2018.10.16

2018년 보안과 관련된 가장 중요한 "팩트"와 수치, 통계

Josh Fruhlinger | CSO
보안 세계에서 지금 어떤 일이 일어나고 있는지 파악하고 이해할 확실한 정보와 통계를 찾고 있는가. 우리는 보안 세계에서 일어나고 있는 일과 동료 IT 전문가들이 여기에 대응하고 대처하는 방식 등 업계의 '지형'을 파악하기 위해 보안 업계를 대상으로 한 조사와 설문 조사, 연구 결과 등을 자세히 조사했다.


Credit: Getty Images Bank 

랜섬웨어는 감소, 크립토마이닝은 증가
2017년 한 해 가장 많이 언급된 악성코드 가운데 하나는 파일을 암호화시켜, 이를 해독하는 조건으로 비트코인 결제를 요구하는 랜섬웨어인 낫페트야(NotPetya)였다. 그러나 2017년 중반부터 이 악성코드 감염 사례가 줄어들기 시작해, 12월에는 전체 감염에서 차지하는 비중이 약 10%로 급감했다.

이유가 무엇일까. 공격자들이 식초보다는 꿀을 이용해야 더 많은 파리를 잡을 수 있다는 사실을 깨달었기 때문으로 판단된다. 랜섬웨어를 감염시켜 피해자에게 비트코인을 요구하는 대신 은밀하게 비트코인을 채굴하는 소프트웨어로 컴퓨터를 감염시키는 방법이 더 낫다는 것을 깨달았다는 의미다. 2018년 초, 원격 코드 실행 공격의 90%가 크립토마이닝과 관련이 있었다.

이메일은 여전히 문제
회사 동료들에게 오래 된 이메일 첨부파일을 클릭하지 말라는 메시지를 지겹도록 많이 발송하고 있는가. 유감스럽게도 앞으로도 계속 그래야 할 듯싶다. 버라이즌의 2018년 침해 조사(Breach Investigation) 보고서에 따르면, 이메일로 전달되는 악성코드 비율이 여전히 92%에 달하기 때문이다.

가장 흔한 이메일 악성코드 감염 방법 가운데 하나는 피싱 공격이며, 점차 더 표적화 되어 가고 있다. 보안 전문가들도 이를 인식하고 있다. 2018년 사이버아크 글로벌 첨단 위협 지형 보고서(CyberArk Global Advanced Threat Landscape Report)에 따르면, 직면한 가장 큰 보안 위협으로 표적화된 피싱 공격을 꼽은 비율이 56%이다.

증가하고 있는 파일리스 공격
그러나 안티바이러스 프로그램이 쉽게 액세스해 차단할 수 있는, 이메일에 첨부된 실행 파일 형태의 악성코드 위협이 득세하던 시대가 저물고 있다. 이른바 파일리스 악성코드(Fileless malware)가 점차 더 증가하고 있는 추세다. 파일리스 공격은 크기가 큰 실행 파일을 다운로드하도록 유도하는 대신, 피해자 컴퓨터에 이미 설치되어 있는 소프트웨어의 취약점을 공격한다.

예를 들어 에퀴팩스(Equifax) 침해 사고에서 확인되었듯, 브라우저 플러그인이나 마이크로소프트 오피스 매크로를 실행시키거나, 서버 프로그램의 취약점을 악용해 악성 실행 코드를 주입하는 공격이다. 포네몬 연구소(Ponemon Institute)의 '엔드포인트 보안 위험 현황 보고서(The State of Endpoint Security Risk Report)'에 따르면, 2017년 침해 공격의 77%가 파일리스 공격이었다.

'인적 자원을 놀리는 것'은 큰 손해
기업 경영진에 사이버 공격과 관련된 '이익'이 무엇인지 정확히 설명하는 것이 어려울 수 있다. 결국에는 실제 도난(또는 랜섬웨어 지불) 등을 차단할 경우, 침해당한 기업의 은행 계좌에서 돈이 빠져나가지 않는다.

포네몬은 보고서에서 랜섬웨어가 초래하는 비용에 대해 생각하는 방법을 제안했다. 포네몬은 네트워크와 컴퓨터가 파괴되어 직원들이 업무를 처리할 방법과 수단이 없어 별 수 없이 일손을 놓게 되면 기업 대차대조표에 큰 손실이 기록된다고 강조한다. 포네몬의 계산에 따르면, 공격 당 초래되는 평균적인 비용은 500만 달러, 공격으로 인한 시스템 정지로 초래되는 비용은 1/4인 125만 달러, IT와 최종 사용자의 생산성 상실로 초래되는 비용은 30%인 150만 달러이다.

