사이버 범죄는 기업 규모나 업종을 가리지 않고 모든 곳에서 증가하는 심각한 문제입니다. 인터넷과 기술이 우리 삶의 거의 모든 영역에 깊숙이 자리 잡으면서, 범죄자들이 이를 악용하는 것은 더 이상 놀라운 일이 아닙니다.
각 기업은 다양한 유형의 사이버 범죄와 이로 인해 조직, 직원 및 고객에게 발생할 수 있는 잠재적인 피해를 정확히 인지하고, 스스로를 보호하기 위한 적절한 조치를 마련해야 합니다.
사이버 범죄란 무엇인가?
사이버 범죄는 인터넷을 포함한 컴퓨터 네트워크를 범죄 행위의 주요 수단으로 사용하는 모든 종류의 공격을 의미합니다. 사이버 범죄자들은 해킹 소프트웨어와 다양한 기술적 방법을 사용하여 데이터와 금전을 탈취하고, 개인이나 기업을 속이며, 서비스 운영을 방해합니다. 사이버 범죄는 컴퓨터나 컴퓨터 네트워크가 법을 위반하는 도구로 사용될 때 발생할 수 있습니다. 특히 사이버 범죄는 원격으로 이루어지는 경우가 많아 추적과 탐지가 매우 어렵습니다.
사이버 범죄로 인한 피해와 비용
사이버 범죄 매거진에 따르면, 사이버 범죄로 인한 추정 비용은 2015년 3조 달러에서 2025년에는 연간 10조 5천억 달러에 달할 것으로 예상되며, 이는 사이버 범죄가 세계에서 가장 큰 경제적 손실을 초래하는 범죄 중 하나가 될 것임을 의미합니다.
FBI의 2021년 인터넷 사기 보고서에 따르면, 강탈, 신원 도용, 데이터 유출, 미지급 및 미배달 사기, 그리고 피싱(비싱, 스미싱, 파밍 포함)이 전체 피해액의 절반 이상을 차지하는 것으로 나타났습니다.
특히 비즈니스 이메일 침해(BEC) 또는 이메일 계정 침해(EAC) 사기는 69억 달러 피해액 중 23억 달러를 차지했습니다. BEC는 공격자가 회사 임원이나 직원을 사칭하여 영업 비밀, 재무 제표 및 기타 독점 정보와 같은 중요 정보나 자금을 회사 외부로 불법적으로 빼돌리는 사기 수법입니다.
재정적 손실 외에도, 기업은 사이버 공격으로 인해 평판에도 심각한 타격을 입을 수 있습니다. 고객이 회사와 제품, 서비스에 대한 신뢰를 잃게 되기 때문입니다. 또한, 직원 및 고객의 민감한 개인 정보가 유출될 경우 기업은 과실 책임까지 져야 할 수도 있습니다.
일반적인 사이버 범죄 유형
급변하는 디지털 환경 속에서 다양한 사이버 위협에 제대로 대처하지 못하면 기업은 심각한 결과를 맞이할 수 있습니다. 멀웨어 및 랜섬웨어 공격에서 피싱, 신원 도용에 이르기까지 다양한 유형의 사이버 범죄를 이해하는 것은 기업과 데이터를 사이버 범죄로부터 보호하는 첫걸음입니다.
피싱
피싱은 해커와 사이버 범죄자들이 정보를 탈취하기 위해 가장 흔하게 사용하는 방법 중 하나입니다. 피싱 사기는 보통 피해자가 합법적인 기업이나 조직인 것처럼 위장하여 암호와 신용카드 정보 같은 민감한 개인 정보를 빼내는 방식으로 이루어집니다.
피싱 이메일은 종종 금융 기관, 국세청(IRS) 또는 정부 기관과 같은 합법적인 출처에서 보낸 것처럼 위장하여 개인들을 속여 개인 정보를 제출하도록 유도합니다.
이러한 사기는 주로 수신자에게 계정 정보를 즉시 업데이트해야 하며, 그렇지 않으면 계정이 잠길 위험에 처해 있다고 알리는 이메일이나 전화 통화로 시작됩니다. 피싱 사기는 범인을 추적하기는 쉽지 않지만, 범행을 저지르기는 비교적 쉽기 때문에 지난 몇 년 동안 급증했습니다. IT 보안 회사인 Wandera는 20초마다 새로운 피싱 사이트가 생성된다고 보고했습니다.
