중소형 기업의 보안 격차를 메우는 방법

#KingstonCognate가 Sally Eaves 교수를 소개합니다

Sally Eaves 교수는 사이버 신뢰(Cyber Trust)의 회장이자 글로벌 사이버 연구 조사 재단(Global Foundation of Cyber Studies and Research)의 선임 정책 고문입니다. “윤리적 기술의 선구자”로 묘사되는 Sally 교수는 국제연합이 수여한 프론티어 기술 및 사회적 영향(Frontier Technology and Social Impact) 상의 첫 수상자입니다. 최고 기술 책임자로서의 배경과 현재 고급 기술 분야의 교수이자 신기술 전반에 대한 글로벌 정책 고문으로서 Sally 교수는 수상 경력이 있는 국제적인 저자, MC, 저명한 연사, 디지털 변환(AI, 5G, 클라우드, 블록체인, 사이버 보안, 거버넌스, IoT, 데이터 과학)뿐만 아니라 동시에 문화, 기술, DEI, 지속 가능성 사회적 영향에 관한 생각의 리더입니다.

Sally 교수는 차세대 기술 인재를 지원하기 위해 적극적으로 교육하고 멘토링하고 있으며, 교육 및 기술에서 포용성, 다양성 및 형평성을 강화하기 위해 Aspirational Futures(포부에 찬 미래)를 설립했고 “Tech For Good”에 관한 최신 저서가 곧 출판될 예정입니다. Sally 교수는 AI에서 5G, 지속 가능성 및 그 이상에 이르기까지 여러 분야에서 전 세계 상위 10위 안에 드는 Onalytica와 같은 주요 기관에 의해 기술 분야에서 전 세계적인 영향력을 지속적으로 인정받고 있습니다.

SME에 대한 진화하는 위협 분야

새로운 연구는 대기업 대비 SME 위협이 실제 어느 정도인지를 흥미롭게 다룹니다. 2019년에서 2020년 전체에 걸쳐 발생한 SME 사이버 공격은 65%라는 엄청난 비율이었으며, 이는 전체 비즈니스에서 46%인 것(Towergate)과 비교가 되는 것으로 공격이 반복적으로 일어났음을 확인시켜줍니다! 침해를 겪고 있는 SME는 해당 기간 내에 각각 평균 6번 공격을 받았으며, 이는 2개월에 1번이라는 믿기 어려운 수치입니다! (NatWest).

그러면 SME를 향한 핵심 위협 전술을 무엇입니까?

2가지 핵심 외부 위협 매개체가 있습니다. 즉, 공급망 생태계에 따른 피싱과 사회 공학입니다. 이를 위험 평가 부족, 빈약한 액세스 제어, 데이터, 장치 및 암호 보호, 낮은 투자 수준 및 부족한 교육과 인식, 사이버 위생 문화 및 기술을 비롯한 내부 위협 매개체와 합치면 잠재적으로 어마어마한 공격면이 생깁니다.

피싱 및 사회 공학
85%의 사이버 공격은 피싱 시도에서 기인하며, 대부분의 경우 이메일 소통을 통해 악성 소프트웨어 다운로드 등 사용자가 ‘잘못된 행동을 하도록' 속임수를 씁니다. 그러한 공격은 사실상 점점 더 정교해지고 있습니다. 실제로 최근 실험에서 인공 지능이 더 나은 피싱 이메일을 쓰는 것이 발견되었습니다! 대개 피싱으로 연결되는 사회 공학은 사람 흉내내기, 설득, 심지어는 위협을 통해 사람들이 특정한 행동을 하거나 기밀 정보를 공개하도록 조종하는 과정을 묘사하는 말입니다. 사이버 범죄자가 우리의 집단적인 취약성으로부터 상식하고 COVID-19를 주제로 하는 피싱 이메일, 문자 또는 WhatsApp 메시지를 사용하거나 심지어는 세계보건기구(WHO)를 사칭한 첨부 문서를 포함시켜 계좌에 침투하려고 시도하는 팬데믹 상황이 한 가지 적절한 사례입니다. 맥락 속에서 볼 때, 이러한 유형의 사이버 위협의 변형 수준은 1988년 ‘Morris 웜'으로 불리는 기록된 최초의 사이버 공격만 고려해보더라도 천재적인 수준입니다. Morris 웜은 6,000대의 컴퓨터에 영향을 주었으며, 이는 그 당시 전체 인터넷의 약 10%에 해당했습니다. 시간이 흐르면서 많은 것이 변했습니다!

