중견/중소기업이 사이버 공격의 주요 표적이 되는 5가지 이유 백서
목차 머리말 3 지능형공격 :. 대기업만이아닙니다 5 첫번째이유 : 여러분의데이터는생각보다더많은가치가있습니다 6 두 번째이유 : 사이버공격은공격자들에게낮은위험대비높은수익을제공합니다 6 세 번째이유 : 중견 / 중소기업은상대적으로쉬운표적입니다 7 네번째이유 : 많은중견 / 중소기업은공격에무방비합니다. 8 다섯번째이유 : 대부분의중견 / 중소기업용보안툴은오늘날의공격에대적할수없습니다 8 결론및권장사항 9 FireEye 소개 9 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 2
머리말 유명브랜드회사들에대한침해가머리기사를장식하는동안, 사이버공격자들은점점더많은중견 / 중소기업을표적으로삼고있습니다. 하나의중견 / 중소기업은사이버공격을할가치가있는표적처럼보이지않습니다. 그러나전체적으로보면, 중견 / 중소기업은보물창고와같습니다. 중견 / 중소기업은전세계비즈니스의약 90% 를차지하고있습니다. 1 중견 / 중소기업은 5 개의새로운일자리중 4 개를창출하고있습니다. 2 그리고국민소득 (GNP) 의최대 33% 를발생시킵니다. 3 중견 / 중소기업은대기업들만큼가치가있는사이버표적일수있으나, 공격자들에 대한강력한보안태세를갖추기위한자원이나경험이부족합니다. 그러나경제에대한중견 / 중소기업의필수적인역할을감안할때, 점점더많은사이버공격에직면하는것은놀라운일이아닙니다. 버라이즌 2015 년데이터침해조사보고서에의하면, 중견 / 중소기업 ( 직원이 1,000명미만인기업 ) 은대기업보다더많은침해를당했습니다. 4 "' 우리회사는너무규모가작아서표적이되지않는다 ' 는주장은이치에맞지않는다 " 고버라이즌보고서는언급했습니다. 저희는대규모의다국적기업에서부터직원이전혀없는소기업에이르기까지첩보활동에의해피해를입은기업들을볼수있습니다. 5 1 Elizabeth Gasiorowski-Denis (ISO). The Big Business of Small Companies( 작은회사들의큰비즈니스 ). 2015 년 3 월 4 일. 2 세계은행. Small and Medium Enterprises( 중소기업 ). 2015 년 9 월 1 일. 3 동일문서 4 버라이즌. 2015 Data Breach Investigations Report(2015 년데이터침해조사보고서 ). 2015 년 5 월. 5 버라이즌. 2013 Date Breach Investigations Report(2013 년데이터침해조사보고서 ). 2013 년 5 월. 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 3
데이터침해의비용은중소기업을완전히폐업시킬수있습니다. 워싱턴주시애틀에소재한한중견 / 중소기업부동산투자및개발회사는 2015 년에기업주의이메일계정이성공적으로침해되어불과몇시간내에 100만달러가넘는손실을입었습니다. 공격자들은기업주의이메일에접속한후에그와경리직원사이에주고받은모든통신문을읽었습니다. 이러한통신문은공격자들이이회사의은행계좌를성공적으로탈취하고모든수익금을중국에개설된계좌로송금하기위해필요한모든정보를제공했습니다. 이회사는자금을전혀회수하지못했습니다. 6 데이터침해의비용은중견 / 중소기업을완전히폐업시킬수있습니다. 2015 년포네몬연구소보고서에의하면, 데이터침해는미국회사들에게평균적으로침해당 650만달러의비용을발생시켜, 2014년의 585만달러보다증가했습니다. 이비용은유출된기록당 217달러에달하고, 전년도의 201달러보다증가했습니다. 7 그리고이러한수치에는표적에대해발생가능한책임문제또는데이터침해가기업의평판에입힐수있는막대한손해는포함되지않습니다. 포네몬연구소는기업의혼란만으로도침해당 937,000 달러의비용이발생할 수있다고추정합니다. 8 이수치는대기업의경우견딜수있으나, 많은중견 / 중소기업에는큰피해를줄것입니다. 이백서는표적공격에대해설명하고, 사이버공격자들이중견 / 중소기업을목표로 삼는 5 가지이유를검토합니다. 6 John Ydstie (NPR: All Tech Considered). When Cyberfraud Hits Businesses, Banks May Not Offer Protection( 기업이사이버사기로피해를입을때, 은행이보호를제공하지않을수있습니다 ). 2015 년 9 월 15 일 7 포네몬연구소. 2015 Cost of Data Breach Study: Global Analysis(2015 년데이터침해비용연구 : 글로벌분석 ). 8 동일문서. 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 4
