2021.11.16

지표로 보는 국가별 사이버 보안 현주소 “투입 자원이 보안 결정한다”

Shweta Sharma | CSO
사이버 범죄 위험이 확산하는 속도는 국가마다 다르다. 사기 탐지 소프트웨어 업체 세온(SEON)에 따르면, 일부 국가에는 강력한 사이버 범죄 처벌법이나 폭넓은 사이버 보안 프로그램이 마련되어 있지 않아 다른 국가보다 국민이 사이버 위험에 노출되는 정도가 훨씬 심했다.
 
ⓒ Getty Images Bank

세온은 다양한 사이버 보안 지수와 지표의 데이터를 결합해 사이버 범죄 위험이 가장 낮은 국가와 가장 높은 국가의 순위를 산출했다. 세온에 따르면, 가장 강력한 사이버 보안 정책과 프로그램을 마련한 국가는 덴마크다. 독일과 미국이 그 뒤를 이었다. 


사이버 보안 순위의 결정 방법

세온은 글로벌 사이버 안전 지수(Global Cyber-Safety Index) 산출을 위해 사이버 보안 조치의 강도를 바탕으로 모든 국가의 순위를 매긴 ‘국가 사이버 보안 지수(National Cybersecurity Index)’와 사이버 보안 관행을 기준으로 국가별 순위를 매긴 ‘글로벌 사이버 보안 지수 2020(Global Cybersecurity Index 2020)’에서 데이터를 수집했다. 

또한 세온은 자금세탁과 테러 자금 조달의 위험성을 기준으로 국가 순위를 책정한 ‘바젤 AML 지수 제9판(The Basel AML Index : 9th Edition)’을 사용했다. 자금세탁은 흔히 디지털 방식으로 이뤄지기 때문에 각 나라의 인터넷 정책과 안전성을 보여주는 좋은 지표다. 이와 함께 세온은 각국의 인터넷 사용자가 위험에 처한 정도를 측정하는 ‘사이버 보안 노출 지수(Cybersecurity Exposure Index) 2020’도 전체 순위 산출에 활용했다.

다양한 지수 외에도 세온은 각국의 사이버 범죄에 대한 법률도 참고했다. 보고서 저자 게르고 바가에 따르면, 세온은 각 법안에 1점씩, 법안 초안에는 0.5점씩 부여하고 법률 적용 범위도 점수에 포함하기 위해 법률 적용 범주마다 추가 점수를 부여했다. 글로벌 사이버 안전 지수는 앞선 4개 지표와 사이버 범죄 관련 법률 점수를 종합해 10점 만점을 기준으로 환산한 것이다.
 
ⓒ SEON


사이버 위협에서 가장 안전한 국가

대부분 지표에서 상위권을 차지한 덴마크는 글로벌 사이버 안전 지수에서 8.91점을 획득했다. 특히 사이버 보안 노출 지수가 0.117점에 그치는 인상적인 결과가 나왔다.

독일의 글로벌 사이버 안전 지수는 8.76, 미국은 8.73이었다. 그 밖에 사이버 위협에서 가장 안전한 상위 국가는 노르웨이, 영국, 캐나다, 스웨덴, 호주, 일본, 네덜란드였다.

하위권 국가는 사이버 범죄에 대한 보호를 최소한으로 제공하고 있었다. 보고서는 “하위권 국가는 사이버 범죄에 대한 법률이 매우 취약하거나 아예 없기 때문에 개인정보가 포함된 거래가 가장 위험하다”라고 설명했다.


사이버 위협에서 가장 위험한 국가

미얀마는 세온의 글로벌 사이버 안전 지수에서 2.22점을 받아 가장 낮은 순위를 기록했다. 미얀마는 다른 지수에서도 전반적으로 저조한 점수를 받았으며, 사이버 범죄자의 활동을 막는 법률이 거의 제정되지 않아 법률 점수가 가장 낮았다.