즉, 매분마다 3개의 새로운 피싱 웹사이트가 만들어져 기업을 잠재적인 위협에 노출시키고 있습니다. 피싱의 피해자가 되지 않기 위한 가장 좋은 방법은 직원들에게 피싱 이메일의 경고 신호에 대해 교육하고, 이메일이 가짜일 수 있다는 의심이 들 경우 직원들이 어떻게 대처해야 하는지에 대한 명확한 정책을 수립하는 것입니다.
해킹
해킹은 컴퓨터 시스템에 무단으로 접근하여 피해자의 컴퓨터를 감염시키거나 보안 조치를 우회하는 행위를 말합니다. 해커들은 자신의 지식을 이용하여 컴퓨터 시스템의 취약점을 악용하며, 컴퓨터 시스템 침입에서 기밀 데이터 유출까지 다양한 방식으로 기업에 피해를 입힐 수 있습니다.
해커는 개인 정보를 공개하거나 기업을 협박하여 기업의 평판을 파괴하기도 합니다. 이러한 해커들은 종종 핵티비스트라고 불립니다. 해킹에는 화이트햇 해킹(윤리적 해킹), 블랙햇 해킹, 그레이햇 해킹의 세 가지 유형이 있습니다.
- 화이트 햇 해커는 자신의 기술을 사용하여 악의적인 사용자가 시스템을 공격하기 전에 소프트웨어의 버그를 찾아냅니다. 그리고 발견된 버그를 보고하여 시스템을 개선합니다.
- 블랙 햇 해커는 다른 사람의 컴퓨터에 침입하여 정보를 훔치고, 다크 웹에서 판매할 수 있는 프로그램을 개발하는 데 집중합니다.
- 그레이 햇 해커는 위의 두 극단 사이의 기술을 사용합니다. 시스템 취약점을 찾으려고 하지만, 그들의 방법은 법률이나 윤리적 기준을 위반할 수 있습니다.
크립토재킹
크립토재킹은 해커가 불법적으로 다른 사람의 컴퓨터와 네트워크를 악용하여 암호화폐를 채굴하는 사이버 범죄입니다. SonicWall 데이터에 따르면, 2022년 상반기에 전 세계적으로 발생한 크립토재킹 건수는 6,670만 건으로, 2021년 상반기에 비해 30% 증가했습니다. 특히 금융 산업은 269% 증가하며 가장 큰 영향을 받은 것으로 나타났습니다.
크립토재킹의 가장 큰 문제점 중 하나는 과도한 CPU 사용으로 인해 시스템이 크게 느려지거나 완전히 충돌할 수 있다는 것입니다. 심지어 기업이 공격을 받고 있다는 사실을 인지하기도 전에 이러한 문제가 발생할 수 있습니다. 기업은 IT 보안 전문가가 시스템의 비정상적인 CPU 사용량 급증을 주기적으로 모니터링하도록 하여 크립토재킹과 같은 사이버 범죄로부터 스스로를 보호해야 합니다.
스푸핑
스푸핑은 누군가가 온라인에서 자신의 신원을 위장하여 다른 사람을 속이는 사이버 범죄입니다. 여기에는 이메일 스푸핑, 전화 스푸핑, 가짜 소셜 미디어 프로필 및 가짜 광고가 포함될 수 있습니다. 예를 들어, 개인 사용자가 회사 CEO를 사칭하여 민감한 정보를 요청하는 이메일을 직장 동료에게 보낼 수 있습니다.
스푸퍼는 또한 기업과 관련이 있는 것처럼 보이지만 개인 정보 수집을 목적으로 하는 웹 페이지를 만들 수도 있습니다. 이러한 사기를 피하는 가장 좋은 방법은 링크를 클릭하거나 데이터를 보내기 전에 링크를 주의 깊게 확인하는 것입니다. 또한, 암호, 금융 계좌 번호 또는 기타 민감한 정보를 요구하는 원치 않는 이메일에도 각별히 주의해야 합니다.
