– Y세대 개개인의 보안 위협 증가가 기업 보안 위협 증가로 직결… 이례 없는 대규모 보안 위험 경고

– 만물인터넷 도래가 부를 새로운 보안 위협… 네트워크 중심의 보안 접근 필요

언제 어디서나 실시간으로 온라인 접속을 하고, 업무용 모바일 기기로 다양한 개인 온라인 활동을 즐겨 업무와 사생활의 구분마저 흐리고 있는 Y세대 직장인. 그러나 이러한 Y세대의 자유분방한 라이프스타일은 과연 ‘보안’ 측면에서 얼마나 안전할까?

시스코는 신세대 직장인들이 업무와 사생활 모두 모바일로 처리하며, 그 경계를 허물고 있는 상황에서 기업, IT 부서 또는 개인 사용자들이 직면하게 된 보안 위협 증대 문제를 생생히 보여주는 ‘2013 시스코 연례 보안 리포트(Cisco’s 2013 Annual Security Report, 이하 2013 ASR)’를 지난 1월말 발표했다.

지난 12월에 세 번째로 공개된 ‘2012 시스코 커넥티드 월드 테크놀로지 보고서(2012 Cisco Connected World Technology Report, 이하 2012 CCWTR)와의 연장선상에서 발표된 시스코 2013 ASR은 해마다 중요 보안 트렌드를 살펴보고 기업 IT 환경을 더욱 안전하게 보호하기 위한 가이드라인을 제공한다.

이 보고서는 올해 전세계 18개국의 18세에서 30세 사이 대학생 및 직장인 1,800명과 다양한 업종에 종사하는 IT 전문가 1,800명을 대상으로 진행되었다.

2013 시스코 ASR에 따르면, 음란물, 불법 제약 또는 도박 사이트와 같이 음지에서 일어나는 개인 온라인 활동이 보안 위협 증가의 주된 원인이라는 일반적인 인식과는 달리, 온라인 보안 위협은 오히려 주요 검색 엔진, 쇼핑몰, 소셜 미디어처럼 대다수가 방문하는 합법적인 온라인 사이트에 더 집중돼 있는 것으로 나타났다.

시스코가 조사한 바에 따르면, 온라인 쇼핑몰은 불법복제 소프트웨어 사이트보다 21배, 검색 엔진은 27배 더 많은 악성코드를 감염을 유발한다고 한다. 심지어 온라인 광고를 보는 것은 음란물을 보는 것보다 182배나 더 위험한 행위라고 한다.

이러한 보안 위협 증가는 기업의 보안 위협 증가로도 직결되는데, 이는 오늘날 많은 직장인들이 “자신만의 방식대로(my way)” 일하는 것을 선호하고, 사무실, 집 등 사실상 모든 장소에서 다양한 모바일 기기로 업무와 개인 생활 영역을 자유롭게 넘나들고 있기 때문이다. 한편 업무와 사생활의 구분이 흐려지는 경향이 기업 보안에 미치는 영향은 지난 2012 CCWTR에서도 상세히 기술된 바 있다.

2012 CCWTR이 Y 세대 직장인을 대상으로 조사한 바에 따르면, 차세대 직장인의 91%는 프라이버시가 중요시되는 시대는 이미 저물었다 생각한다. 응답자의 1/3은 자신들에 대해 기록되고 저장된 데이터에 대해 전혀 신경을 쓰지 않는다고 답했으며, 이들은 온라인 소셜 활동을 위해 개인 정보를 희생할 의향이 있는 것으로 드러났다.

한편, 한국의 Y세대 직장인 중 97%가 프라이버시를 중요시하는 시대는 지나갔다고 생각하고, 22%는 온라인을 통해 저장되는 자신의 개인 정보에 대해 신경을 쓰지 않는 것으로 나타났다.

또한, 다수의 차세대 직장인은 직원 계정과 모바일 기기를 안전하게 보호하려는 회사의 IT 부서보다 온라인 쇼핑몰에 개인 정보를 공유하는 일에 대한 거부감이 덜한 것으로 나타났다. 전세계 Y세대 직장인의 66%가 직원들이 업무용 기기로 개인 온라인 활동을 하는 것을 기업 IT 부서가 모니터링해서는 안된다고 대답한 반면, 한국에서는 92%나 되는 응답자들이 IT 부서가 업무용 기기로 전달되는 개인 정보 또는 온라인 활동에 대해 아는 것에 거부감을 보였다.

대학 졸업 후 취업전선에 뛰어든 Y세대가 해마다 증가하고 있으며, 이들이 소셜 미디어 사용에 대한 자유, 모바일 기기 선택의 자유, 자유로운 모바일 라이프스타일 보장 등이 기업 문화와 정책에 반영되기를 기대한다는 점을 염두에 둘 필요가 있다. 2012 CCWTR에 따르면, 전세계적으로 Y세대의 4명 중 3명이 침대에서 빠져 나오기도 전에 스마트폰부터 확인하며, 46%가 식사 중에도, 3명 중 1명이 화장실에서도, 5명 중 1명이 운전 중에도 끊임없이 소셜 미디어와 이메일, 문자를 확인하는 것으로 나타났다.