캄보디아의 사이버 안전 지수는 2.67로, 미얀마에 이어 두 번째로 낮았다. 캄보디아는 글로벌 사이버 보안 지수 이외의 모든 지표에서 미얀마보다 약간 나은 정도였다. 온두라스는 3.13점을 받아 3위를 차지했다. 온두라스는 사이버 범죄 법제화 부문에서는 미얀마와 캄보디아보다 2배 좋은 점수를 받았다. 

그 외 사이버 위험이 가장 높은 국가는 볼리비아, 몽골, 알제리, 짐바브웨, 니카라과, 보스니아-헤르체고비나, 엘살바도르 순으로 집계됐다.

콘스텔레이션 리서치 부사장 리즈 밀러는 “보고서 방법론에 따르면, 위험 순위의 근거는 대부분 법규와 규제 및 집행에 초점을 맞춘 관련 정부 인프라로 귀결된다. 하지만 규제 환경은 완전하지 않다. 예컨대 한 국가가 소비자 사생활이나 디지털 안전에 관한 법을 통과시켰거나 그 과정에 있더라도 관련 범죄에 대해 실질적인 영향이나 결과가 없을 수 있고, 기업이 의무 사항 준수를 위한 투자를 거부하거나 고의로 규제를 무시하는 사람이 있을 수 있다. 좋은 의도가 담긴 종이를 가지고 있지만 이빨이 없는 셈이다”라고 지적했다.


가장 흔한 형태의 사이버 범죄

세온은 지난 2020년 미국에서 가장 흔하게 보고된 사이버 범죄도 소개했다. 보고서에 따르면, 피싱 이메일과 파밍이 지난해 미국 전체 사이버 범죄 신고의 32.9%를 차지하며 미국 인터넷 사용자에게 가장 큰 위협이 됐다. 피싱과 파밍은 비밀번호, 로그인 정보, 신용카드 번호와 같은 개인정보를 공개하도록 유도하는 사기 행위다.

두 번째로 흔한 사이버 범죄 유형은 미지불과 미배송으로, 10만 8,869회 보고되어 미국 전체 사이버 범죄의 14.9%를 차지했다. 미지불은 구매자가 상품을 수령하거나 서비스를 받은 뒤 비용을 지불하지 않는 것이며, 미배송은 비용이 지불된 상품이나 서비스를 사용자에게 전달하지 않는 것이다. 

다음으로 흔한 사이버 범죄는 갈취였다. 2020년 미국에서 총 7만 6,741건이 보고되며 미국 내 사이버 범죄의 10.4%를 차지했다. 갈취는 여러 형태로 나타나는데, 파일과 기기에 대한 접근을 막고 돈이나 암호화폐, 기프트 카드 등을 요구하는 랜섬웨어가 가장 흔한 유형이다.

 
강력한 보안에는 자원이 필수

밀러는 사이버 위험에 대한 노출 정도가 국가마다 다른 이유를 파악하기 위해서는 국가의 자원과 자금을 고려해야 한다고 말했다. 자원이 부족한 일부 국가나 기업은 사전적 보호 조치를 구현하기 위한 예산이나 보안팀을 꾸리고 운영하기 위한 인재와 시간이 부족할 수 있다. 자원이 부족한 기업은 보안보다 운영을 우선시할 수 있기 때문에 취약점을 악용하는 사이버 공격자에게 기회가 되는 환경이 조성되는 것이다.

밀러는 사이버 보안에 가장 취약한 국가는 규제와 공교육에 가장 먼저 신경 써야 한다고 조언했다. 밀러는 “일반적으로 소비자는 공급망의 취약점이 자신이라고 생각하지 않는다. 정부가 정체불명의 낯선 공격자의 문제를 해결해줄 것을 요구하고 있다. 하지만 진짜 위험한 것은 은행에서 보낸 적 없는 스팸 이메일의 링크를 클릭하는 것이다”라고 말했다. 