지능형공격 : 대기업만이아닙니다 뉴스머리기사는대기업에대한대규모의공격 ( 수백만명의고객에게피해를입히는엄청난공격 ) 을강조하는경향이있습니다. 그러나대부분의공격들은실제로중견 / 중소기업을표적으로삼습니다. 그리고상대적으로비교해볼때, 보통대기업에대한공격보다훨씬큰비용을파생시킵니다. 과거의광범위한무차별공격과는달리, 오늘날의사이버공격은자금이풍부하고, 잘조직되어 있고, 타겟화되어있습니다. 현재의공격은민감하고상세한개인정보, 지적재산, 인증자격 증명, 내부자정보등과같은가치있는데이터들을획득하는데중점을둡니다. 사이버위협공격자들은보통조기정찰을통해서기초작업을합니다. 따라서공격자들은 무엇을발견하고어느곳을관찰해야하는지알고있으며, 대부분의경우, 사이버방어시스템에 들어있는취약한링크를찾아내었습니다. 그곳에서부터, 각공격은보통다수의위협경로 ( 웹, 이메일, 파일, 엔드포인트 ) 를사용하고 여러단계에서전개합니다. 계산된단계를통해서, 악성코드가침입하고, 침해된네트워크를 빠져나가고, 가치있는데이터를유출시킵니다. 설상가상으로, 사이버공격자들은보통침해된중견 / 중소기업네트워크를사용하여다른표적에 대한공격을시작합니다. 한추정에의하면, 30,000 개나되는많은웹사이트들이매일감염되며, 그중 80% 가등재된기업입니다. 9 중견 / 중소기업을표적으로삼는것은생각보다더타당성이있습니다. 사이버범죄그룹은놀랄 만큼효율적입니다. 그들은가장많은이익을얻는곳이대부분중견 / 중소기업이기때문입니다. 다음의섹션에서는중견 / 중소기업이특히표적이되는 5 가지이유를요약해서설명합니다. 중견 / 중소기업을표적으로삼는것은생각하는것보다더타당합니다. 사이버범죄그룹은놀랄만큼효율적입니다. 그들은가장많은이익을얻기를원합니다. 9 Alastair Stevenson (V3). Hackers target 30,000 SME websites per day to spread malware( 해커들은악성코드를전파하기위해매일 30,000 개의 SME 웹사이트를표적으로삼습니다 ). 2013 년 6 월. 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 5
첫번째이유 : 사이버공격은공격자들에게저위험및고수익을제공합니다. 저위험, 고수익 인터넷은불과몇십년전까지상상할수도없었던방법으로전세계를연결했습니다. 인터넷은 원격시장을열었고, 수익성이좋은틈새시장을찾아내었으며, 비즈니스를하는전혀새로운 방법을개발했습니다. 그러나이러한발전의어두운측면은인터넷을통해전세계의어디에서든지공격이 가능해졌다는것입니다. 공격자들은처벌은커녕잡기도어렵습니다. 또한많은경우, 자국 정부로부터후원을받습니다. 10 10 % 경찰에신고된사이버범죄의 10% 만이유죄판결을받았습니다. 지능형악성코드는일반적으로흔히사용하는보안툴에의해탐지되기전에몇주또는몇달동안감염된시스템에상주합니다. 11 어떤악성코드는데이터를유출한후에조용히청소를하여흔적을남기지않고도주합니다. 12 다른악성코드는우선거의흔적을남기지않았는지확인하고, 단지컴퓨터메모리에서실행하여침해된컴퓨터의스토리지에아트팩트를남기지않습니다. 13 거래상대방인대기업보다지능형위협을탐지및대응하기위한능력이부족한중견 / 중소기업에대해서는이러한요인들이확대됩니다. 얻을것은많고잃을것이적은사이버공격자들은공격을수행할강력한동기가있습니다. 출처 : 국제연합마약범죄사무소. 공격자들은처벌은커녕잡기도어렵습니다. 또한많은경우에모국정부로부터후원을받습니다. 두번째이유 : SME 는쉬운표적입니다 중견 / 중소기업은대기업과동일한사이버위협에직면하고있으나, 그러한위협에대처할예산이 부족합니다. 포네몬연구소의 2013 년 11 월설문조사에의하면, 40% 가넘는중견 / 중소기업이 적절한 IT 보안예산을책정하지않았습니다. 14 최고정보보안책임자, 최고정보책임자 (CIO) 등과같은한가지직무를전담하는임원이있는대기업과는달리, 중견 / 중소기업의 IT 임원은일반적으로다양한여러가지직무를수행합니다. 포네몬설문조사에참여한중견 / 중소기업의 26% 만이강력한보안태세를유지하기위해충분한사내전문기술을보유하고있다고자신했습니다. 