회사에서도 우리는 '한 번은 괜찮겠지'라는 안이함 아래 여러 위험한 행동을 하곤 한다. 수십 년 전부터 사용하던 익숙한 비밀번호를 회사와 관련한 계정의 비밀번호로 재사용하는 것, 알 수 없는 발신자가 보낸 링크를 클릭하는 것, 업무용 기기를 사적인 용도로 사용하는 것, 공공장소에서 VPN을 사용하지 않고 와이파이를 연결하는 것, 신뢰할 수 없는 사이트라는 경고창이 뜨더라도 해당 사이트를 여는 것 등 대부분은 기업의 사이버보안을 위협하는 행위다.
열에 아홉은 알면서도 한다
악의가 없더라도 내부자의 실수는 기업에 막대한 피해를 끼치기도 한다. 따라서 개개인이 일상에서 보안 수칙을 잘 지키는 습관은 기업이 안전한 보안 문화를 조성하는 밑바탕이 된다. 하지만 프루프포인트가 최근 발행한 '2024년 피싱 현황 보고서(2024 State of the Phish)'에 따르면, 전 세계 응답자 중 71%가 '위험한 행동'을 취하는 것으로 나타났다. 그리고 이들 중 96%는 놀랍게도 위험성을 인지하고 있으면서도 보안을 해치는 행동을 했다고 답했다. 알면서도 하는 이유는 편리함(43%), 시간 절약(42%), 긴급함(24%), 비용 절감(19%) 등 다양하다. 알고 있는 것과 실천하는 것은 다르다. 노드VPN이 지난해 실시한 '국가별 개인정보 보안 인식 테스트' 결과를 봐도 앎과 실천 사이에 괴리가 있음을 알 수 있다. 한국인 응답자 약 50%는 인터넷 환경에 개인정보 유출 위험과 각종 맬웨어 감염 위협이 있다는 점을 알고 있다고 답했지만, 이를 방지하기 위해 보안 소프트웨어를 사용하는 등의 실질적인 대응 체계를 마련한 경우는 36%에 그쳤다. 한국인은 노드VPN의 보안 인식 테스트에서 100점 만점에 46점을 받아 175개국 가운데 최하위를 차지했다.
휴면 계정 일일이 삭제하는 사람도 없을걸?
온라인 쇼핑몰, 은행 및 보험 서비스, 인터넷 통신업체, 생활 편의 서비스 등 지금까지 가입한 숱한 웹사이트를 떠올려 보자. 전 세계 인터넷 사용자는 평균적으로 20개 이상의 활성 애플리케이션 및 웹사이트 계정을 보유하고 있다. 전 세계 5%는 무려 100개 이상의 디지털 계정의 소유자다. 온라인 계정은 특정 사용자의 활동을 추적할 수 있는, 이른바 디지털 발자국을 남긴다. 옥타에 따르면, 인터넷 사용자 약 71%가 이런 점 인지하고 있지만, 흔적을 줄이기 위해 조치를 취하는 사용자는 절반도 되지 않는다. 디지털 발자국을 없애는 가장 기본적인 방법은 사용하지 않는 웹사이트에서 탈퇴하고 계정을 삭제하는 것이다. 그러나 계정 관리 측면에서도 알면서 하지 않는 경우가 많다. 인터넷에 익숙한 Z 세대 중 절반 이상은 사용하지 않는 온라인 계정을 보유하고 있지만, 31%는 휴면 계정을 한 번도 삭제한 적 없는 것으로 조사됐다. 개인적으로 관심이 없거나(33%)나 시간이 없다(23%)는 이유다.
지행합일을 향한 멀고 먼 수행의 길
그렇다면 현재 사용 중인 계정에 대한 보안 위생은 잘 지키고 있을까? 이스트시큐리티가 올해 정보의 달을 맞아 실시한 보안 지식 테스트 결과, 대부분이 비밀번호 관리에 관한 보안 위생 수칙을 비교적 잘 인지하고 있다는 점은 다행스럽다. 강력한 비밀번호를 만드는 방법에 대한 정답률은 92%, 여러 계정에 유사한 비밀번호를 사용할 때의 위험성을 묻는 질문에서도 정답률이 86%를 기록했다. 하지만 실천하는 것은 여전히 별개의 일이다. PC 사용 시 로그인 비밀번호를 분기 1회 이상 변경하는 사람은 40%, 패스워드의 최근 사용 내역을 점검하거나 최대/최소 사용 기간을 설정한 사람 역시 절반에 못 미쳤다. 사이버보안 위생 수칙은 아무리 강조해도 지나치지 않다. 최근에는 그 중요성이 더욱 부각되고 있다. IBM에 따르면, 2023년에는 이메일, 소셜 미디어 및 메시징 앱 인증 정보, 은행 정보, 암호화폐 지갑 정보 등 다양한 개인 식별 정보를 탈취하도록 설계된 인포스틸링(infostealing) 맬웨어가 특히 성행한 것으로 나타났다. 2023년 인포스틸링 맬웨어는 전년 대비 266% 증가했다. 단순 해킹이 아니라 정상적인 자격 증명 정보를 사용해 로그인한 후에 공격을 감행하는 사례 역시 전년 대비 71% 증가했다. IBM은 공격자가 사용자의 신원을 확보하기 위한 작업에 더 많은 투자를 하고 있다고 지적했다.
답은 이미 알고 있다…실천하지 못할 뿐
이제 피싱이라는 단어를 모르는 사람은 찾아보기 힘들다. 하지만 새로운 기술과 서비스가 등장하면서 피싱 유형이 매우 다양해지고 있다. 용어만 보고는 어떤 수법인지 예상할 수 공격도 많다. 예를 들어, 합법적으로 보이는 악성 사이트로 접속을 유도해 개인정보를 탈취하는 사기 수법을 의미하는 '파밍(Pharming)'의 뜻을 아는 사용자는 단 18%에 불과하다. 하지만 난생처음 듣는 공격이라도 우리는 이미 방어하는 방법을 알고 있다. 아무리 귀찮고 번거롭고 때로는 그것이 힘들고 외로운 일일지라도 알고 있는 바로 그 보안 수칙을 당연히 여기고 어떤 상황에서도 타협하지 않으며, 어떤 상황에서든 준수하는 것뿐이다.
세상의 모든 IT 리서치 자료, '넘버스'
mia.kim@foundryco.com여기서 소개한 모든 자료는 넘버스(Numbers) 서비스에 등록돼 있다. 넘버스는 IT 전문 미디어 ITWorld가 제공하는 IT 리서치 자료 메타 검색 서비스다. IDC, 가트너, 포레스터 등 주요 시장조사 업체의 자료는 물론 국내외 정부와 IT 기업, 민간 연구소 등이 발표한 기술 관련 최신 자료를 총망라했다. 2024년 5월 현재 1,500여 건의 자료가 등록돼 있으며, 매달 50여 건이 새롭게 올라온다. 등록된 자료는 출처와 토픽, 키워드 등을 기준으로 검색할 수 있고, 관련 기사를 통해 해당 자료의 문맥을 이해할 수 있다. 자료의 원문 제목과 내용을 볼 수 있는 링크, 자료를 발행한 주체와 발행 일자도 함께 확인할 수 있다.