또는 장치를 공격할 것으로 예측한다.

주 및 지방 정부에 대한 랜섬웨어 공격은 평균 7.3일 동안 지속된다. 가동 중지 시간만으로도 평균 6만4645달러의 손실이 발생한다.

주 및 지방 정부 외에 교육 기관도 사이버 공격의 주요 대상이자 피해자이다. 2022년 랜섬웨어는 2021년보다 약 두 배 많은 대학에 영향을 미쳤다. 2018년에 학군을 추적하기 시작한 무디스(Moody’s)는 학군을 표적으로 삼는 비율이 “기하급수적으로” 증가했다고 보고했다.

스투 슈베르만(Stu Sjouwerman) 노우비4의 CEO는 “예산이나 규모에 관계없이 모든 산업 부문이 사이버 공격의 위협으로부터 스스로를 방어하는 가장 좋은 방법은 직원들에게 새로운 보안 의식 교육과 알려진 연락처로부터 받은 모든 메시지를 경계할 수 있게 교육하는 것이다.”라며  “지방 및 주 정부, 교육 및 의료 기관과 같은 주요 지자체 공격 대상은 행정 조직 및 사회의 중추이다. 훈련된 직원은 IT 팀을 지원하고, 보안 문화를 강화하고, 전반적으로 산업, 특히 우리가 매일 의존하는 지자체 부문을 보호하는 최후의 방어선으로서 인간 방화벽을 만드는 데 필수적이다.”라고 조언했다.