15 10 미국국방부. Annual Report to Congress: Military and Security Developments Involving the People s Republic of China 2013( 의회에대한연례보고서 : 2013 년중화인민공화국과관련된군사및보안진전상황 ). 2013 년 5 월. 11 맨디언트컨설팅 (FireEye 계열사 ). M-Trends 2016 년 2016 년 2 월 12 Lucian Constantin (IDG 뉴스서비스 ). Flame authors order infected computers to remove all traces of the malware ( 플레임작성자가감염된컴퓨터에명령하여악성코드의모든흔적을제거 ). 2012 년 6 월. 13 Ned Moran, Sai Omkar Vashisht 등 (FireEye). Operation Ephemeral Hydra: IE Zero-Day Linked to DeputyDog Uses Diskless Method( 오퍼레이션이페머럴하이드라 : 디퓨티도그에연결된 IE 제로데이가무디스크방법을사용 ). 2013 년 11 월. 14 포네몬연구소. The Risk of an Uncertain Security Strategy: Study of Global IT Practitioners in SMB Organizations ( 불확실한보안전략의위험성 : 중소기업조직의글로벌 IT 전문가에대한연구 ). 2013 년 11 월. 15 동일문서. 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 6
설문조사에참여한중견 / 중소기업의거의 3 분의 1 은 CIO 를 IT 보안문제에대한조언자라고 생각하나, 다른 3 분의 1 은 어떤한부서가 IT 보안우선사항을결정하지않는다 고 답변했습니다. 16 많은중견 / 중소기업은대기업들이사용하는다계층 " 심층방어 " 보안시스템을설치할자금이 부족합니다. 그리고자금이부족하지않더라도, 이러한방어시스템의대부분은효과가 없습니다. ( 세번째이유를참조하십시오.) 또한, 많은중견 / 중소기업은강력한보안절차와정책이부족합니다. 뱅크오브더웨스트가 후원하는 2013 년 9 월설문조사에의하면, 소기업주의 36% 만이데이터보안정책을보유하고 있습니다. 17 대부분의사이버공격자들은가장저항이적은경로를사용합니다. 많은경우, 이것은침해에 대비하거나방어할준비가안된기업들을표적으로삼는다는것을의미합니다. 세번째이유 : 중견 / 중소기업의보안툴의대부분은오늘날의공격에대적할수없습니다대부분의중견 / 중소기업이사용하고있는방어시스템은오늘날의지능형공격에대처하기위한기술이갖추어져있지않습니다. 방화벽, 차세대방화벽, 침입방어시스템 (IPS), 안티바이러스 (AV) 소프트웨어와게이트웨이는중요한보안방어시스템으로계속사용됩니다. 그러나이러한시스템들은지능형공격을저지하는데대단히비효과적입니다. 96 % 출처 : FireEye 실세계연구에서공격자들은 96% 의다계층보안시스템을우회했습니다. 이러한기존의기술들은 URL 블랙리스트와시그니처같은접근방법에의존합니다. 당연하게도, 이러한접근방법은제로데이취약점을이용하는지능형공격을저지할수없습니다. IPS 또는 AV 프로그램은새로운익스플로잇의시그니처가없으면공격을저지할수없습니다. 매우동적인악성 URL을사용하는경우, URL 블랙리스트는그러한 URL을삭제하지않습니다. 더욱이, 많은지능형공격들은이메일과네트워크익스플로잇의조합이므로, 독립형솔루션과같은이러한기술들이공격을저지하기가더어려워집니다. 대부분의방어시스템은알려진공격을저지할수있으나, 알려지지않은지능형공격은방어할 포네몬설문조사에참여한중견 / 중소기업의 26% 만이강력한보안태세를유지하기위해충분한사내전문기술을보유하고있다고자신했습니다. 16 포네몬연구소. The Risk of an Uncertain Security Strategy: Study of Global IT Practitioners in SMB Organizations( 불확실한보안전략의위험성 : 중소기업조직의글로벌 IT 전문가에대한연구 ). 2013 년 11 월. 17 Harris Interactive. Fighting Fraud: Small Business Owner Attitudes about Fraud Prevention and Security( 사기와의싸움 : 사기방어및보안에대한중소기업소유주의태도 ). 2013 년 9 월. 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 7