랜섬웨어
랜섬웨어는 컴퓨터 시스템을 공격하여 데이터를 암호화하고, 데이터 복구를 위한 대가를 요구하는 악성 프로그램입니다. 컴퓨터가 랜섬웨어에 감염되면 일반적으로 컴퓨터를 열고 데이터를 다시 제어하는 데 필요한 암호 해독 키를 받기 위해 몸값을 지불하라는 메시지가 사용자에게 표시됩니다.
랜섬웨어 공격의 평균 비용은 400만 달러 이상이며, 심각한 피해를 유발하는 공격은 평균 500만 달러 이상입니다. 랜섬웨어 감염은 운영 체제를 최신 상태로 유지하거나, 알 수 없는 발신자가 보낸 의심스러운 링크나 첨부 파일을 클릭하지 않는 등 기본적인 보안 관행을 잘 지키면 충분히 예방할 수 있습니다.
교차 사이트 스크립팅
교차 사이트 스크립팅(XSS)은 공격자가 신뢰할 수 있는 웹 사이트 또는 웹 응용 프로그램에 악성 스크립트를 삽입할 때 발생하는 웹 보안 취약점입니다. XSS를 사용하면 공격자가 사용자 세션을 제어하고 로그인 자격 증명을 훔치거나 중요한 데이터를 수집할 수 있습니다.
예를 들어, 공격자는 의심하지 않는 사용자가 로그인할 때까지 기다렸다가 피해자의 시스템에서 정보를 유출할 수 있는 명령을 실행하는 악성 코드를 공격 대상 사이트에 심을 수 있습니다. 이러한 취약점을 통해 공격자는 세션을 하이재킹하여 피해자의 신원을 완전히 도용할 수도 있습니다.
XSS에는 저장된 XSS, 반사된 XSS 및 DOM 기반 XSS(Document Object Model)의 세 가지 유형이 있습니다.
- 저장된 XSS(Persistent) 공격은 입력 유효성 검사 부족과 부실한 인증 메커니즘을 악용합니다. 공격자는 이러한 유형의 익스플로잇을 사용하여 악성 코드를 업로드하거나, 암호 및 신용 카드 정보와 같은 민감한 개인 정보가 포함된 쿠키를 훔칠 수 있습니다.
- 반사된 XSS(비지속적) 공격은 피해자의 브라우저에서 악성 코드가 포함된 스크립트를 실행하는 공격 사이트의 링크를 피해자가 클릭함으로써 발생합니다. 이때, 피해자의 브라우저는 스크립트를 공격 서버로 다시 전송합니다.
- DOM 기반 XSS 공격은 브라우저가 HTML 문서를 구문 분석하는 과정에서의 취약점이나 DOM 내의 취약점을 악용합니다. 이 공격은 브라우저가 XMLHttpRequest 또는 WebSocket 인스턴스와 같은 JavaScript 객체를 조작하여 취약점을 생성하는 변경을 강제하는 것을 목표로 합니다.
세 가지 유형의 교차 사이트 스크립팅 공격을 모두 방지하기 위해 기업은 린팅과 같은 안전한 코딩 관행을 채택하고 입력 값에 대한 적절한 유효성 검사를 수행해야 합니다.
신분 도용
신분 도용은 사기 또는 기타 범죄를 저지르기 위해 이름, 주민등록번호, 은행 계좌 번호, 신용 카드 정보 등 다른 사람의 개인 정보를 사용하는 행위를 말합니다. 범죄자는 피해자의 평판을 훼손하고 신용 기록에 손상을 입힐 수 있으며, 피해자는 신분 도용으로부터 회복하는 데 수년이 걸릴 수 있습니다.
신분 도용 범죄자들은 컴퓨터 해킹, 우편물 절도, 카메라를 이용한 컴퓨터 화면 데이터 캡처, 순진한 피해자의 신분증 위조 등 다양한 방법을 통해 개인 정보를 수집합니다. 수집한 정보를 사용하여 피해자를 사칭하고 온라인 뱅킹 계정에 접속하거나, 새로운 신용 한도를 개설하고, 피해자의 이름으로 대출을 신청하는 등 금전적인 이득을 취합니다.
신분 도용을 방지하려면 민감한 정보가 포함된 모든 문서를 적절하게 관리하는 것이 가장 좋습니다. 기밀 정보가 포함된 문서는 폐기 전에 반드시 파쇄해야 하며, 오래된 청구서도 개인 정보가 포함되어 있지 않은지 철저히 확인하기 전까지는 함부로 버려서는 안 됩니다.