밀러는 “정부가 사이버 위협에 진지하게 대처하기 위해서는 동반 관계가 관건이 된다”라고 조언했다. 즉, 공공 부문과 민간 부문이 사이버 공격을 사전에 탐지하고 문제를 신속하게 완화하기 위한 목적으로 해결책 마련과 정보 공유에 협력해야 한다. editor@itworld.co.kr


2021.11.16

지표로 보는 국가별 사이버 보안 현주소 “투입 자원이 보안 결정한다”

Shweta Sharma | CSO
사이버 범죄 위험이 확산하는 속도는 국가마다 다르다. 사기 탐지 소프트웨어 업체 세온(SEON)에 따르면, 일부 국가에는 강력한 사이버 범죄 처벌법이나 폭넓은 사이버 보안 프로그램이 마련되어 있지 않아 다른 국가보다 국민이 사이버 위험에 노출되는 정도가 훨씬 심했다.
 
ⓒ Getty Images Bank

세온은 다양한 사이버 보안 지수와 지표의 데이터를 결합해 사이버 범죄 위험이 가장 낮은 국가와 가장 높은 국가의 순위를 산출했다. 세온에 따르면, 가장 강력한 사이버 보안 정책과 프로그램을 마련한 국가는 덴마크다. 독일과 미국이 그 뒤를 이었다. 


사이버 보안 순위의 결정 방법

세온은 글로벌 사이버 안전 지수(Global Cyber-Safety Index) 산출을 위해 사이버 보안 조치의 강도를 바탕으로 모든 국가의 순위를 매긴 ‘국가 사이버 보안 지수(National Cybersecurity Index)’와 사이버 보안 관행을 기준으로 국가별 순위를 매긴 ‘글로벌 사이버 보안 지수 2020(Global Cybersecurity Index 2020)’에서 데이터를 수집했다. 

또한 세온은 자금세탁과 테러 자금 조달의 위험성을 기준으로 국가 순위를 책정한 ‘바젤 AML 지수 제9판(The Basel AML Index : 9th Edition)’을 사용했다. 자금세탁은 흔히 디지털 방식으로 이뤄지기 때문에 각 나라의 인터넷 정책과 안전성을 보여주는 좋은 지표다. 이와 함께 세온은 각국의 인터넷 사용자가 위험에 처한 정도를 측정하는 ‘사이버 보안 노출 지수(Cybersecurity Exposure Index) 2020’도 전체 순위 산출에 활용했다.

다양한 지수 외에도 세온은 각국의 사이버 범죄에 대한 법률도 참고했다. 보고서 저자 게르고 바가에 따르면, 세온은 각 법안에 1점씩, 법안 초안에는 0.5점씩 부여하고 법률 적용 범위도 점수에 포함하기 위해 법률 적용 범주마다 추가 점수를 부여했다. 글로벌 사이버 안전 지수는 앞선 4개 지표와 사이버 범죄 관련 법률 점수를 종합해 10점 만점을 기준으로 환산한 것이다.
 
ⓒ SEON


사이버 위협에서 가장 안전한 국가

대부분 지표에서 상위권을 차지한 덴마크는 글로벌 사이버 안전 지수에서 8.91점을 획득했다. 특히 사이버 보안 노출 지수가 0.117점에 그치는 인상적인 결과가 나왔다.

독일의 글로벌 사이버 안전 지수는 8.76, 미국은 8.73이었다. 그 밖에 사이버 위협에서 가장 안전한 상위 국가는 노르웨이, 영국, 캐나다, 스웨덴, 호주, 일본, 네덜란드였다.

하위권 국가는 사이버 범죄에 대한 보호를 최소한으로 제공하고 있었다. 보고서는 “하위권 국가는 사이버 범죄에 대한 법률이 매우 취약하거나 아예 없기 때문에 개인정보가 포함된 거래가 가장 위험하다”라고 설명했다.


사이버 위협에서 가장 위험한 국가

미얀마는 세온의 글로벌 사이버 안전 지수에서 2.22점을 받아 가장 낮은 순위를 기록했다. 미얀마는 다른 지수에서도 전반적으로 저조한 점수를 받았으며, 사이버 범죄자의 활동을 막는 법률이 거의 제정되지 않아 법률 점수가 가장 낮았다.

