| 사이버 범죄가 세계 경제에 미치는 피해 : 연간 6천억 달러 | 2018.02.22 |
세계 경제 단위에서 대처해야 할 문제...모두의 문제
보고되지 않는 경우 많아 정확한 집계 어려워...투명한 보고 필요 [보안뉴스 문가용 기자] 사이버 보안에서는 나무 대신 숲을 본다는 게 그리 쉬운 일이 아니다. 끊임없이, 여기저기서 크고 작은 사건들이 발생하기 때문이다. 산발적인 해킹과 익스플로잇, 새로운 공격 기법 소식에 방어 솔루션 등장까지, 나무 하나하나 살피는 것도 힘든데, 그것들을 다 합한 그림을 이해한다는 건 쉽지 않다. 그래서 그 모든 사건들을 합한 ‘사이버 범죄’의 피해 규모 수치는 잘 집계되지 않는다.  [이미지 = iclickart] 그런데 최근 두 조직이 ‘숲’과 관련된 보고서를 각기 내놓았다. 하나는 보안 업체 맥아피(McAfee)다. 맥아피는 국제전략문제연구소(Center for Strategic and International Studies, CSIS)와 함께 사이버 범죄가 전 세계 경제에 끼치는 피해가 연간 6천억 달러라고 발표했다. 이는 전 세계 GDP의 0.8%에 해당한다. 2014년과 비교했을 때 20%나 오른 수치이기도 하다. 또 다른 조직은 시스코다. 시스코는 3600명의 CISO들을 인터뷰 해 피해 규모의 ‘큰 그림’을 그려내려 했다. 그러면서 약 절반에 가까운 사이버 공격들의 결과가 최소 50만 달러의 피해라는 사실을 밝혀냈다. 시스코가 인터뷰한 기업들 중 8%는 심지어 5백만 달러가 넘는 피해를 입었고, 11%는 250만에서 490만 달러를 잃었다. 이는 간접 비용과 직접 비용을 모두 합한 금액이다. 물론 6천억 달러라는 건 예상액에 불과하다. 맥아피 외에도 사이버 범죄의 전체 피해액을 집계한 조직들이 몇 있지만 다들 제각각의 숫자를 최종 금액으로 올려놓는다. 어떤 건 6천억에 훨씬 못 미치고, 어떤 건 6천억이 작은 숫자처럼 보이게 한다. 왜? 사이버 범죄에 당하더라도 보고를 제대로 하지 않기 때문이다. 해킹 당했다는 사실은 숨기고 싶은 게 경영자의 입장이다. 세상에 알리더라도 최대한 작은 숫자를 선택한다. 이 두 보고서가 언급한 금액의 정확도는 별개로 우리가 확실히 알 수 있는 부분은, 사이버 범죄의 규모가 빠른 속도로 심각한 위험이 되어간다는 것이다. 맥아피의 수석 과학자인 라지 사마니(Raj Samani)는 “사이버 범죄는 경제 성장의 큰 장애물로서 작용한다”고 말한다. 즉 IT 분야에 한정된 문제가 아니라, 세계 경제, 전 세계 공동체 단위에서 다뤄야 할 문제가 되었다는 것이다. “사건이 일어날 때마다 1) 누가 그랬는가와 2) 어떤 기술을 사용했는가에 집중합니다. 사건이 전 세계 경제에 미치는 영향이라는 실제적인 이야기는 아무도 하지 않죠. 그러니까 아직도 사이버 범죄가 ‘남의 일’ 혹은 ‘가상의 일’로 여겨지는 겁니다. 그 증거가 ‘위험한 건 알지만 실질적인 대처는 하지 않는다’는 현상으로 나타나고요. 아직도 ‘해커가 하필 왜 나를 노리겠어?’라고 하는 말을 흔히 들을 수 있습니다.” 사이버 범죄로 인한 피해가 급격히 늘어난 이유 중 하나는 “국가가 지원하는 해킹 단체가, 일반 사이버 범죄자들처럼 금융권을 노리기 시작했기 때문”이다. 또한 토르나 비트코인 등 익명성을 보장해주는 기술의 발전도 주요 요인이다. 