이러한 Y세대의 자유분방한 모바일 라이프스타일은, 기업들이 시대에 걸맞은 환경을 구축하고 차세대 인력을 유치하기 위해 업무 환경에 대대적인 변화를 일으키는 계기가 되고 있다. 하지만 안타깝게도 이러한 Y세대 직장인의 라이프스타일은 기업들이 이전에 겪어보지 못한 엄청난 규모의 보안 문제도 함께 야기하고 있다.

시스코의 글로벌 정부 및 기업 보안 부문 수석부사장 겸 최고 보안 책임자(CSO)인 존 N. 스튜어트(John N. Stewart)는 “보안 위협 및 이를 방어하는 기술들은 서로의 영향을 받아 해마다 변하고 있는데, 시스코 연례 보안 보고서는 이러한 전세계적인 위협 패턴과 트렌드를 조사한 전문성이 뛰어난 보고서”라며, “여기에 CCWTR의 내용과 차세대 직장인이 갖는 보안 인식에 대한 내용을 결합하면 도움이 되지만 한편으로는 매우 골치 아픈 보안 상관관계와 결론에 대한 정보를 얻을 수 있다”고 설명했다.

또한 그는 일과 사생활의 경계가 무너진 오늘날의 근무 환경을 언급하며, “해커들은 이런 근무 환경을 매우 잘 인지하고 있으며, 이제 개인이 검색 엔진, 쇼핑몰, 소셜 미디어, 스마트폰/태블릿 애플리케이션 등에서 직면하는 보안 위협은 곧 기업의 보안 위협 증대로 이어지고 있다. 이번 2013 ASR은 보안 트렌드뿐만 아니라 보안 접근 방식 정립에 유익한 실질적인 데이터와 아이디어도 함께 제공한다”고 덧붙였다.

이번 조사가 이뤄진 18개 국가는 미국, 캐나다, 멕시코, 브라질, 아르헨티나, 영국, 프랑스, 독일, 네덜란드, 러시아, 폴란드, 터키, 남아프리카공화국, 인도, 중국, 일본, 대한민국, 호주 등이다.

2013 ASR의 주요 내용을 보다 자세히 살펴보면 다음과 같다.

<2013 ASR 주요 내용>

안드로이드 악성코드

– 2012년 대비 안드로이드 악성코드거 2,577%나 증가했다.

– 하지만, 모바일 악성코드가 전체 악성코드에서 차지하는 비율은 0.5%에 불과하다.

– 이러한 안드로이드 악성코드 발생 트렌드는 Y세대 직장인이 가장 많이 사용하는 모바일 기기가 스마트폰임을 고려해볼 때 더욱 중요한 의미를 갖는다.

국가별 악성코드 발생현황

2012년에는 악성코드 발생 국가 순위에 전세계적으로 큰 변동이 있었다. 중국은 지난 2011년 악성코드 발생 국가 순위에서 2위를 차지했지만 2012년에는 6위로 하락했다. 한편, 덴마크, 스웨덴과 같은 스칸디나비아 국가의 경우 웹 악성코드가 증가하여, 덴마크와 스웨덴은 악성코드 발생 국가 순위에서 각각 3위와 4위를 차지했다. 미국은 전체 33.14%를 차지하며 1위를 유지했다.

1위. 미국(United States): 33.14%

2위. 러시아 연방(Russian Federation): 9.79%

3위. 덴마크(Denmark): 9.55%

4위. 스웨덴(Sweden): 9.27%

5위. 독일(Germany): 6.11%

6위. 중국(China): 5.65%

7위. 영국(United Kingdom): 4.07%

8위. 터키(Turkey): 2.63%

9위. 네덜란드(Netherlands): 2.27%

10위. 아일랜드(Ireland): 1.95%

스팸 발생 현황

– 2012년 스팸 발생량은 2011년에 비해 18% 감소했고, 대다수의 스팸이 업무시간 동안 전송된 까닭에 주말 동안의 스팸 발생량은 25% 감소했다.

– 2012년의 대다수 스팸은 근무주간에 발송되었으며, 스팸 발생량이 가장 많은 요일은 화요일이었다.

– 전세계에서 스팸 메일을 가장 많이 보낸 국가는 인도이다. 한편 스팸 최다 발신국 순위에서 미국은 2011년 6위에서 2012년 2위로 상승했고, 한국, 중국 및 베트남이 각각 3, 4, 5위를 차지했다.

– 스팸메일에 가장 많이 이용되는 브랜드는 비아그라, 시알리스와 같은 처방약과 롤렉스, 오메가와 같은 명품 시계이다.

– 스팸 발송자들은 실제로 일어난 행사들을 반영한 구체적인 단기 전략으로 투자수익률(ROI)을 극대화하고 있다.