매입채무 사기
매입채무 사기에서 사기꾼은 회사의 공급업체를 사칭하여 제공되지 않은 상품이나 서비스에 대한 대금 지불을 요구합니다. 이러한 사기는 일반적으로 판매자를 개인적으로 잘 알지 못하는 회계 부서에 가짜 송장을 발송하여 발생합니다.
기업은 운영 규모를 확대하거나 소규모 기업에서 중간 규모 또는 대규모 기업으로 전환할 때 매입채무 사기에 가장 취약한 경향이 있습니다. 사기꾼은 회사를 대신하여 자금을 요청하는 직원으로 가장하거나, 합법적으로 보이는 가짜 송장을 생성할 수도 있습니다.
사이버 범죄로부터 기업을 보호하기 위해서는 특정 금액 이상의 모든 지불에 대해 복수 서명을 요구하는 등 조직 내에서 여러 사람의 견제와 균형을 유지하는 것이 중요합니다.
멀웨어
멀웨어는 컴퓨터 작동을 방해하거나, 컴퓨터 시스템에서 중요한 정보를 수집하거나, 원격으로 컴퓨터를 제어할 목적으로 설계된 프로그램 또는 소프트웨어입니다. 멀웨어는 종종 발견하기 어렵고 제거하기가 까다로우며, 파일을 감염시키고, 데이터를 변경하고, 시스템 유틸리티를 손상시키는 등 컴퓨터 시스템에 심각한 피해를 유발할 수 있습니다.
멀웨어는 사용자가 컴퓨터에 더 쉽게 설치할 수 있도록 합법적인 소프트웨어로 위장할 수 있다는 점도 중요합니다. 바이러스, 웜, 트로이 목마, 스파이웨어, 애드웨어 등이 이에 해당합니다.
소셜 엔지니어링
소셜 엔지니어링은 기밀 정보나 접근 자격 증명을 포기하도록 사람들을 조종하는 기술입니다. 사회 공학은 피해자의 신뢰를 얻기 위해 동료로 가장하거나, 전화를 걸거나, 이메일을 보내거나, 인스턴트 메시징 서비스를 사용하여 수행됩니다.
가해자는 이러한 방법으로 암호 및 개인 식별 번호(PIN)와 같은 정보를 요구합니다. 데이터에 따르면 모든 사이버 범죄의 98%가 일종의 소셜 엔지니어링과 관련이 있다고 합니다.
피해자는 속아서 정보를 넘겨줄 뿐만 아니라, 소셜 엔지니어링 기법으로 인해 자신도 모르게 회사의 영업 비밀과 지적 재산을 유출할 수도 있습니다. 모든 직원이 참여하는 사고 대응 계획을 수립하는 것이 이러한 유형의 범죄를 예방하는 데 도움이 될 수 있습니다.
기술 지원 사기
기술 지원 사기는 사기꾼이 잘 알려진 회사의 대표로 위장하여 잠재적 피해자에게 전화를 걸어 컴퓨터에서 몇 가지 문제를 발견했다고 주장하는 방식으로 이루어집니다. 이러한 문제는 유료로 해결해야 하는 악성 코드나 바이러스 등 다양할 수 있습니다. 피해자에게는 합법적인 오류 및 프로그램과 유사한 창이 표시됩니다.
그런 다음 사기꾼은 피해자들을 속여 시스템에 대한 원격 액세스를 제공하도록 유도하고, 이를 통해 더 많은 금액을 청구하거나 개인 정보를 훔치기도 합니다. FBI는 메인 주의 한 부부가 컴퓨터가 해킹당했고 은행 정보를 손상시키려는 시도가 있었다는 팝업 경고를 받은 후 110만 달러를 손해 봤다고 보고했습니다.
사기꾼은 스트레스를 심하게 느끼고 어떻게든 자신을 보호하려는 사람들을 주로 표적으로 삼습니다. 피해자는 사기꾼으로부터 소프트웨어 업데이트를 받았기 때문에 자신들이 사기를 당했다는 사실을 너무 늦게 깨닫는 경우가 많습니다. 사기꾼들은 자신과의 모든 연락을 차단하기 전에 안전하게 보관한다는 핑계로 부부의 퇴직 계좌에서 돈을 코인베이스로 옮기도록 설득했습니다.