장기간 시정되지 않는 침해 사고
인프라에 대한 공격을 모두 저지할 방법이 없을지 모른다. 따라서 가능한 빨리 침해 발생 여부를 파악해 시정해야 한다. 그런데 이와 관련된 성과 개선이 아주 더디다.

포네몬의 2017년 데이터 침해 비용(Cost of Data Breach) 조사 결과에 따르면, 기업과 기관이 데이터 침해를 파악하는 데 평균 191일이 소요된다. 아주 장기간이다. 무려 6개월 이상이다. 그러나 2016년의 201일보다는 나아졌다. 문제는 아주 조금 나아졌다는 것이다.

정부의 도움
정부 규제에 대해 좋은 말을 하는 업계 사람을 찾기란 아주 힘들다. 그러나 탈레스(Thales)의 2018년 데이터 위협(Data Threat) 보고서에 따르면, 요주의 데이터 보안의 경우 기업들이 규제 당국에 높은 점수를 주고 있다.

미국 응답자의 74%를 포함, 전세계 응답자의 64%가 컴플라이언스(규제 준수) 요건을 준수하는 것이 데이터를 '아주(Very 또는 Extremely)' 효과적으로 안전하게 유지 및 보관할 수 있는 방법이라고 대답했다. 2018년 IDG 보안 우선순위 연구 보고서(IDG Security Priorities Study)에서 69%의 기업이 컴플라이언스 의무가 지출을 견인하고 있다고 대답한 이유도 이와 관련이 있다.

싸지 않은 GDPR
컴플라이언스 때문에 많은 비용이 발생할 수 있다. 특히 데이터 관련 규정의 '할아버지' 격인 EU의 GDPR 관련 비용은 아주 비싸다.

2017년, 프라이스워터하우스쿠퍼스(PwC)가 EU에서 기업 활동을 하고 있는 300명의 미국과 영국, 일본 기업의 기술 담당 임원들을 조사한 결과에 따르면, 88%가 2018년 5월부터 전면 발효되는 GDPR 준비에 100만 달러 이상을 지출했다고 대답했다. 한 술 더 떠, 1,000만 달러 이상을 지출했다고 대답한 비율도 40%에 달한다. 이런 지출이 도움이 된 기업과 사람들도 있다. 같은 조사 결과에 따르면, 컴플라이언스와 관련된 도움을 받기 위해 외부 기술 회사를 채용할 계획을 세운 임원들이 69%에 달했다.

보안 부서, 독립된 부서인가
C레벨 경영진에 보안 담당 임원이 있는가. 있다면 직속 상사는 누구인가. 이 질문은 사내 정치의 상층부에 대한 질문에 그치지 않는다. '누가 무슨 일을 하고, 어떻게 협력하는지'와 관련된 질문이다.

2018년 IDG 보안 우선순위 보고서에 따르면, 75%에 달하는 기업과 기관에서 보안과 IT 팀이 동일한 부서에 소속되어 있다. 보안 부서가 독립되어 있는 비율은 25%였다. 그러나 보안을 전담하는 CSO나 CISO가 있는 회사의 경우, 보안 부서가 독립되어 있는 경우가 많았는데, 약 40%에 달한다.

취약한 산업 제어 시스템
생산 시설 및 공장부터 원자력 발전소까지 모든 것에 '지능'을 제공하는 전문 컴퓨터 하드웨어 및 소프트웨어인 산업용 제어 시스템(ICS)은 해커에게 매력적인 표적이다. 2017년 산업 사이버보안 비즈니스 어드밴티지 현황(Business Advantage State of Industrial Cybersecurity) 보고서에 따르면, 표본으로 선택된 회사 가운데 54%에서 최근 12개월 동안 산업용 제어 시스템과 관련된 보안 사고가 발생했다. 이런 사고를 3건 이상 경험한 비율 또한 16%였다.

이유가 무엇일까. 한 가지 이유를 꼽으면, 이 중요한 핵심 시스템에 액세스할 수 있는 사람을 관리하는 데 시간과 돈을 충분히 투자하지 않기 때문이다. 표본으로 선택된 회사 가운데, 파트너나 서비스 공급업체 등 외부 파트너의 산업용 제어 네트워크 액세스를 허용한다고 대답한 비율이 55%였다.

