사이버 공격은 기업 비즈니스를 위협하는 가장 위험한 요소이기에 늘 대비해야 한다. 많은 기업들이 사이버 위협에 대한 조사와 경고 메시지를 주고 있다.

시스코는 사이버 피로, 즉 사이버 공격에 대한 사전 예방적 방어에 대한 무관심은 기업의 42%에 영향을 미친다고 했으며, 액센추어는 97%의 조직에서 2022년 러시아-우크라이나 전쟁이 시작된 이후 사이버 위협이 증가한 것을 확인했다. SC매거진은 평균 랜섬웨어 지불금이 2022년 81만 2380달러에서 2023년 154만 2333 달러로 극적으로 증가했다고 발표했다.

버라이존은 94%의 맬웨어가 이메일을 통해 전달되었다고 밝혔으며, IT 거버넌스는 2023년에 데이터 유출로 인해 45억 개 이상의 기록이 노출되었다고 했다.

사이버 보안에 대한 위의 조사 결과에서 우려되는 경우가 있다면 사이버 보안 기업 드립7(Drip7)이 제시하는 증가하는 사이버 보안 위협에 직면한 조직에 필요한 8가지 핵심 사항을 고려해 보자.

직원 사이버 보안 교육 강화

사이버 보안 모범 사례, 피싱 인식 및 안전한 온라인 행동에 대한 직원을 위한 지속적인 교육 및 훈련은 보안에 민감한 인력을 양성하는 데 필수적이다. 숙련된 IT 전문가에 대한 수요가 증가함에 따라 현재 직원의 기술을 업그레이드하면 2025년까지 인재 부족이나 사람의 실수가 심각한 사이버 사고의 절반 이상을 차지할 것이라는 가트너의 예측을 해결할 수 있다.

다단계 인증 구현

모든 시스템과 애플리케이션에 다단계 인증을 통합하여 인증 메커니즘을 강화하면 비밀번호가 유출되더라도 무단 액세스의 위험이 줄어듭니다. 마이크로소프트는 마이크로소프트 시스템이 초당 1000건이 넘는 암호 공격을 막아내고 있으며 손상된 계정 중 99.9% 이상이 다단계 인증을 활성화하지 않은 것으로 보고했다.

정기적 보안 감사 및 침투 테스트

기업 부문에서 성공한 침해 사고의 73%는 취약점을 통해 웹 애플리케이션에 침투하여 발생했다. 보안 감사 및 침투 테스트를 수행하면 인프라, 애플리케이션 및 네트워크의 취약성과 약점을 식별하여 적시에 교정할 수 있다.

타사 취약점 평가 및 해결

타사 공급업체, 공급업체 및 파트너는 보안 위험을 초래하여 잠재적으로 조직의 전반적인 보안을 손상시킬 수 있다. 타사 공급업체를 온보딩하기 전에 철저한 위험 평가를 해야 한다. 데이터 처리 절차, 보안 조치, 업계 표준 및 규정 준수 등 사이버 보안 관행을 평가한다. 타사 공급업체와의 계약에서 명확한 보안 요구 사항을 설정한다. 사이버 보안 표준, 데이터 보호 조치, 사고 대응 프로토콜 및 정기 보안 평가에 대한 기대치를 정의한다.

54%의 기업은 제3자 공급업체를 제대로 조사하지 않는다. 연구에 따르면 조직의 48%가 타사 관계의 복잡성을 주요 문제로 간주하고 있다.

랜섬웨어 포함 사고 대응 계획 및 실습

종합적인 사고 대응 계획을 수립하고 정기적으로 테스트하면 보안 사고에 신속하고 체계적으로 대응하여 잠재적인 위반의 영향을 최소화할 수 있다.

2023년 랜섬웨어 공격의 증가는 낮은 수준의 해킹 기술의 성공을 더욱 입증했다. 주요 기업, 은행, 병원, 정부 기관에서는 랜섬웨어 사고가 51% 증가했다. 이러한 공격은 금융 거래를 방해하고 물티슈와 같은 필수 제품의 부족을 초래했으며 주요 인프라를 표적으로 삼았다. 그러나 이러한 사건을 둘러싼 투명성이 부족하기 때문에 데이터 유출 건수, 피해 규모, 책임이 있는 해커에 대한 신뢰할 수 있는 수치는 여전히 파악하기 어렵다.