공급망
사이버 범죄자가 선호하는 공격 매개체인 대부분의 침해는 이를테면 정기 소프트웨어 업데이트에 침입하는 악성 소프트웨어와 같이 그 근원이 하드웨어가 아니라 소프트웨어에서 비롯됩니다. 공격은 SME를 타겟으로 삼아 그 자체 공급망을 통해 찾거나 또는 더 일반적으로 SME를 위험에 처하게 한 후 타겟으로 하는 비교적 규모가 더 큰 조직으로 넘어갑니다. 오픈 소스 소프트웨어 라이브러리는 공급망 취약성의 또 다른 장을 제공합니다. 2025년까지 750억개의 두 배가 넘는 장치에 IoT가 연결될 앞날을 내다볼 때 이 자체로 새로운 사이버 위험이 만들어질 수 있습니다. 낮은 비용의 하드웨어가 네트워크에 연결될 수 있으며, 그 안에 있는 다수의 장치가 공격에 취약해집니다. 고급 IT/OT 통합 및 공급망 생태계의 관점에서 이 점을 고려하면 위협 영역 확장이 핵심 위치에 오게 됩니다.

SME 사이버 위협 장벽

이것으로 인해 다음과 같은 중심이 되는 질문이 생깁니다. 사이버 위험에 대한 사전 예방을 더하기 위해 최신 보호를 도입하지 않는 SME 이면에 있는 주된 요인은 무엇인가? 우선 인식 대비 현실화의 격차가 명확히 있습니다. 그 예로, 최근의 연구에서 SME의 93%가 사이버 보안이 자신들의 비즈니스 지속성에 필수적이라고 여겼지만 단지 64%만 실제로 사이버 보안 솔루션을 사용하고 있었다는 점을 알아냈습니다. 그에 더해 유럽의 한 조사에서 상이한 인식 및 현실 격차가 있음을 알아냈습니다. 즉, 많은 SME가 그들이 구매하는 IT 제품에 사이버 보안 제어가 포함되어 있으며, 요구조건이나 규정을 준수하는 것이 법으로 요구되지 않는 한 추가적인 보안 조치가 필요 없다고 부정확하게 믿는다는 것입니다(enisa 2021).

투자 역량은 또 다른 과제입니다. Statista(2020)는 사이버 보안에 대한 투자 금액은 평균 £5,100였으며, 이로 인해 SME가 그들이 경비 측면에서 대략 적절한 액수를 투자하고 있다고 믿는다는 점을 알아냈습니다. 그러나 이러한 수치는 평균 £3,490을 투자하는 수많은 초소형 및 소형 비즈니스로 인해 편향된 수치입니다. 이 수치를 틀림없이 더 잘 준비되어 있거나 적어도 더 많은 자원을 가지고 있는 대형 조직의 수치와 비교해볼 때 이들의 평균 투자 금액은 £277,000으로 엄청난 격차가 있음을 알 수 있으며, 나쁜 사람들은 기꺼이 이를 착취하고자 할 것입니다!

추가적인 요인에는 현재 개발 중인 ‘사이버 문화, 과도한 복잡성에 대한 인식, 클라우드 보안에 대한 우려 및 잦은 오해, 기술에 대한 전체적인 인식 부족 그리고 ‘SME가 실제로 사용할 수 있는' 지원이 포함됩니다. 어쩌면 무엇보다 가장 걱정스러운 점으로, 최근의 조사에 참여한 사람의 54%가 자신의 비즈니스에서는 데이터 보안 및 사이버 보안 위혐에 관해 직원을 교육하지 않는다고 말했습니다(Vodafone Business 2021).