역시 취약한 IoT 시스템
사물인터넷(IoT)의 첫 번째 물결은 인터넷에 연결된 산업용 제어 시스템이었다. 그리고 지금은 수백, 수천 만 개의 IoT 장치가 있다. 이는 반드시 보호해야 할 공격 표면 가운데 하나다. 2018년 트러스트웨이브(Trustwave)는 보고서에서 IoT 보안과 관련된 실망스러운 통계를 공개했다.

- 조사 대상 기업 및 기관 가운데 64%가 IoT 장치를 배포한 것으로 조사됐다. 다음 해에 이렇게 할 계획이라고 대답한 비율도 20%였다.
- 그러나 IoT 보안 전략을 아주 중요하게 간주하는 비율은 28%에 불과했다. 중요하지 않거나, 약간 중요하다고 생각하고 있는 비율이 1/3이 넘었다.

이 두 가지를 감안했을 때, 조사 대상 기업 가운데 IoT 보안 사고를 경험한 비율이 61%에 달하는 것은 놀랄 일이 아니다.

사후 대응보다는 미래지향적으로 사전 대응
이제 희망적인 내용을 살펴보자. 2018년 IDG 보안 우선순위 보고서의 보안 지출을 견인하는 요인들이 여기에 해당된다. 응답자는 하나 이상의 요인을 선택할 수 있었기 때문에 합계가 100%가 넘는다.

- 74%: 베스트 프랙티스
- 69%: 컴플라이언스 의무
- 36%: 조직에 발생한 보안 사고에 대한 대응
- 33%: 이사회의 명령
- 29%: 다른 조직에서 발생한 보안 사고에 대한 대응


이것이 희망적인 이유는 무엇일까. 기업과 기관이 공격에 사후 대응이나 따라잡는 식의 대응을 하는 것이 아니라, 미래에 대한 계획, 규제 가이드라인을 토대로 미래지향적으로 보안 지출 및 투자에 접근하고 있기 때문이다. editor@itworld.co.kr  


2018.10.16

2018년 보안과 관련된 가장 중요한 "팩트"와 수치, 통계

Josh Fruhlinger | CSO
보안 세계에서 지금 어떤 일이 일어나고 있는지 파악하고 이해할 확실한 정보와 통계를 찾고 있는가. 우리는 보안 세계에서 일어나고 있는 일과 동료 IT 전문가들이 여기에 대응하고 대처하는 방식 등 업계의 '지형'을 파악하기 위해 보안 업계를 대상으로 한 조사와 설문 조사, 연구 결과 등을 자세히 조사했다.


Credit: Getty Images Bank 

랜섬웨어는 감소, 크립토마이닝은 증가
2017년 한 해 가장 많이 언급된 악성코드 가운데 하나는 파일을 암호화시켜, 이를 해독하는 조건으로 비트코인 결제를 요구하는 랜섬웨어인 낫페트야(NotPetya)였다. 그러나 2017년 중반부터 이 악성코드 감염 사례가 줄어들기 시작해, 12월에는 전체 감염에서 차지하는 비중이 약 10%로 급감했다.

이유가 무엇일까. 공격자들이 식초보다는 꿀을 이용해야 더 많은 파리를 잡을 수 있다는 사실을 깨달었기 때문으로 판단된다. 랜섬웨어를 감염시켜 피해자에게 비트코인을 요구하는 대신 은밀하게 비트코인을 채굴하는 소프트웨어로 컴퓨터를 감염시키는 방법이 더 낫다는 것을 깨달았다는 의미다. 2018년 초, 원격 코드 실행 공격의 90%가 크립토마이닝과 관련이 있었다.

이메일은 여전히 문제
회사 동료들에게 오래 된 이메일 첨부파일을 클릭하지 말라는 메시지를 지겹도록 많이 발송하고 있는가. 유감스럽게도 앞으로도 계속 그래야 할 듯싶다. 버라이즌의 2018년 침해 조사(Breach Investigation) 보고서에 따르면, 이메일로 전달되는 악성코드 비율이 여전히 92%에 달하기 때문이다.

