• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중소기업 임직원들, 여전히 “난 공격 안 받을 거야” 2018.08.27

중소기업, 중요 자산 가지고 있으면서도 대기업 가는 통로도 돼
미국은 NIST가 중소기업 돕도록 하는 법 통과시켜

[보안뉴스 문가용 기자] 사이버 보안에 대한 대중들의 인식이 높아져가고 있지만 중소기업 임직원들은 아직도 마음이 편하다는 연구 결과가 나왔다. 중소기업 사장님들의 51%가 “난 사이버 범죄자들의 표적이 아니다”라는 생각을 가지고 있다고 나타난 것이다.

[이미지 = iclickart]


또한 중소기업 임원들의 76%가 아직 다중 인증 장치를 기업용 이메일에 도입하지 않은 것으로도 나타났다. 이러한 상황을 보안 업체 스위치패스트 테크놀로지스(Switchfast Technologies)가 찾아내 발표했다.

“솔직히 말하자면 다중 인증만이 아니라 그보다 더 오랫동안 기업들이 사용해온 모바일 관리 솔루션인 MDM에 대한 도입률도 중소기업은 그리 높지 않습니다.” 스위치패스트의 CTO인 닉 바르가스(Nik Vargas)의 설명이다. “그러나 단 한 번의 침해 사고로 중소기업은 13만 달러의 손해를 볼 수 있습니다. 어마어마한 돈이죠.”

그런 가운데 미국 정부는 중소기업에 대한 사이버 보안 지원을 새롭게 시작했다. 최근 트럼프 대통령은 NIST가 소기업들을 위한 사이버 보안 지원을 해야 한다는 법을 통과시킨 것이다. 이것을 NIST 소기업사이버보안법이라고 하는데, 앞으로 NIST는 이 법에 따라 소기업들을 위한 사이버 보안 프레임워크를 새로 만들 것으로 보인다.

“연방 정부가 중소기업들의 사이버 보안 상태를 향상시키기 위해 움직임을 취했다는 건 굉장히 긍정적인 일입니다.” 바르가스의 설명이다. “중소기업들은 그 자체로 귀중하고 값비싼 정보가 저장된 곳이기도 하거니와, 대기업으로 들어가는 통로가 될 수 있기 때문에 대단히 주의 깊게 보호해야 하는 대상들입니다.”

중소기업의 보안은 사실 그리 대단하지 못한 것이 사실이다. 2016년 포네몬 인스티튜트가 발표한 자료에 의하면 미국 내 약 3천만 개의 중소기업들이 침해 사고를 경험한 바 있다고 나온 것이다. 그리고 오늘 발표된 스위치패스트의 보고서에도 아직 중소기업의 보안 상태가 그리 건강치 못하다고 나온다.

미국의 국가 사이버 보안 연맹(National Cyber Security Alliance)의 중소기업 교육 책임자인 다니엘 엘리엇(Daniel Eliot)은 “앞으로 중소기업의 보안 교육을 위해 NIST가 발표할 중소기업용 보안 프레임워크 가이드라인을 참조할 계획”이라며 기대감을 나타냈다. “보안을 중소기업의 눈높이에 맞추는 건 예전부터 필요했던 일입니다. 지금이라도 그 조치가 취해졌다는 게 반갑습니다.”

NIST의 사이버보안 프레임워크는 중소기업들이 보안 위험을 평가하고, 이에 대응하는 법과 데이터를 보호하는 법을 가이드라인으로 발표할 예정이다. NIST의 케빈 스타인(Kevin Stine)은 “눈높이를 맞춘다며 특정 제품이나 서비스를 권장하는 내용은 포함시키는 시도를 하지는 않았다”고 설명한다.

“사실 NIST는 2000년대 초반부터 중소기업들을 지원해왔습니다. 그래서 이번에 통과된 법이 더한 부담감으로 다가오거나, 특별히 예산이 더 들 거라고 보지 않습니다. 추가 예산 배정도 없었고요. 다만 최근 NIST 내부에서는 보안 가이드라인과 같은 문건을 만들 때 기존 텍스트 문서가 아니라 그래픽 및 영상 클립으로 제작하는 문제를 검토하고 있습니다. 그야 말로 눈높이를 맞추기 위해서죠.”

보안 업체 소닉월(SonicWall)의 CEO인 빌 코너(Bill Conner)는 “이번 법 통과는 희소식”이라며 “드디어 정부가 중소기업 보호의 중요성을 인지하게 된 것 같아 기쁘다”고 말한다. “지금 중소기업들은 스스로를 방어할 준비가 전혀 되어 있지 않습니다. 그러나 그들은 미국 사회에서 굉장히 중요한 위치를 담당하고 있죠.”

바르가스는 “이제 중소기업 사업주들도 보안 전문가가 되어야 한다”고 주장한다. “왜냐하면 보안 전문가들을 고용하기에는 너무 비싸고, 사내 직원들 전부가 안전한 행동을 하도록 만들기 위해서 스스로가 설득해야 하기 때문입니다. 그냥 규정이 이러니 이거 해라 저거 해라 하면 아무도 설득하지 못합니다.”

3줄 요약
1. 중소기업 사장님들, 아직도 “난 공격 대상이 아냐”라고 생각하고 있음.
2. 중소기업은 값비싼 정보 가지고 있으면서, 대기업으로 가는 통로가 되기 때문에 대단히 중요.
3. NIST, 곧 중소기업 위한 사이버 보안 프레임워크 발표할 것. 보안 전문가들 기대감 큼.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>