비밀번호 관행 업그레이드

사람과 비밀번호는 많은 사이버 보안 상황에서 취약한 연결 고리이다. 비밀번호는 사이버 보안에서 기본적인 역할을 한다. 이는 중요한 정보, 시스템 및 계정을 무단 액세스로부터 보호하는 첫 번째 방어선 역할을 한다.

길고 복잡해야 하며 대문자와 소문자, 숫자, 특수 문자의 조합을 포함해야 한다. 생일, 일반적인 단어, 연속 문자 등 쉽게 추측할 수 있는 정보는 피한다.

여러 계정에서 비밀번호를 재사용하면 취약성이 높아집니다. 회사 침해의 81%는 잘못된 비밀번호로 인해 발생했다. 해킹 사고의 80%는 로그인 정보의 도난 및 재사용으로 인해 발생했다. 해커의 17%가 다른 사람의 비밀번호를 성공적으로 추측했다.

정기적인 소프트웨어 업데이트

금융 산업도 사이버 위협의 표적이 되었고 소프트웨어 업데이트가 부족하여 취약해졌다.

넷스케일러(NetScaler)의 클라우드 네트워킹 소프트웨어 버그(Citrix Bleed라고 불리는 버그)로 인해 60개 신용 조합이 중단되었지만 공격으로 인해 데이터 침해가 발생했다는 증거는 없다. 그러나 신용 조합 정보 기술 회사인 온고잉 오퍼에이션(Ongoing Operations)는 11월 26일에 사이버 보안 사고를 경험했다고 밝혔다. 사이버 보안 담당자 케빈 버먼트(Kevin Beaumont)에 따르면 랜섬웨어 공격 이전에 온고잉 오퍼레이션은 넷스케일러 클라우드 네트워킹 소프트웨어의 취약점을 패치하지 못했다.

사회 공학

사회 공학은 인간의 심리를 이용하여 개인을 조작하여 기밀 정보를 유출하거나 특정 작업을 수행하거나 보안 조치를 손상시키는 등 사이버 보안에 대한 심각한 위협으로 남아 있다. 피싱, 스피어 피싱, 미끼, 테일게이팅, 사칭, 비싱, 워터홀 공격 등 주의해야 할 일반적인 사회 공학적 위협은 다음과 같다.

블룸버그에 따르면 해커가 사회 공학적 전술을 사용하는 것은 주목할 만한 추세이다. 해커인 스캐더드 스파이더(Scattered Spider)는 고객 서비스 담당자를 속여 비밀번호 자격 증명을 공개하도록 기만적인 전화 통화를 사용했다. 이 그룹은 직원을 해고하겠다고 위협하는 등 공격적인 전술을 사용하여 MGM 리조트 인터내셔널(Resorts International), 캐사르 엔터테인먼트(Caesars Entertainment) 및 코인베이스(Coinbase)를 포함한 수많은 조직을 침해했다. 이러한 공격적이고 간단한 접근 방식으로 인해 2022년 이후 약 52건의 침해가 발생했다.

조직의 사이버 보안 방어를 평가해야 하며, 조직이 해결해야 할 취약점을 식별한다. 격차를 메우는 데 필요한 인력과 자원으로 계획을 세워야 한다. 사람이 항상 열쇠이다. 직원들이 반향에 대한 두려움 없이 의심스러운 활동을 보고하면 편안함을 느끼고 보상을 받을 수 있는 경계 문화를 구현해야 한다.

헤더 스트랫포드(Heather Stratford) 드립7 창립자 겸 CEO는 “디지털 세계에서는 어떤 조직도 100% 안전할 수 없으며, 공격은 지속적이며 빈도와 정교함이 증가하고 있다.”라며, “각 개인은 사이버 위협으로부터 조직을 방어하는 역할을 가지고 있다. 성공하려면 교육과 도구가 필요하다.”고 말했다.