가장 흔한 이메일 악성코드 감염 방법 가운데 하나는 피싱 공격이며, 점차 더 표적화 되어 가고 있다. 보안 전문가들도 이를 인식하고 있다. 2018년 사이버아크 글로벌 첨단 위협 지형 보고서(CyberArk Global Advanced Threat Landscape Report)에 따르면, 직면한 가장 큰 보안 위협으로 표적화된 피싱 공격을 꼽은 비율이 56%이다.

증가하고 있는 파일리스 공격
그러나 안티바이러스 프로그램이 쉽게 액세스해 차단할 수 있는, 이메일에 첨부된 실행 파일 형태의 악성코드 위협이 득세하던 시대가 저물고 있다. 이른바 파일리스 악성코드(Fileless malware)가 점차 더 증가하고 있는 추세다. 파일리스 공격은 크기가 큰 실행 파일을 다운로드하도록 유도하는 대신, 피해자 컴퓨터에 이미 설치되어 있는 소프트웨어의 취약점을 공격한다.

예를 들어 에퀴팩스(Equifax) 침해 사고에서 확인되었듯, 브라우저 플러그인이나 마이크로소프트 오피스 매크로를 실행시키거나, 서버 프로그램의 취약점을 악용해 악성 실행 코드를 주입하는 공격이다. 포네몬 연구소(Ponemon Institute)의 '엔드포인트 보안 위험 현황 보고서(The State of Endpoint Security Risk Report)'에 따르면, 2017년 침해 공격의 77%가 파일리스 공격이었다.

'인적 자원을 놀리는 것'은 큰 손해
기업 경영진에 사이버 공격과 관련된 '이익'이 무엇인지 정확히 설명하는 것이 어려울 수 있다. 결국에는 실제 도난(또는 랜섬웨어 지불) 등을 차단할 경우, 침해당한 기업의 은행 계좌에서 돈이 빠져나가지 않는다.

포네몬은 보고서에서 랜섬웨어가 초래하는 비용에 대해 생각하는 방법을 제안했다. 포네몬은 네트워크와 컴퓨터가 파괴되어 직원들이 업무를 처리할 방법과 수단이 없어 별 수 없이 일손을 놓게 되면 기업 대차대조표에 큰 손실이 기록된다고 강조한다. 포네몬의 계산에 따르면, 공격 당 초래되는 평균적인 비용은 500만 달러, 공격으로 인한 시스템 정지로 초래되는 비용은 1/4인 125만 달러, IT와 최종 사용자의 생산성 상실로 초래되는 비용은 30%인 150만 달러이다.

장기간 시정되지 않는 침해 사고
인프라에 대한 공격을 모두 저지할 방법이 없을지 모른다. 따라서 가능한 빨리 침해 발생 여부를 파악해 시정해야 한다. 그런데 이와 관련된 성과 개선이 아주 더디다.

포네몬의 2017년 데이터 침해 비용(Cost of Data Breach) 조사 결과에 따르면, 기업과 기관이 데이터 침해를 파악하는 데 평균 191일이 소요된다. 아주 장기간이다. 무려 6개월 이상이다. 그러나 2016년의 201일보다는 나아졌다. 문제는 아주 조금 나아졌다는 것이다.

정부의 도움
정부 규제에 대해 좋은 말을 하는 업계 사람을 찾기란 아주 힘들다. 그러나 탈레스(Thales)의 2018년 데이터 위협(Data Threat) 보고서에 따르면, 요주의 데이터 보안의 경우 기업들이 규제 당국에 높은 점수를 주고 있다.

미국 응답자의 74%를 포함, 전세계 응답자의 64%가 컴플라이언스(규제 준수) 요건을 준수하는 것이 데이터를 '아주(Very 또는 Extremely)' 효과적으로 안전하게 유지 및 보관할 수 있는 방법이라고 대답했다. 2018년 IDG 보안 우선순위 연구 보고서(IDG Security Priorities Study)에서 69%의 기업이 컴플라이언스 의무가 지출을 견인하고 있다고 대답한 이유도 이와 관련이 있다.

싸지 않은 GDPR
컴플라이언스 때문에 많은 비용이 발생할 수 있다. 특히 데이터 관련 규정의 '할아버지' 격인 EU의 GDPR 관련 비용은 아주 비싸다.

