중소기업이 직면하고 있는 10대 보안위협

중소기업이 직면한 보안위협들은 어떤 것들이 있을까. 방화벽 및 UTM, SSL VPN 솔루션 전문 공급업체 워치가드 코리아 (지사장 정종우 http://www.watchguardutm.co.kr/)는 중소기업이 유의할 보안 위협 10가지를 선정하여 발표했다.

대기업과 마찬가지로 SMB의 경우 여러 가지 보안 위협에 노출되어 있지만 이를 방어할 보안제품, IT 인력, 예산 역시 제한되어 있기 때문에 더욱 어려움을 겪고 있는 실정이다. 워치가드는 SMB가 직면하고 있는 10가지 보안 위협을 다음과 같이 꼽았다.

10. 내부자: 많은 중소기업에서는 비즈니즈 관련 기록이나 고객 정보가 한 명에게 집중되어 있는 경우가 많다. 네트워크 시스템 로그와 자동화된 리포트 등 적절한 체크와 견제가 없다면 내부자로부터의 정보 유출은 장기간에 걸쳐 지속적으로 발생할 수 있다.

9. 사고 대책의 부재: SMB가 처한 또 다른 위협은 해킹이나 침입, 또는 바이러스 침해를 당한 이후 사업에 미치는 부정적인 영향을 최소화할 수 있는 전략이 수립되어 있지 않다는 점이다. 대부분 SMB의 경우 데이터 유출에 대한 대응 정책이나 재해복구 계획이 수립되어 있지 않아 피해로부터 회복이 더디게 된다.

8. 보안장비 공장 출고 시점의 설정을 그대로 사용: 대부분의 해커들은 네트워크 장비에 디폴트로 설정된 로그인 정보 리스트를 매우 폭넓게 확보하고 있다. 따라서 공장 출고 시점에 설정된 디폴트 로그인 정보를 변경하지 않고 그대로 사용할 경우 보안 위협을 초래할 수 있다.

7. 안전하지 않은 재택근무 환경: 중소기업의 직원이 랩톱을 집으로 가져가 일을 계속할 경우 안전장치가 없는 경우가 대부분이다. 안전하지 않은 홈 네트워크 환경에서 업무용 랩톱을 사용하면 바이러스, 공격 및 멀웨어 애플리케이션 등의 위험에 노출되기 쉽다.

6. 공공 네트워크의 무분별한 사용: 공격자가 흔히 사용하는 방법 중 하나는 “무료 공공 WiFi”라는 이름으로 무선 액세스 포인트를 제공한 뒤 조용히 접속자를 기다리는 것이다.

패킷 스니퍼링을 통해 입력하는 정보를 모두 엿본 후 개인 정보를 악용하는 기회를 제공할 수 있다.

5. 이동식 디바이스의 분실: 랩톱, USB 메모리 등 이동식 디바이스의 분실로 SMB의 데이터가 분실되고 있다. 특히 모바일 디바이스의 경우 암호화 및 강력한 인증이 필수적이지만 중소기업 사용자는 이러한 솔루션의 구축에 소홀한 경우가 대부분이다.

4. 웹 서버 보안 부재: 아무런 보호장치 없이 웹사이트를 방치하여 SQL 인젝션과 봇넷 공격에 노출되기 쉽다.

3. 무모한 웹 서핑: 멀쩡해 보이는 웹사이트에 멀웨어, 스파이웨어, 키로거, 스팸 봇 등이 상주하고 있는 경우가 점차 늘어나고 있다. 표면상 안전해 보이는 웹사이트를 방문할 경우라 할지라도 적절한 보안 장치가 없는 경우 기업 네트워크에 엄청난 위협을 가져올 수 있다.

2. 유해한 HTML E-Mail: 이제 영악해진 공격자는 유해한 소스를 이메일 첨부파일에 실어 보내지 않는다. 오늘날 대부분의 위협은 HTML 이메일 메시지에 감춰져 있고, 링크를 클릭하는 순간 유해한 부비트랩 사이트로 유인한다.

1. 취약성 패치를 제때 하지 않아 이미 잘 알려진 위협에 그대로 노출: 자동화된 공격의 90% 이상은 잘 알려진 취약점을 공격한다. 정규적으로 패치가 공급되지만, IT인력이 부족한 SMB의 경우 애플리케이션 업데이트와 패치를 정기적으로 설치하는 노력을 기울이지 않아 쉽게 공격의 희생양이 된다.

정종우 워치가드 지사장은 “SMB에 대한 보안 위협은 대기업과 마찬가지로 매우 다양하지만, 이에 대한 대비가 소홀하기 때문에 더 큰 피해를 보는 경우가 대부분이다”라고 말하며 “미국 등 전세계 SMB 시장에서 통합위협관리(UTM) 솔루션의 성장세가 두드러지는 이유는 다양한 위협에 비용 효과적으로 대응하도록 해주기 때문”이라고 덧붙였다.

특히 UTM 제품군은 방화벽, 안티스팸, 안티바이러스, 침입방지 등의 보안 솔루션을 한 장비에 담아 제공하기 때문에 IT 인력과 예산이 부족한 중소기업이 활용할 경우 비용절감 및 관리 효율성이라는 혜택을 누릴 수 있다고 전문가들은 말한다.

워치가드는 중소기업에 적합한 UTM 제품으로 ‘파이어박스 X 에지’시리즈를 공급하고 있다. 이 제품은 직원 수10명~50명 사이의 중소기업에 탁월한 보안 기능을 제공하고 있다.

[길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)