IoT 해킹
IoT(사물 인터넷) 해킹은 사이버 범죄의 가장 널리 퍼진 형태 중 하나이며, 심지어 신체적인 피해로 이어질 수도 있습니다. 이러한 해킹은 해커가 스마트 온도 조절 장치나 냉장고와 같은 인터넷에 연결된 장치를 사용할 때 발생합니다. 해커는 이러한 장치를 해킹하고 악성 코드를 심어 전체 네트워크로 확산시킵니다.
해커는 이렇게 감염된 시스템을 사용하여 네트워크의 다른 시스템에 대한 공격을 시작합니다. 이러한 공격은 종종 장치에서 데이터를 훔치거나 해커가 중요한 정보에 접근할 수 있도록 합니다. IoT 해킹은 이러한 장치가 보안에 취약하게 설계되어 있으며, 제한적인 처리 능력, 메모리 및 저장 용량을 가지고 있기 때문에 특히 위험합니다. 다른 시스템보다 취약할 가능성이 높다는 의미입니다.
소프트웨어 불법 복제
소프트웨어 불법 복제는 정당한 소유권이나 법적 허가 없이 소프트웨어를 불법적으로 복사, 배포 또는 사용하는 행위를 말합니다. 이는 불법 소프트웨어 웹사이트에서 프로그램을 다운로드하거나, 한 컴퓨터에서 다른 컴퓨터로 프로그램을 복사하거나, 소프트웨어 복사본을 판매하는 방식으로 발생할 수 있습니다.
불법 복제 소프트웨어는 기업이 제품으로 수익을 창출하지 못하게 막아 기업의 이익에 부정적인 영향을 미칩니다. 소프트웨어 연맹 연구에 따르면 개인용 컴퓨터에 설치된 소프트웨어의 37%가 라이선스가 없거나 불법 복제된 것이라고 합니다. 전 세계적으로 널리 퍼진 문제이기 때문에 기업이 어떤 영향을 받을 수 있는지, 그리고 스스로를 보호하기 위한 해결책이 무엇인지 포괄적으로 이해하는 것이 중요합니다.
트로이 목마
트로이 목마는 합법적인 프로그램으로 위장하여 사용자 동의 없이 컴퓨터에 설치되는 바이러스입니다. 일단 실행되면 파일 삭제, 다른 멀웨어 설치, 신용 카드 정보와 같은 정보 도용과 같은 악의적인 작업을 수행할 수 있습니다.
트로이 목마를 피하는 가장 좋은 방법은 회사 웹사이트나 공인된 파트너와 같은 신뢰할 수 있는 사이트에서만 프로그램을 다운로드하는 것입니다.
도청
도청은 관련된 모든 당사자의 인지 또는 동의 없이 은밀하게 대화를 듣거나 녹음하는 행위를 말합니다. 이는 전화 통화, 숨겨진 카메라, 또는 원격 액세스를 통해 이루어질 수 있습니다.
도청은 불법이며 사기 및 신분 도용의 위험에 노출될 수 있습니다. 직원이 이메일과 대면을 통해 공유하는 내용에 주의를 기울임으로써 회사를 보호할 수 있습니다. 대화를 암호화하거나, 승인되지 않은 사용자가 원격으로 네트워크 리소스에 액세스하지 못하도록 하는 소프트웨어를 사용하는 것도 좋은 방법입니다.
디도스
DDoS(분산 서비스 거부) 공격은 시스템이 처리할 수 있는 것보다 많은 요청을 보내 대상 서비스나 시스템을 과부하시키는 공격입니다. 이 공격은 주로 조직의 웹사이트를 대상으로 하며, 수많은 요청을 동시에 전송하여 웹사이트를 마비시키려고 시도합니다. 요청이 과도하게 몰려 서버가 다운되면 웹사이트에 접속하려는 사용자는 정보를 이용할 수 없게 됩니다.
해커들은 웹사이트와 관리 시스템에 항의하는 방법으로 DDoS 공격을 사용하기도 하지만, 이러한 공격은 때때로 갈취의 목적으로도 사용됩니다. DDoS 공격은 조직의 데이터를 파괴하기보다는 훔치는 것을 목표로 하는 사이버 스파이 캠페인의 일환일 수도 있습니다.
