Home > 전체기사

코로나19는 보안에 대한 우리 인식을 안일하게 했다

  |  입력 : 2021-06-15 15:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
설문조사에서 국내 응답자는 코로나 기간 동안 평균 14개의 새 계정을 생성했으며, 10명 중 9명은 여러 계정에서 같은 암호 사용했다고 응답했다. 특히, 10명 중 6명은 직접 전화 또는 방문보다 안전이 검증되지 않은 앱이나 웹 사이트 사용 선호하는 것으로 나타났다

[보안뉴스 이상우 기자] 오늘날 우리 사회가 디지털 교류에 점점 익숙해지면서, 개인들이 ‘편의’를 ‘보안과 개인정보 보호’보다 우선시하는 경우가 많아지고 있다. 이러한 경향은 암호 관리를 비롯한 다른 사이버 보안 행위에 대한 잘못된 선택으로 이어지고 있다는 조사결과로 드러났다. 소비자의 보안에 대한 안일한 태도는 코로나19 기간 동안 빠르게 이뤄진 디지털 전환과 맞물려 사이버 범죄자들에게 랜섬웨어에서 데이터 절도에 이르기까지 다양한 산업에서 사이버 공격을 펼치는 데 악용될 수 있다.

[사진=IBM]


IBM 시큐리티는 ‘코로나 기간 중 소비자의 디지털 행동과 사이버 보안에 미치는 잠재적인 영향’에 대해 한국을 포함한 글로벌 22개국 소비자 설문 결과를 발표했다. IBM 시큐리티 X-Force에 따르면, 평소 개인이 가지고 있는 잘못된 보안 습관은 일터로 이어져, 2020년 사이버 공격의 주요 근본 원인 중 하나로 보고된 ‘손상된 사용자 신원 증명 시스템’처럼 기업에게 많은 비용이 드는 보안 사고로 이어질 수 있다.

22개 시장의 성인 2만 2,000명을 대상으로 최근 실시한 글로벌 설문 조사에서 한국 소비자들의 보안 활동에 대한 코로나의 영향은 다음과 같이 나타났다.

△디지털 붐은 코로나 이후에도 지속 : 한국 성인들은 코로나 기간 동안 평균 14개의 새로운 온라인 계정을 만든 것으로 나타났다. 응답자의 45%는 코로나 이후에도 이 계정을 삭제하거나 비활성화하지 않을 계획이기 때문에, 앞으로 몇 년 동안 늘어난 디지털 활동 공간을 유지하게 될 것이며, 이는 사이버 범죄자가 공격할 수 있는 범위가 크게 늘어난 것을 의미한다.

△다수의 계정으로 암호 피로도 증가 : 디지털 계정의 급증은 느슨한 비밀번호 관리로 이어져 10명 중 9명(88%)이 같은 기간 동안 계정간 같은 암호를 사용한 적 있다고 답변했다. 이는 코로나 기간 동안 생성된 새로운 계정 다수에 지난 10년 동안 데이터 유출을 통해 이미 노출됐을지 모르는 메일과 암호의 조합이 사용됐을 가능성이 크다는 것을 의미한다.

△편의성이 보안 및 개인정보보다 우선 : 국내 사용자의 거의 10명 중 6명(59%)이 직접 전화하거나 방문하는 것보다 안전이 검증되지 않은 앱이나 웹 사이트를 통해 주문하는 것을 선호한다고 답변했다. 사용자가 디지털 주문의 편리성 때문에 보안 문제를 간과할 가능성이 높아짐에 따라, 서비스 제공 기업들이 사기를 방지하기 위해 보안에 대한 더 많은 부담을 지게 될 것으로 보인다.

한국IBM 송기홍 대표는 “코로나로 인해 소비자들의 비대면 활동이 늘어나고 디지털 채널에 대한 의존도가 더욱 높아지게 되면서, 사이버 범죄의 타깃이 될 수 있는 가능성은 더욱 높아진 반면, 소비자들의 보안에 대한 의식은 상대적으로 낮아졌다는 것이 이번 조사를 통해 밝혀졌다. 따라서, 디지털 혁신을 진행하고 있는 기업들은 소비자들의 편의성을 고려하는 동시에, 보안 침해 사고가 발행하지 않도록 ‘제로 트러스트’ 접근방식과 같이 철저한 보안 시스템과 전략을 갖추는 데 더욱 심혈을 기울여야 할 것”이라고 말했다.

또한, 이 조사를 통해 향후 사이버 보안 환경에 영향을 미치게 될 다양한 소비자 행동들이 밝혀졌다. 조사에 따르면 국내 성인의 2/3(66%)는 새로운 디지털 계정을 만드는 데 5분 미만의 시간이 걸릴 것으로 기대하고 있다. 국내 소비자들은 평균 4번의 로그인 실패 후 암호를 재설정한다. 그러나 암호 재설정은 회사 비용을 높일 뿐만 아니라 이미 노출된 이메일 계정과 함께 사용될 경우 보안 위협을 초래할 수 있다.

