기업 48%, 소셜 엔지니어링 공격 피해 경험

 세계적인 인터넷 보안 선두기업 체크포인트(www.checkpoint.com)가 최근 소셜 엔지니어링 공격에 대해 실시한 조사 결과를 발표했다.

이 조사 결과에 따르면, 응답 기업의 48%가 소셜 엔지니어링 공격으로부터 피해를 입었으며, 지난 2년 간 25건 이상의 공격을 경험한 것으로 나타났다. 또한 보안 사고 1 건당 2만5천 달러에서 10만 달러 이상의 피해가 발생한 것으로 나타났다.

또한, 체크포인트는 이번 ‘정보 보안에 대한 소셜 엔지니어링의 위협’ 보고서를 통해 피싱과 소셜 네트워킹 툴이 가장 일반적인 소셜 엔지니어링 공격의 소스라고 밝혔다. 이러한 소셜 엔지니어링 공격의 빈도와 피해액을 최소화하기 위해 기업들은 보안 기술과 사용자 인식을 강화해야 한다고 조언했다.

일반적으로 소셜 엔지니어링 공격은 함축된 지식과 중요한 정보에 대한 접근을 위해 사람을 목표로 한다. 오늘날 해커들은 대상 조직의 가장 약한 부분을 찾기 위해 다양한 기술과 소셜 네트워킹 애플리케이션을 이용하여 개인에 대한 사적인 정보와 직업 정보들을 모은다.

전 세계적으로 850명 이상의 IT 및 보안 전문가를 대상으로 실시한 이번 조사에 따르면, 86%의 기업들은 소셜 엔지니어링을 주요 관심사항으로 두고 있으며, 51%의 응답자들은 금전적인 이득이 가장 우선적인 공격 동기이며, 이어서 경쟁 우위와 복수라고 답변했다.

체크포인트코리아 우청하 지사장은 “이번 조사 결과는 조사에 참여한 거의 절반에 가까운 기업들이 소셜 엔지니어링 공격을 경험한 것으로 알고 있다고 답변했지만, 41%는 불확실하다고 말했다. 이러한 보안 인식의 부족도 똑같이 문제가 된다”고 말했다.

소셜 네트워킹 기술은 개인의 취약점을 이용하고 있으며, 웹 2.0과 모바일 컴퓨팅의 확산으로 인해 개인에 대한 정보 획득이 더 쉬워지고, 소셜 엔지니어링 공격 실행의 새로운 도입점이 만들어지고 있다.

회사의 보안 정책에 익숙하지 않은 신규 직원(60%), 계약직원(44%)들이 소셜 엔지니어링 기술에 가장 허용되기 쉬운 것으로 여겨졌다. 또한, 보조 인력, 인사 담당자, IT 담당자들도 위험군으로 분류되었다.

체크포인트코리아 우청하 지사장은 “최근에는 사람이 보안 프로세스에서 중요한 부분이 되었다. 바로 범죄자들에 의해 오도되거나 실수로 멀웨어 감염이나 의도하지 않은 데이터 유출 등이 발생할 수 있기 때문이다. 직원들이 방어의 최일선에 있어야 함에도 불구하고, 많은 조직들이 사용자들의 참여에 관심을 두지 않고 있다”며 “사용자들의 보안 인식을 높일 수 있는 좋은 방법은 그들을 보안 프로세스에 참여시키고 실시간으로 보안 사고를 예방하고 치료하도록 권한을 주는 것”이라고 밝혔다.

최근 IT 환경에서 요구되는 보안 수준을 달성하기 위해 보안은 서로 다른 기술들의 집합으로부터 하나의 효율적인 비즈니스 프로세스로 바뀔 필요가 있다. 체크포인트 3D 시큐리티는 기업들이 기술을 넘어서는 보안 청사진을 실행하도록 하며, 직원들을 프로세스에 참여시킴으로써 직원들을 교육시킬 수 있다.

체크포인트코리아 우청하 지사장은 “직원들이 실수를 하거나 조직 내에서 위반 또는 위협을 초래할 수 있는 것처럼, 그들은 위험을 완화시키는데 있어서도 큰 역할을 할 수 있다”고 말했다.

직원들이 회사의 네트워크와 데이터, 애플리케이션에 접속할 때 체크포인트의 독특한 유저체크(UserCheck)™ 기술을 통해 회사의 정책에 대해 직원들에게 알리고 교육할 수 있다. 이를 통해 소셜 엔지니어링 기술과 연관된 위험과 비용 및 빈도를 최소화할 수 있다.

보고서 주요 내용

l  소셜 엔지니어링 위협은 실제 상황 – 86%의 IT 및 보안 전문가들은 소셜 엔지니어링과 연관된 위험을 인지하거나 잘 알고 있다. 약 48%의 기업들은 지난 2년 간 25차례 이상의 소셜 엔지니어링 공격 피해자였다.

l  값비싼 소셜 엔지니어링 공격 – 서베이 응답자들이 각각의 보안 사건의 비용을 평가해본 결과 2만5천 달러에서 10만 달러 이상에 이르렀다. 이 비용에는 비즈니스 붕괴, 고객 지출, 매출 손실, 브랜드 손상 등과 연관된 것도 포함된다.

l  소셜 엔지니어링의 가장 일반적인 방법 – 피싱 이메일이 47%를 기록하며 가장 일반적인 소셜 엔지니어링 공격 방법으로 나타났다. 이어서 개인정보 및 직업 정보를 노출시키는 소셜 네트워크 사이트가 39%, 보안이 되지 않는 모바일 기기가 12%를 나타냈다.

l  소셜 엔지니어링 공격의 주요 동기는 금전적 이득 – 금전적 이득이 소셜 엔지니어링 공격의 가장 빈번한 이유였으며, 이어서 지적재산권 정보에 대한 접속이 46%, 경쟁 우위가 40%, 복수를 위해서가 14%를 나타냈다.

l  소셜 엔지니어링 공격을 가장 받기 쉬운 사람은 신규 직원 – 응답자들은 신규 직원들이 소셜 엔지니어링 공격에 가장 위험하게 노출돼 있다고 생각했다. 이어서 계약직 지원(44%), 임원 비서(38%), 인사부(33%), 비즈니스 리더(32%), IT 담당자(23%) 순이었다. 조직에서 어떤 역할을 하든 적절한 교육 실시와 사용자 인식은 모든 보안 정책에서 중요한 요인이다.

l  소셜 엔지니어링 공격을 예방하기 위한 사전 교육 부족 – 34%의 기업들은 소셜 엔지니어링 공격을 방지하기 위한 어떠한 직원 교육이나 보안 정책도 보유하고 있지 않았다. 19%의 기업들은 계획만을 가지고 있는 것으로 나타났다.

이번 조사는 미국과 영국, 캐나다, 독일, 호주, 뉴질랜드 등의 IT 및 보안 전문가 850여 명을 대상으로 2011년 7월과 8월에 실시됐다. 조사 대상은 금융, 제조, 국방, 소매, 헬스케어, 교육 등 다양한 산업군과 다양한 규모의 기업으로부터 선정되었다.

체크포인트코리아 우청하 지사장은 “보안은 단지 IT 관리자만의 문제가 아니라, 모든 직원들의 역할 중 일부가 되어야 한다. 복잡해지고 타겟화된 위협의 증가로 인해 사용자 참여는 보안 기술을 더 스마트하고 효과적으로 만든다”고 말했다.