2017년, 프라이스워터하우스쿠퍼스(PwC)가 EU에서 기업 활동을 하고 있는 300명의 미국과 영국, 일본 기업의 기술 담당 임원들을 조사한 결과에 따르면, 88%가 2018년 5월부터 전면 발효되는 GDPR 준비에 100만 달러 이상을 지출했다고 대답했다. 한 술 더 떠, 1,000만 달러 이상을 지출했다고 대답한 비율도 40%에 달한다. 이런 지출이 도움이 된 기업과 사람들도 있다. 같은 조사 결과에 따르면, 컴플라이언스와 관련된 도움을 받기 위해 외부 기술 회사를 채용할 계획을 세운 임원들이 69%에 달했다.

보안 부서, 독립된 부서인가
C레벨 경영진에 보안 담당 임원이 있는가. 있다면 직속 상사는 누구인가. 이 질문은 사내 정치의 상층부에 대한 질문에 그치지 않는다. '누가 무슨 일을 하고, 어떻게 협력하는지'와 관련된 질문이다.

2018년 IDG 보안 우선순위 보고서에 따르면, 75%에 달하는 기업과 기관에서 보안과 IT 팀이 동일한 부서에 소속되어 있다. 보안 부서가 독립되어 있는 비율은 25%였다. 그러나 보안을 전담하는 CSO나 CISO가 있는 회사의 경우, 보안 부서가 독립되어 있는 경우가 많았는데, 약 40%에 달한다.

취약한 산업 제어 시스템
생산 시설 및 공장부터 원자력 발전소까지 모든 것에 '지능'을 제공하는 전문 컴퓨터 하드웨어 및 소프트웨어인 산업용 제어 시스템(ICS)은 해커에게 매력적인 표적이다. 2017년 산업 사이버보안 비즈니스 어드밴티지 현황(Business Advantage State of Industrial Cybersecurity) 보고서에 따르면, 표본으로 선택된 회사 가운데 54%에서 최근 12개월 동안 산업용 제어 시스템과 관련된 보안 사고가 발생했다. 이런 사고를 3건 이상 경험한 비율 또한 16%였다.

이유가 무엇일까. 한 가지 이유를 꼽으면, 이 중요한 핵심 시스템에 액세스할 수 있는 사람을 관리하는 데 시간과 돈을 충분히 투자하지 않기 때문이다. 표본으로 선택된 회사 가운데, 파트너나 서비스 공급업체 등 외부 파트너의 산업용 제어 네트워크 액세스를 허용한다고 대답한 비율이 55%였다.

역시 취약한 IoT 시스템
사물인터넷(IoT)의 첫 번째 물결은 인터넷에 연결된 산업용 제어 시스템이었다. 그리고 지금은 수백, 수천 만 개의 IoT 장치가 있다. 이는 반드시 보호해야 할 공격 표면 가운데 하나다. 2018년 트러스트웨이브(Trustwave)는 보고서에서 IoT 보안과 관련된 실망스러운 통계를 공개했다.

- 조사 대상 기업 및 기관 가운데 64%가 IoT 장치를 배포한 것으로 조사됐다. 다음 해에 이렇게 할 계획이라고 대답한 비율도 20%였다.
- 그러나 IoT 보안 전략을 아주 중요하게 간주하는 비율은 28%에 불과했다. 중요하지 않거나, 약간 중요하다고 생각하고 있는 비율이 1/3이 넘었다.

이 두 가지를 감안했을 때, 조사 대상 기업 가운데 IoT 보안 사고를 경험한 비율이 61%에 달하는 것은 놀랄 일이 아니다.

사후 대응보다는 미래지향적으로 사전 대응
이제 희망적인 내용을 살펴보자. 2018년 IDG 보안 우선순위 보고서의 보안 지출을 견인하는 요인들이 여기에 해당된다. 응답자는 하나 이상의 요인을 선택할 수 있었기 때문에 합계가 100%가 넘는다.

- 74%: 베스트 프랙티스
- 69%: 컴플라이언스 의무
- 36%: 조직에 발생한 보안 사고에 대한 대응
- 33%: 이사회의 명령
- 29%: 다른 조직에서 발생한 보안 사고에 대한 대응


이것이 희망적인 이유는 무엇일까. 기업과 기관이 공격에 사후 대응이나 따라잡는 식의 대응을 하는 것이 아니라, 미래에 대한 계획, 규제 가이드라인을 토대로 미래지향적으로 보안 지출 및 투자에 접근하고 있기 때문이다. editor@itworld.co.kr  


X