보안뉴스 창간 17주년을 축하합니다!!

Home > Security

글로벌 사이버 위험 지수 완화... ‘내부자’로 인한 위협은 여전

입력 : 2023-05-03 13:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
트렌드마이크로, ‘2022 하반기 글로벌 사이버 위험 지수 보고서’ 발표
글로벌 사이버 위험 지수 개선돼 조사 실시 이래 첫 ‘보통’ 수준 달성
부주의한 직원, 원격 근무자 등으로 인한 보안 위협 지속 전망


[로고=트렌드마이크로]

[보안뉴스 박은주 기자] 디지털 기반의 생활 속에서 보안 기술은 점차 고도화되고 있다. 꾸준히 발전하는 사이버 공격에 대비해 견고한 방어막을 세우는 것이다. 그러나 보안사고는 외부 위협뿐만 아니라 내부적인 요인으로도 발생한다. 사람의 사소한 실수부터 고의적인 목적으로 보안을 위협한다. 내부자로 인한 보안위협은 보안업계가 풀어가야 할 문제다.

글로벌 사이버 보안 리더 트렌드마이크로(지사장 김진광)가 ‘2022 하반기 글로벌 사이버 위험 지수 보고서(Cyber Risk Index, 2022 Second Half)’를 통해 글로벌 사이버 위험 지수가 조사 이래 최초로 ‘보통’ 수준에 들어섰다고 밝혔다. 그러나 대부분의 조직은 여전히 직원 및 내부자 등을 주요 위험 원인으로 꼽으며 보안에 대한 우려를 나타냈다.

▲트렌드마이크로 2022 하반기 사이버 위험 지수 보고서[자료=트렌드마이크로]


이번 반기 보고서는 트렌드마이크로가 포네몬 연구소(Ponemon Institute)에 의뢰해 3,700여 개 이상의 글로벌 조직을 대상으로 진행했다. ‘사이버 위험 지수’는 조직의 사이버 보안 준비성 점수에서 사이버 위협 점수를 제한 수치로, -10에서 10 사이의 숫자로 나타나며 낮을수록 높은 위험 수준을 의미한다.

이번 보고서에 따르면 지난 6개월간 사이버 보안 준비성 점수는 유럽 및 아태지역(아시아·태평양)에서 향상한 반면, 북아메리카 및 라틴아메리카에서 소폭 하락했다. 사이버 위협 점수는 유럽을 제외한 모든 지역에서 감소했다. 종합적으로 글로벌 사이버 위험 지수는 +0.01을 기록하며 보고서 발표 이래 최초로 ‘보통’ 단계에 들어섰다. 그러나 대부분 조직이 고객 데이터(70%) 또는 중요 데이터(69%)가 유출되거나 사이버 공격(78%)에 노출될 가능성이 ‘다소’ 또는 ‘매우 높다’고 답해 향후 전망을 회의적으로 평가했다.

응답 조직은 2022년 하반기 주요 사이버 위협으로 △사용자가 의도하지 않은 클릭을 유도하는 클릭재킹 △비즈니스 이메일 사기(BEC, Business Email Compromise) △랜섬웨어 △파일리스 공격 △봇넷을 선정했다. 또한, 주요 인프라 위험 원인으로는 △부주의한 내부자 △클라우드 컴퓨팅 인프라 및 인프라 제공업체 △모바일 및 원격 근무 직원 △관련 전문 인력 부족 △서버 및 엔드포인트 등 가상 컴퓨팅 환경을 꼽아 상위 위험 원인 중 과반을 직원 및 내부자에게서 찾았다.

존 클레이(Jon Clay) 트렌드마이크로 글로벌 위협 인텔리전스 부문 부사장은 “글로벌 기업들이 사이버 위협에 대한 대응력 향상을 위해 노력함에 따라 ’사이버 위험 지수 보고서’ 발표 이래 처음으로 글로벌 사이버 위험 지수가 상승세를 보여 +0.01을 기록했다”며 “그러나 직원 및 내부자가 위험의 주된 원인으로 작용하고 있는 만큼 공격 접점에 대한 일관적이고 통합된 가시성과 통제력을 확보할 수 있는 선제적이고 지속적인 개선책이 필요하다”고 강조했다.

래리 포네몬(Larry Ponemon) 포네몬 조사기관 회장은 “하이브리드 근무가 보편화되면서 부주의한 직원 및 원격 근무에 필요한 인프라로 인해 발생할 수 있는 사이버 위험에 대한 조직의 우려가 늘고 있다”며 “이러한 위험을 완화하기 위해서는 기술적 솔루션뿐만 아니라 인력 및 프로세스 역량 확보도 필요하다”고 말했다.

한편, 사이버 보안 준비성 점수와 관련하여 글로벌 조직이 가장 우려하는 영역은 조직 구성원, 프로세스, 그리고 기술로 확인됐으며 각 영역은 아래와 같이 요약된다.

- 조직 구성원 : 조직의 고위 경영진이 보안을 비즈니스 경쟁력으로 여기지 않는다.
- 프로세스 : 조직의 IT 보안팀에 허니팟(Honeypot) 등 사이버 공격자에 대한 인텔리전스를 확보할 수 있는 역량이 없다.
- 기술 : 조직의 IT 보안팀에 비즈니스 핵심 데이터 자산 및 애플리케이션의 실질적 위치를 파악할 수 있는 역량이 없다.

2022 하반기 글로벌 사이버 위험 지수 보고서 전문은 트렌드마이크로 웹사이트에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)