2024-03-29 20:55 (금)
기업 48%, 소셜 엔지니어링 공격 피해 경험
상태바
기업 48%, 소셜 엔지니어링 공격 피해 경험
  • 길민권
  • 승인 2011.09.23 14:31
이 기사를 공유합니다

체크포인트 소셜 엔지니어링 공격 서베이 결과 발표
소셜 엔지니어링 공격당 10만 달러 이상 피해 발생하기도
인터넷 보안 기업 체크포인트(www.checkpoint.com)가 최근 소셜 엔지니어링 공격에 대해 실시한 조사 결과를 발표했다.
 
이 조사 결과에 따르면, 응답 기업의 48%가 소셜 엔지니어링 공격으로부터 피해를 입었으며, 지난 2년 간 25건 이상의 공격을 경험한 것으로 나타났다. 또한 보안 사고 1 건당 2만5천 달러에서 10만 달러 이상의 피해가 발생한 것으로 나타났다.
 
또한, 체크포인트는 이번 ‘정보 보안에 대한 소셜 엔지니어링의 위협’ 보고서를 통해 피싱과 소셜 네트워킹 툴이 가장 일반적인 소셜 엔지니어링 공격의 소스라고 밝혔다. 이러한 소셜 엔지니어링 공격의 빈도와 피해액을 최소화하기 위해 기업들은 보안 기술과 사용자 인식을 강화해야 한다고 조언했다.
 
일반적으로 소셜 엔지니어링 공격은 함축된 지식과 중요한 정보에 대한 접근을 위해 사람을 목표로 한다. 오늘날 해커들은 대상 조직의 가장 약한 부분을 찾기 위해 다양한 기술과 소셜 네트워킹 애플리케이션을 이용하여 개인에 대한 사적인 정보와 직업 정보들을 모은다.
 
전 세계적으로 850명 이상의 IT 및 보안 전문가를 대상으로 실시한 이번 조사에 따르면, 86%의 기업들은 소셜 엔지니어링을 주요 관심사항으로 두고 있으며, 51%의 응답자들은 금전적인 이득이 가장 우선적인 공격 동기이며, 이어서 경쟁 우위와 복수라고 답변했다.
 
체크포인트코리아 우청하 지사장은 “이번 조사 결과는 조사에 참여한 거의 절반에 가까운 기업들이 소셜 엔지니어링 공격을 경험한 것으로 알고 있다고 답변했지만, 41%는 불확실하다고 말했다. 이러한 보안 인식의 부족도 똑같이 문제가 된다”고 말했다.
 
소셜 네트워킹 기술은 개인의 취약점을 이용하고 있으며, 웹 2.0과 모바일 컴퓨팅의 확산으로 인해 개인에 대한 정보 획득이 더 쉬워지고, 소셜 엔지니어링 공격 실행의 새로운 도입점이 만들어지고 있다. 회사의 보안 정책에 익숙하지 않은 신규 직원(60%), 계약직원(44%)들이 소셜 엔지니어링 기술에 가장 허용되기 쉬운 것으로 여겨졌다.
 
또한, 보조 인력, 인사 담당자, IT 담당자들도 위험군으로 분류되었다.  체크포인트코리아 우청하 지사장은 “최근에는 사람이 보안 프로세스에서 중요한 부분이 되었다. 바로 범죄자들에 의해 오도되거나 실수로 멀웨어 감염이나 의도하지 않은 데이터 유출 등이 발생할 수 있기 때문이다. 직원들이 방어의 최일선에 있어야 함에도 불구하고, 많은 조직들이 사용자들의 참여에 관심을 두지 않고 있다”며 “사용자들의 보안 인식을 높일 수 있는 좋은 방법은 그들을 보안 프로세스에 참여시키고 실시간으로 보안 사고를 예방하고 치료하도록 권한을 주는 것”이라고 밝혔다.
 
최근 IT 환경에서 요구되는 보안 수준을 달성하기 위해 보안은 서로 다른 기술들의 집합으로부터 하나의 효율적인 비즈니스 프로세스로 바뀔 필요가 있다. 체크포인트 3D 시큐리티는 기업들이 기술을 넘어서는 보안 청사진을 실행하도록 하며, 직원들을 프로세스에 참여시킴으로써 직원들을 교육시킬 수 있다.
 
체크포인트코리아 우청하 지사장은 “직원들이 실수를 하거나 조직 내에서 위반 또는 위협을 초래할 수 있는 것처럼, 그들은 위험을 완화시키는데 있어서도 큰 역할을 할 수 있다”고 말했다.  직원들이 회사의 네트워크와 데이터, 애플리케이션에 접속할 때 체크포인트의 독특한 유저체크(UserCheck)™ 기술을 통해 회사의 정책에 대해 직원들에게 알리고 교육할 수 있다. 이를 통해 소셜 엔지니어링 기술과 연관된 위험과 비용 및 빈도를 최소화할 수 있다.
 
이번 조사는 미국과 영국, 캐나다, 독일, 호주, 뉴질랜드 등의 IT 및 보안 전문가 850여 명을 대상으로 2011년 7월과 8월에 실시됐다. 조사 대상은 금융, 제조, 국방, 소매, 헬스케어, 교육 등 다양한 산업군과 다양한 규모의 기업으로부터 선정되었다.
 
체크포인트코리아 우청하 지사장은 “보안은 단지 IT 관리자만의 문제가 아니라, 모든 직원들의 역할 중 일부가 되어야 한다. 복잡해지고 타겟화된 위협의 증가로 인해 사용자 참여는 보안 기술을 더 스마트하고 효과적으로 만든다”고 말했다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★