기업들의 주요 관심사 중 하나는 디지털 위협으로부터 보호하는 것이었습니다. 침입과 데이터 유출을 방지하기 위해 일련의 조치, 애플리케이션, 혁신적인 솔루션을 도입하더라도, 이 문제는 첨단 기술뿐만 아니라 인간의 행동에도 달려 있습니다. dataRain의 사이버 보안 전문가 레오나르도 바이아르디는 사이버 공격의 74%가 인적 요인에 의해 발생한다고 지적합니다. 그는 효과적인 보안 전략을 위해서는 적절한 직원 교육이 필수적이라고 강조합니다.
바이아르디는 기업 환경에서 사이버 위험에 대처할 때 가장 취약한 부분이 바로 인간이라고 생각합니다. "회사의 모든 구성원은 데이터 보안에 대한 책임이 자신에게 있다는 것을 이해해야 하며, 이는 교육, 책임 의식, 그리고 부서 간 소통을 통해서만 달성될 수 있습니다. 모든 구성원은 자신이 노출된 위험을 인지해야 합니다."
전문가의 의견은 보안 취약점에서 인적 요소가 차지하는 중요한 역할을 강조하는 Proofpoint의 2023 인적 요소 보고서에서 발견된 내용을 보완합니다. 이 연구는 모바일 기기를 통한 소셜 엔지니어링 공격이 12배 증가했음을 보여줍니다. 소셜 엔지니어링 공격은 겉보기에 무해해 보이는 메시지로 시작하여 관계를 형성하는 공격 유형입니다. 바이아르디에 따르면 이러한 공격은 인간의 행동을 조작할 수 있기 때문에 발생합니다. "전설적인 해커 케빈 미트닉이 말했듯이, 인간의 마음은 해킹하기 가장 쉬운 자산입니다. 인간은 외부의 영향에 매우 취약한 감정적 측면을 가지고 있으며, 이는 악성 링크를 클릭하거나 민감한 정보를 공유하는 것과 같은 성급한 행동으로 이어질 수 있습니다."라고 그는 말합니다.
다중 인증 요소(MFA)를 우회하도록 설계된 피싱 키트와 매달 약 94%의 사용자를 표적으로 삼는 클라우드 기반 공격도 보고서에서 가장 자주 기록된 위협에 포함됩니다.
가장 흔한 실수
바이아르디는 보안 침해로 이어지는 가장 흔한 실수에는 이메일의 진위 여부를 확인하지 않는 것, 컴퓨터를 잠금 해제한 채로 두는 것, 공용 Wi-Fi 네트워크를 사용하여 회사 정보에 접근하는 것, 소프트웨어 업데이트를 지연하는 것 등이 있다고 밝혔습니다.
"이러한 행동은 침입과 데이터 유출의 문을 열어줄 수 있습니다."라고 그는 설명합니다. 사기에 속지 않으려면 의심스러운 링크는 클릭하지 않는 것이 좋습니다. 따라서 발신자, 이메일 도메인, 그리고 메시지의 긴급성을 확인하는 것이 좋습니다. "여전히 의심스럽다면, 링크를 클릭하지 않고 마우스 포인터를 링크 위에 올려두어 전체 URL을 확인하는 것이 좋습니다. 의심스럽다면 악성 링크일 가능성이 높습니다."라고 그는 조언합니다.
피싱
피싱은 기업 이메일을 공격 벡터로 사용하는 가장 큰 사이버 위협 중 하나입니다. 바이아르디는 피싱을 방지하기 위해 강력한 기술적 조치 외에도 직원에 대한 인식 제고 및 교육과 같은 다층적인 접근 방식을 제안합니다.
소프트웨어와 운영 체제를 최신 상태로 유지하는 것은 취약점을 줄이는 데 필수적입니다. "새로운 취약점은 매일 나타납니다. 위험을 줄이는 가장 간단한 방법은 시스템을 최신 상태로 유지하는 것입니다. 지속적인 업데이트가 불가능한 미션 크리티컬 환경에서는 더욱 강력한 전략이 필요합니다."
그는 효과적인 교육이 공격 예방에 어떻게 도움이 되는지 실제 사례를 제시합니다. "피싱 시뮬레이션과 교육을 시행한 후, 직원들의 피싱 시도 신고가 크게 증가했습니다. 이는 위협에 직면했을 때 더욱 정교한 비판적 사고를 할 수 있게 되었음을 보여줍니다."
바이아르디는 훈련의 효과를 측정하기 위해 명확한 범위를 정의하고 미리 정의된 지표를 사용하여 정기적인 시뮬레이션을 수행할 것을 제안합니다. "잠재적 위협에 대한 직원들의 대응 양과 질을 측정하는 것이 중요합니다."
이 임원은 사이버 보안 교육 회사인 Knowbe4의 보고서를 인용했는데, 이 보고서에 따르면 브라질은 콜롬비아, 칠레, 에콰도르, 페루 등의 국가보다 뒤처졌습니다. 2024년 설문조사는 직원들이 사이버 보안의 중요성은 이해하지만, 위협의 작동 방식과 기능에 대해서는 제대로 이해하지 못하고 있다는 점을 강조합니다. 따라서 보안 관행을 촉진하는 데 있어 조직 문화의 중요성을 강조합니다. "제대로 구축된 사이버 보안 문화 프로그램 없이는 기업이 사이버 보안 측면에서 얼마나 성숙했는지 측정할 수 없습니다."
이 전문가는 이메일 보안, 규정 준수 및 취약성 평가, 엔드포인트 보안, 클라우드 거버넌스 등 강력하고 신속하게 구현 가능한 솔루션을 제공하는 dataRain의 사이버 보안 서비스 제공을 총괄하는 역할도 담당하고 있습니다. 그는 "사이버 보안은 지속적인 과제이며, 정보 보호와 시스템 무결성을 보장하는 데 있어 사람은 필수적입니다. 교육과 인식 제고에 투자하는 것은 조직 전체의 보안에 투자하는 것입니다. 모든 서비스 제공에는 지식 전수가 수반되며, 이를 통해 고객의 위협 인식을 강화할 수 있습니다."라고 결론지었습니다.