캄보디아의 사이버 안전 지수는 2.67로, 미얀마에 이어 두 번째로 낮았다. 캄보디아는 글로벌 사이버 보안 지수 이외의 모든 지표에서 미얀마보다 약간 나은 정도였다. 온두라스는 3.13점을 받아 3위를 차지했다. 온두라스는 사이버 범죄 법제화 부문에서는 미얀마와 캄보디아보다 2배 좋은 점수를 받았다. 

그 외 사이버 위험이 가장 높은 국가는 볼리비아, 몽골, 알제리, 짐바브웨, 니카라과, 보스니아-헤르체고비나, 엘살바도르 순으로 집계됐다.

콘스텔레이션 리서치 부사장 리즈 밀러는 “보고서 방법론에 따르면, 위험 순위의 근거는 대부분 법규와 규제 및 집행에 초점을 맞춘 관련 정부 인프라로 귀결된다. 하지만 규제 환경은 완전하지 않다. 예컨대 한 국가가 소비자 사생활이나 디지털 안전에 관한 법을 통과시켰거나 그 과정에 있더라도 관련 범죄에 대해 실질적인 영향이나 결과가 없을 수 있고, 기업이 의무 사항 준수를 위한 투자를 거부하거나 고의로 규제를 무시하는 사람이 있을 수 있다. 좋은 의도가 담긴 종이를 가지고 있지만 이빨이 없는 셈이다”라고 지적했다.


가장 흔한 형태의 사이버 범죄

세온은 지난 2020년 미국에서 가장 흔하게 보고된 사이버 범죄도 소개했다. 보고서에 따르면, 피싱 이메일과 파밍이 지난해 미국 전체 사이버 범죄 신고의 32.9%를 차지하며 미국 인터넷 사용자에게 가장 큰 위협이 됐다. 피싱과 파밍은 비밀번호, 로그인 정보, 신용카드 번호와 같은 개인정보를 공개하도록 유도하는 사기 행위다.

두 번째로 흔한 사이버 범죄 유형은 미지불과 미배송으로, 10만 8,869회 보고되어 미국 전체 사이버 범죄의 14.9%를 차지했다. 미지불은 구매자가 상품을 수령하거나 서비스를 받은 뒤 비용을 지불하지 않는 것이며, 미배송은 비용이 지불된 상품이나 서비스를 사용자에게 전달하지 않는 것이다. 

다음으로 흔한 사이버 범죄는 갈취였다. 2020년 미국에서 총 7만 6,741건이 보고되며 미국 내 사이버 범죄의 10.4%를 차지했다. 갈취는 여러 형태로 나타나는데, 파일과 기기에 대한 접근을 막고 돈이나 암호화폐, 기프트 카드 등을 요구하는 랜섬웨어가 가장 흔한 유형이다.

 
강력한 보안에는 자원이 필수

밀러는 사이버 위험에 대한 노출 정도가 국가마다 다른 이유를 파악하기 위해서는 국가의 자원과 자금을 고려해야 한다고 말했다. 자원이 부족한 일부 국가나 기업은 사전적 보호 조치를 구현하기 위한 예산이나 보안팀을 꾸리고 운영하기 위한 인재와 시간이 부족할 수 있다. 자원이 부족한 기업은 보안보다 운영을 우선시할 수 있기 때문에 취약점을 악용하는 사이버 공격자에게 기회가 되는 환경이 조성되는 것이다.

밀러는 사이버 보안에 가장 취약한 국가는 규제와 공교육에 가장 먼저 신경 써야 한다고 조언했다. 밀러는 “일반적으로 소비자는 공급망의 취약점이 자신이라고 생각하지 않는다. 정부가 정체불명의 낯선 공격자의 문제를 해결해줄 것을 요구하고 있다. 하지만 진짜 위험한 것은 은행에서 보낸 적 없는 스팸 이메일의 링크를 클릭하는 것이다”라고 말했다. 

밀러는 “정부가 사이버 위협에 진지하게 대처하기 위해서는 동반 관계가 관건이 된다”라고 조언했다. 즉, 공공 부문과 민간 부문이 사이버 공격을 사전에 탐지하고 문제를 신속하게 완화하기 위한 목적으로 해결책 마련과 정보 공유에 협력해야 한다. editor@itworld.co.kr


X