‘중소기업은 사이버 표적 공격 대상 아니다’, 기본적 인터넷 안전조치도 미흡
전세계 1,900개 기업을 대상으로 진행된 이번 조사에서 중소기업들은 사이버 보안 위협의 심각성은 잘 인지하고 있는 반면 스스로를 사이버 범죄의 표적이 아니라고 여기기 때문에 정보 보호를 위한 보안 조치에는 소홀한 것으로 나타났다.
이번 조사에 따르면 중소기업의 절반 이상은 분산서비스거부 공격(DDoS, Distributed Denial of Service), 단축 URL 서비스, 표적 공격, 키스트로크 로깅, 업무환경에서 스마트폰 사용으로 인한 위험 등 비즈니스에 영향을 미치는 다양한 보안 위협을 인지하고 있는 것으로 조사됐다.
구체적으로 응답기업의 54%는 악성코드가 생산성 손실을 야기한다고 답했고, 36%는 해커가 기밀 정보에 접근할 가능성이 있다고 답했다. 또한 응답기업들은 표적 공격이 비즈니스에 악영향을 미칠 수 있다고 밝혔는데, 이중 46%가 매출 하락 가능성을, 20%가 고객 이탈 가능성을 지목했다.
대다수 중소기업들이 사이버 보안 위협의 심각성은 잘 인지하고 있는 반면 스스로는 기업 규모가 작기 때문에 사이버 공격을 당할 가능성이 적고, 오히려 규모가 큰 대기업들이 사이버 공격을 걱정해야 한다고 여기고 있었다.
하지만 시만텍닷클라우드(Symantec.cloud)에 따르면 2010년 이후 표적공격의 40%는 중소기업을 겨냥하고 있고, 대기업을 겨냥한 표적공격은 28%에 불과했다. 이는 중소기업들이 표적공격의 위험을 매우 과소평가하고 있다는 반증이다.
이처럼 중소기업들이 스스로를 공격대상으로 여기지 않기 때문에 상당수가 정보보호를 위한 기본적인 예방조치에 소홀한 것으로 나타났다. 예를 들어 응답기업의 56%는 DDoS 공격으로부터 안전하다고 생각하지만 61%는 DDoS 공격시 문서화된 대응방안이나 계획조차 없었다. 응답기업의 4분의 1(28%) 이상이 DDoS 공격은 대기업에서만 발생하는 보안 위협이라고 밝히기도 했다.
또한 응답기업의 3분의 2가 로그인 정보 권한자를 제한하고 있는 반면에 63%는 온라인 뱅킹에 이용되는 시스템을 보호하지 않고 있는 것으로 드러났다. 또한 9%는 아무런 예방조치도 취하지 않고 있는 것으로 나타났다. 특히, 응답기업의 절반이 넘는 61%가 사내의 모든 데스크톱 PC에 안티바이러스 제품을 설치하지 않았으며, 67%는 웹 기반 보안이나 보안 서비스를 사용하지 않은 것으로 조사돼 중소기업의 허술한 보안 실태를 단적으로 보여줬다.
이 보고서에 따르면 중소기업들이 사이버 공격으로부터 기업의 핵심 정보를 안전하게 보호하기 위한 기본 조치들은 다음과 같다.
▲ 직원 교육: 인터넷 보안 준수사항을 개발하고 인터넷 안전, 보안 및 최신 위협에 관해 직원 교육을 실시한다. 또한 교육을 통해 정기적인 비밀번호 변경 및 모바일 기기 보안의 중요성을 알린다.
▲ 보안 실태 점검: 중소기업에 있어서 단 한번의 데이터 유출도 경제적 파산으로 이어질 수 있다. 따라서 보호해야 할 정보를 파악하고, 적절한 보호 조치를 마련하기 위해 전사적인 보안 상태 점검이 필요하다.
▲ 적극적인 보안 조치: 적극적인 자세로 보안 대책을 마련한다. 이 때 비밀번호 정책, 엔드포인트 보호, 이메일 및 웹 자산 보안, 암호화 등을 고려한다. 또한 온프레미스와 호스티드 서비스 중 조직의 요구사항에 가장 적합한 서비스가 무엇인지 평가해야 한다.
김정은 기자
jekim92@itdaily.kr