방화벽, 차세대방화벽, 침입방어시스템 (IPS), AV 소프트웨어와게이트웨이는중요한보안방어시스템으로계속사용됩니다. 그러나이러한시스템들은지능형공격을저지하는데대단히비효과적입니다. 수없습니다. 버라이즌데이터침해조사 2015 년에서발췌 공격방법은중견 / 중소기업 ( 직원이 1,000 명미만인기업 ) 에대한 공격을포함하여점점더다양해지고 있습니다. 이러한트렌드는위협 공격자들이필요에따라상황에 적응하여동기를충족시킨다는것을 나타냅니다 ( 그리고금전적인욕구를 추구하는트렌드는곧사라지지않을 것입니다 ). 20 네번째이유 : 많은중견 / 중소기업이경계태세를늦춥니다통계는명확합니다. 중견 / 중소기업은대기업보다사이버공격에직면할가능성이더낮은게아니라오히려더높습니다. 그리고포네몬설문조사에참여한중견 / 중소기업의 60% 는사이버공격이그들의조직에큰위험이될것이라고생각하지않습니다. 그리고 44% 는강력한보안이우선사항이라고생각하지않습니다. 18 사이버공격이점점더증가함에도불구하고, 77% 의중견 / 중소기업은사이버공격으로부터안전하다고믿고있어, 그중많은기업들이보안에대한잘못된인식을가지고조직을운영하고있다는것으로나타납니다. 19 많은기업들은단순히유출할가치가있는자산들이없다고생각합니다 ( 다섯번째이유를 참조하십시오 ). 다른기업들은오늘날의공격이얼마나많고정교한지를모르고있습니다. 어떤경우이든결과는마찬가지입니다. 기업들은취약한상태로남아있습니다. 다섯번째이유 : 여러분의데이터는생각보다더많은가치가있습니다 대부분의기업에는비밀로유지하려는정보가있습니다. 이러한정보는고객들의신용카드번호일수도있습니다. 그리고직원의개인데이터일수도 있습니다. 또는, 부동산회사의사례처럼, 기업은행계좌에대한키와같은중요한것일수도 있습니다. 문제는사이버공격자들이이러한기업들을표적으로삼고있는지여부가아니라, 어느 공격자들이이러한공격을하고무엇을추구하는지를파악하는것입니다. 18 Harris Interactive. Fighting Fraud: Small Business Owner Attitudes about Fraud Prevention and Security( 사기와의싸움 : 사기방어및보안에대한중소기업소유주의태도 ). 2013 년 9 월. 19 National Cyber Security Alliance. America s Small Businesses Must Take Online Security More Seriously( 미국의중소기업은온라인보안을더심각하게고려해야합니다 ). 2013 년 9 월. 20 버라이즌. 2015 Data Breach Investigations Report(2015 년데이터침해조사보고서 ). 2015 년 5 월. 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 8
자체적으로가치있는데이터를보유하고있는것에추가하여, 대부분의중견 / 중소기업은대기업들과거래를합니다. 보통, 이러한거래에는파트너들의컴퓨터시스템에대한긴밀한연계, 또는통합된공급망의일부로서민감한데이터및지적재산에대한접근이포함됩니다. 사실, 이것이바로 2012년에사이버공격자들이표적의네트워크에접근한방법이며, 그결과로머리기사를장식하는침해를당했습니다. 이것을비즈니스의 6 단계분리이론으로생각하십시오. 어떤기업이궁극적인표적이 아니더라도 ( 그리고직접적인파트너가표적이아니더라도 ), 몇단계만건너뛰면가치있는표적과 연결될수있습니다. " 공격자가찾는표적은당신의데이터가아닐수도있습니다 " 라고버라이즌보고서는 언급했습니다. 한조직이첩보활동의집중목표범위내에있는다른조직들과거래를하는 경우, 그들의환경에피벗포인트를만들수도있습니다. 중견 / 중소기업은스스로를작거나중간크기의기업이라고생각할수있으나, 실제로는훨씬더 큰기업과연결되어있습니다. $ 3.8M 데이터침해에대한평균총비용 출처 : 포네몬연구소 결론및권장사항 대부분의사이버공격자들은매우합리적입니다. 공격자들은중견 / 중소기업을표적으로삼으려는강력한동기가있습니다중견 / 중소기업이소유하고있는데이터의가치를감안할때, 이러한기업들은위협을무시할수도없고비효과적인방어시스템에시간과비용을낭비할수도없습니다. 다음은증가하는데이터침해의재앙으로부터기업을방어하는 3 가지주요단계입니다. 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 9