현재 인터넷은 항시 ‘악성 행위’로 들끓고 있는 상태인데, 보안 업체에 따라 하루에 800억 번의 취약점 스캐닝과 4000번의 랜섬웨어 공격과 30만개의 새로운 멀웨어 샘플이 발견된다고 집계한 곳도 있을 정도다. 기업의 중요한 기밀과 지적재산이 광범위하게 도난당하고 있다는 사실 역시 피해 규모를 높이는 데 일조한다. 맥아피에 의하면 지적재산 도난 행위는 전체 사이버 범죄의 25%를 차지한다고 한다. 적어도 피해 규모면에서는 말이다. 특허 신청에 들어간 공식이나 화학식부터 국방 기업의 신무기 설계도와 군부대 배치도까지, 큰 피해를 일으키는 정보들은 지금 이 순간에도 빠져나가고 있다. 하지만 안타깝게도 지적재산과 기업 비밀에 관한 해킹 소식이 밖으로 알려지는 일은 극히 드물다. 그렇기에 6천억 달러라는 추산치도 많이 낮춰진 것일 수 있다. “지적재산 도난은 사이버 범죄들 중 가장 은밀히 일어나죠. 랜섬웨어가 시끌벅적한 것과는 상반됩니다. 사실 숨기려고 덮는 기업도 있겠지만, 지적재산이 탈취된 걸 몰라서 보고 못한 기업도 상당수일 겁니다. 경쟁사에 민감한 정보가 될 수 있어 올바르지 않은 피해액을 공개하기도 하고요. 사이버 범죄 피해에 대한 ‘보고 의무’와 ‘방법론’을 다시 한 번 정립해야 할 필요가 있습니다. 그래야 피해 규모를 더 정확히 파악할 수 있고, 그래야 이게 단순 컴퓨터 박사들의 문제가 아님을 느낄 수 있게 됩니다.” 사마니는 “유럽이 사이버 범죄 피해가 가장 큰 것으로 집계되지만, 유럽만큼 사이버 공격 피해에 대한 보고 체계가 잘 되어 있는 곳도 없다는 걸 생각해야 한다”고 지적한다. 시스코 역시 보고서를 통해 사이버 공격으로 인한 금전적 피해가 늘어나고 있다고 밝혔다. 그리고 그 이유에 ‘공급망 공격’을 추가시켰다. 수년 간의 보안 사고로 인해 기업들이 자기 자신을 지키는 데에는 어느 정도 능숙해졌는데, 기업과 기업 사이의 공간이 여전히 취약하게 남아있다는 걸 지적한 것이다. 시스코는 “공급망을 겨냥한 공격이 보다 거세지고 복잡해졌다”며 “이제 기업들이 ‘자기 영역’ 밖의 안전문제도 고려해야 하는 때가 됐다”고 알렸다. 시스코의 보고서에 의하면 CISO의 25%가 약 11~20가지 종류의 보안 솔루션을 사용하는 것으로 나타났다. 16%는 21~50가지를 사용하고 있었다. 보안이 보다 복잡해지고 있다는 것으로, 시스코는 “방어체계가 복잡해진다는 건 취약점이 늘어난다는 뜻”이라고 해석한다. 이 역시 사이버 범죄의 피해가 증가하는 이유다. 시스코의 보안 사업부 아키텍트인 프랑크 아르테스(Franc Artes)는 “공격자들의 기술 개발 속도가 방어자의 그것보다 빠르다”며 “보안보다는 사업 운영에 관한 기술(operational technology)에 더 관심을 갖기 때문”이라고 설명한다. 이런 현상의 뿌리에는 속도와 생산성이 우선시 되고 있는 일반적인 기업 문화가 있다. “70%의 응답자가 사업 운영 기술 인프라로부터 공격이 들어올 것이라고 예상하고 있었습니다. 20%는 ‘지금은 아니지만 언젠가는 그렇게 될 것’이라고 답했고요. 뭐가 문제인지 알고는 있어요. 다들 오래된 습관을 버리지 못하는 것뿐입니다.” [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