APT
APT(지능형 지속 위협)는 고도로 표적화되고 지속적이며 정교하고 자원이 풍부한 사이버 공격 유형입니다. APT는 일반적으로 금전적 이익을 위해 조직에서 정보를 훔치는 데 사용됩니다.
APT 사이버 공격은 몇 달 또는 몇 년 동안 지속될 수 있습니다. 해커는 네트워크에 침투하여 데이터를 추출한 다음 발각되지 않고 정보를 빼냅니다. 일반적인 공격 대상에는 정부 기관, 대학, 제조업체, 하이테크 산업 및 방위 산업 등이 포함됩니다.
블랙 햇 SEO
블랙 햇 SEO는 마케터가 검색 엔진 결과에서 더 높은 순위를 차지하기 위해 비윤리적인 기술을 사용하는 일종의 스팸입니다. 블랙 햇 SEO 전술에는 키워드 채우기, 숨겨진 텍스트, 클로킹 등이 포함될 수 있습니다. 이러한 기술은 검색 엔진 알고리즘이 관련성이 없는 페이지를 관련성이 있다고 인식하도록 속입니다.
이러한 마케팅 전술은 검색 엔진의 순위 시스템을 남용하는 것이므로 Google 검색 엔진 필수 가이드라인(이전 웹마스터 가이드라인)을 위반하는 것입니다. 그 결과, 블랙 햇 SEO를 사용한 웹사이트는 처벌을 받거나 검색 엔진 결과 페이지(SERP)에서 완전히 제외될 수 있습니다.
사이버 범죄로부터 보호하기
포괄적인 사이버 보안 정책을 마련하는 것이 중요합니다. 여기에는 회사 시스템에 접근할 때 어떻게 행동해야 하는지에 대한 직원 지침과 이를 따르지 않을 경우의 결과에 대한 내용이 포함되어야 합니다. 이 정책은 모든 직원에게 명확하게 설명되어야 하며, 최신 보안 위협을 반영하여 정기적으로 업데이트해야 합니다.
사이버 범죄로부터 보호하기 위해 고려해야 할 몇 가지 추가 단계는 다음과 같습니다.
- 최신 기술과 프로세스를 갖춘 전문 서비스 제공업체와 협력하십시오.
- 모든 데이터를 오프사이트에 백업하십시오.
- 최신 패치 및 업데이트를 적용하여 시스템을 정기적으로 업데이트하십시오.
- 소프트웨어 라이선스에 대한 연간 감사를 실시하십시오.
- 바이러스, 스파이웨어, 웜, 트로이 목마, 루트킷과 같은 악성 프로그램을 검사하는 신뢰할 수 있는 백신 프로그램을 사용하십시오.
- 불법적이거나 부적절한 콘텐츠가 네트워크에 들어오는 것을 차단하는 웹 필터링 소프트웨어를 설치하십시오.
- 무단 액세스를 방지하기 위해 중요한 데이터를 저장하는 모든 장치를 암호화하십시오.
- 침해 시도가 있는지 알 수 있도록 시스템 로그를 자동으로 모니터링하는 프로세스를 개발하십시오.
- 시스템이 취약하지 않도록 정기적으로 전문가에게 시스템 감사를 요청하십시오.
- 사용자가 외부 장치에 복사, 붙여넣기 및 저장할 수 있는 항목을 제어하여 네트워크에서 정보가 유출되지 않도록 보호하는 데이터 손실 방지 기술을 구현하십시오.
마지막 말
기업은 강력한 사이버 보안 및 데이터 보호 정책을 수립하고, 정기적인 사이버 위협 평가를 실시하며, 소프트웨어를 최신 상태로 유지하고, 백신 소프트웨어를 사용하고, 직원 교육 및 인식을 높이며, 사이버 보안 프로세스를 자동화할 수 있는 도구를 사용하여 사이버 범죄로부터 스스로를 보호할 수 있습니다.
또한 회사는 안전한 클라우드 컴퓨팅 환경과 사이버 공격으로부터 보호할 수 있는 관리형 보안 서비스를 제공하는 서비스 공급업체와 협력할 수 있습니다.