여러분의기업이표적이라고가정하십시오중견 / 중소기업에대한사이버공격은계속증가하고있습니다. 2014년에, 공격자들의 77% 가중견 / 중소기업을대상으로삼았습니다. 21 중견 / 중소기업의데이터는가치가있습니다. 그리고더규모가크고주목을받는비즈니스파트너와연계되어있을가능성이높습니다. 오늘날의지능형공격은대부분의보안툴을쉽게우회할수있다는것을감안할때, 중견 / 중소기업은이미침해되었으나아직모르고있을수도있습니다. 사이버공격자들의집중목표가중견 / 중소기업이라고가정하면, 피할수없는공격에스스로더잘대비할수있습니다. 가장가치있는자산과파트너와의연결을식별하십시오. 경호원을고용하면서보호해야할사람이누군지말해주지않는경우는없을것입니다. 이단계는듣는것보다더까다로울수있습니다. 여러분에게평범하게보이는정보 ( 말하자면, 비즈니스를위해접촉하는사람의비서이름 ) 가중요한파트너를침해하는스피어피싱이메일을구축하는데도움을줄수있습니다. 잠재적가치가있는데이터, 그리고그러한데이터가자금이풍부하고, 고도로조직된공격자들에대해취약할수있는이유를확인하십시오. 이중요한단계에서는보안시스템에서가장취약한링크를발견하고자산을보호하기위해해야할일들을강조합니다. 오늘날의지능형공격에대처하기위해구축된보안플랫폼을설치하십시오. 사이버범죄자들의공격능력과미처준비되어있지않은매우낙후된보안방어시스템사이에격차가있어, 중견 / 중소기업들은그어느때보다도더취약할수있습니다. 표준보안제품 ( 기존및차세대방화벽, IPS, 게이트웨이, AV 소프트웨어 ) 을끊임없이업데이트하더라도, 신속하게이동하고, 지속적으로진화하는오늘날의위협을따라잡을수없습니다. 이러한대부분의제품들의데이터베이스가최근에알려진악성코드와고위험웹주소를포함하도록업데이트될때까지는공격자들이이미새롭고탐지할수없는공격을개발했습니다. 중견 / 중소기업은근본적으로다른접근방법을취해야합니다. 중견 / 중소기업은공격자들이데이터를유출하고, 비즈니스에손실을입히고, 평판을훼손시키기전에알려졌거나알려지지않은위협을모두탐지, 방어, 분석, 대응할수있는보안플랫폼이필요합니다. 지능형공격과 FireEye가여러분의가치있는자산을보호할수있는방법에대해더자세히알아보시려면, 다음의웹사이트를방문하십시오 : www.fireeye.com. 이와같은이유로, IT 시스템을방어하는 것은가장가치가있는자산을식별하는 것에서부터시작됩니다. 오늘날의공격은이전의알려지지않은제로데이취약점들을이용하므로, 시그니처및평판기반의방어시스템을쉽게우회할수있습니다. 그리고기존의벤더들이보안에대한새로운접근방법이라고과대포장한파일기반의샌드박스는기존의보안제품과동일하게많은결함에의해제약을받습니다. 21 포네몬. 2015 Cost of a Data Breach Study(2015 년데이터침해에대한비용연구 ). 2015 년. FIREEYE 소개 FireEye는공격자들이표적으로삼는전세계에서가장귀중한자산을보호합니다. 저희는기술, 인텔리전스, 전문성을통합하고, 가장적극적인사고대응팀을보강하여, 보안침해로인한피해를방지합니다. 저희는침해의모든단계에서공격자들을탐지및방어합니다. FireEye와협력하면공격이발생하는즉시탐지할수있습니다. 또한이러한공격이고객의가장귀중한자산에대해일으키는위험을이해할수있습니다. 그리고사고를신속하게억제및해결하는툴과지원을제공받습니다. FireEye는포브스글로벌 2000개기업중 650개기업을포함해 67개국의 4,000여기업을고객으로보유하고있습니다. 백서 / 중소기업이사이버공격의주요표적이되는 5 가지이유 10
FireEye 에대해더자세히알아보려면다음의웹사이트를방문하십시오 : www.fireeye.com FireEye Korea 서울특별시강남구테헤란로 440 포스코센터서관 11 층 02.559.073 / korea.info@fireeye.com / www.fireeye.kr www.fireeye.com 2016 FireEye, Inc. 저작권소유. FireEye 는 FireEye, Inc 의등록상표입니다. 다른모든브랜드, 제품또는서비스명칭은각소유자의상표또는서비스마크입니다. WP.FRSME.EN-US.052016