하지만, 암호를 재사용하더라도 추가적인 정보를 확인하는 다요소 인증(2단계 인증)을 통해 위험을 줄이는 데 도움을 줄 수 있다. 대다수의 국내 소비자들은 최근 몇 주 동안 다요소 인증을 사용했다.

디지털 인증을 위한 기반 마련
소위 말하는 디지털 백신 여권의 개념은 소비자들에게 첨단 기술을 통해 개인의 특정 정보를 검증하는 디지털 인증에 대한 실제 사례를 보여준 것이다. 조사에 따르면 전 세계 성인의 65%가 디지털 인증 개념에 익숙하다고 답했으며, 76%가 일반적으로 허용될 경우 이를 채택할 가능성이 높다고 답했다. 코로나 기간 중 디지털화된 ID 인증 경험은 여권이나 운전면허증과 같은 전통적인 신분증을 잠재적으로 대체할 수 있는 현대화된 디지털 ID 시스템의 보급을 촉진할 수 있다.

디지털 ID는 특정 거래에 필요한 제한된 정보만 제공함으로써 소비자들이 개인정보를 보호할 수 있는 방법을 제공한다. 디지털 형태의 ID를 활용하면 미래를 위한 보다 지속 가능한 보안 및 개인정보 보호 모델을 구축할 수 있지만, 위조를 방지하기 위해 이런 자격 증명이 손상될 경우, 확인하고 업데이트 할 수 있는 기능을 제공하는 블록체인 솔루션과 같은 보안 장치가 마련되어야 한다.

변화하는 소비자 보안 환경에 기업이 적응하는 방법
기업은 코로나로 소비자와의 디지털 교류에 점점 더 의존하게 됨에 따라 사이버 보안 위험 요소에 미치는 영향을 고려해야 한다. IBM 시큐리티는 디지털 편의성을 중심으로 소비자의 행동과 선호도가 변화하고 있다는 점을 고려해 기업들에게 다음과 같은 보안 지침을 제안하고 있다.

△제로 트러스트 접근 방식 : 점점 더 커지고 있는 위험을 고려할 때, 기업은 이미 인증된 ID나 네트워크라도 손상됐을 수 있다는 가정 하에 운영되는 ‘제로 트러스트’ 보안 접근 방식을 취하는 것을 고려해야 한다. 사용자, 데이터 및 리소스 간의 연결 조건을 지속적으로 검증해 승인하고, 필요성을 판단해야 한다. 제로 트러스트 접근 방식은 기업이 모든 사용자, 모든 장치 및 모든 상호 작용에 보안 상황을 적용하기 위해 보안 데이터와 접근 방식을 통합하도록 요구한다.

△소비자 신원 및 접근 관리(IAM) 전략 및 시스템 현대화 : 소비자와 교류하는데 디지털 채널을 계속 활용하고자 하는 기업에게는 원활한 인증 프로세스를 제공하는 것이 중요하다. 기업은 현대화된 CIAM(소비자 신원 및 접근 관리, Consumer Identity and Access Management) 전략에 투자함으로써 디지털 활용률을 높일 수 있다. 즉, 디지털 플랫폼 전반에 걸쳐 보다 원활한 사용자 경험을 제공하고 행동 분석을 사용해 부정 계정 사용의 위험을 줄이는데 도움이 될 수 있다.

△데이터 보호 및 개인 정보 : 디지털 사용자가 더 많아졌다는 것은 기업들이 보호해야 할 더 민감한 소비자 데이터도 갖게 된다는 것을 의미한다. 또 다른 연구에 의하면 데이터 침해로 인해 기업은 연간 평균 386만 달러의 비용을 지출하고 있으므로, 기업은 데이터를 모니터링해 의심스러운 활동을 탐지하고 중요한 데이터를 어디로 이동하든 암호화하는 등 무단 접근을 방지하기 위한 강력한 데이터 보안 제어 기능을 갖추어야 한다. 기업들은 소비자의 신뢰를 유지하기 위해 사내 서버나 클라우드 상에서 올바른 개인정보 보호정책을 시행해야 한다.

△보안 테스트 실시 : 디지털 플랫폼에 대한 사용 및 의존도가 빠르게 변화함에 따라, 기업은 이전에 의존했던 보안 전략과 기술이 이러한 새로운 환경에서 그대로 유효한지 확인하기 위해 사고 대응 계획의 효과 재평가 및 보안 취약성 애플리케이션을 포함한 보안 전반에 대한 전용 테스트를 실시해야 한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)