1~3월: MS 윈도우 8(Microsoft Windows 8) 소비자 체험 버전 공개에 맞춰 윈도우 소프트웨어 스팸 발송

2~4월: 미국 내 세금 신고 기간 동안 세금 소프트웨어 스팸 발송

1~3월 및 9~12월: 이직이나 전직 열망이 가장 높은 연초나 연말에 링크드인(LinkedIn)과 같은 구인구직 소셜 네트워크 관련 스팸 발송

9~11월: 애플 아이폰5 출시에 맞춰 통신사 관련 스팸 발송

프라이버시 희생

시스코는 언제나 원할 때마다 온라인에 접속하는 Y세대 직장인의 태도 및 행동을 조사함으로써 보안 위협이 기업에 미치는 영향을 분석했다.

– 2012 CCWTR에 따르면, 조사에 참여한 Y세대 중 75%가 웹사이트에서 신용카드, 연락처 등 개인 정보가 보호될 것이라고 믿지 않는 반면, 그렇다고 해서 온라인 활동을 하지 않는 것은 아닌 것으로 나타났다. 즉, 이들은 자신은 피해자가 되지 않을 것이라 믿으며 온라인에 접속한다는 것. 따라서 Y세대 직장인이 회사 네트워크에서 업무용 모바일 기기로 온라인 활동을 하는 것은 기업에게 엄청난 보안 위협으로 작용하게 된다.

– 또한 Y세대의 57%는 쇼핑몰, 소셜 미디어 및 기타 온라인 사이트 이용 시 필요한 경우 개인 정보 제공에 거부감을 갖지 않는다고 밝혔다.

IT 정책 준수

– 2012 CCWTR에 따르면, 조사에 참여한 IT 전문가 10명 중 9명은 회사에 특정 기기 사용을 관리 및 통제하는 IT 정책이 있다고 말했지만, 정작 그러한 회사 정책을 알고 있다고 답한 Y세대 직장인은 40%에 불과했다. 한편, 한국인 Y세대 직장인 중 19%만이 회사에 이런 정책이 있다는 사실을 인지하고 있다.

– 설상가상으로, 회사의 IT 정책에 대해 알고 있다고 답한 Y세대 직장인 5명 중 4명은 그 정책을 준수하고 있지 않다고 답했다.

– IT 전문가들은 대다수 직원이 IT 정책을 따르지 않는다는 것을 알고 있지만 그 비율은 알지 못하는 것으로 나타났다. 또한 전세계 IT전문가의 절반은 직원이 IT 정책을 준수한다고 생각하고(한국 IT 전문가 중 33%만이 직원들의 정책 준수 신뢰) 있었던 반면, Y세대 직원의 4명 중 3명에 가까운 응답자가 IT 정책을 지키지 않는다고 답해 차이를 보였다. 전세계 Y세대 직원의 3명 중 2명은 회사 네트워크에서 업무용 모바일 기기로 온라인 활동을 한다고 해도, IT부서가 자신의 온라인 행동을 감시할 권리가 없다고 답했다.

– IT 부서의 감시에 대한 이 같은 반감은 쇼핑몰 사이트와 비교해 볼 때 더 명확하게 드러난다. 즉, Y세대는 일면식이 없는 쇼핑몰 사이트보다, 회사 구성원과 회사 정보를 보호하는 회사의 IT 부서가 자신의 온라인 활동을 모니터링하는 것을 더욱 싫어하는 것으로 나타났다.

만물인터넷(Internet of Everything(IoE) )과 보안의 미래
만물인터넷은 오늘날 가장 커다란 온라인 트렌드를 형성하고 있다. 인터넷에 연결되는 사람, 사물 및 기기의 수가 증가함에 따라 더 많은 장소에서 보다 많은 데이터가 기업 및 통신사업자 네트워크로 진입하게 되며, 이에 따라 새로운 취약점이 노출되므로, 보다 정교한 보안 방식 역시 요구되고 있다.

– 사물지능통신(M2M) 접속이 나날이 기하급수적으로 증가함에 따라, 모바일 기기, 노트북 및 데스크톱 영역을 뛰어넘는 엔드포인트가 급증하고 있으며, 네트워크, 애플리케이션 및 클라우드 종류에 관계 없이 자유로이 접속 가능한 기기의 시대가 도래하고 있다.

– 2020년에는 약 500억개의 사물이 인터넷에 연결되고, 전체 네트워크 연결 수는 약 1경 3,000조(정확히 13,311,666,640,184,600) 개 이상으로 급증할 것으로 예상된다. 즉, 사물이 단 한 개(500억+1)만 늘어나도, 전체 연결 개수에는 총 500억 개가 추가되는 것이다.

– 이처럼 늘어나는 네트워크 연결은 기업들이 활용 가능한 고급 데이터를 제공하는 ‘데이터 인 모션(data in motion)’을 생성하는데, 이런 데이터는 외부에 유출돼 피해가 야기되기 전에 실시간으로 보호돼야 한다.

– 네트워크 보안 전문가들은 이전에 엔드포인트 및 주변기기에 보안 중점을 두던 것에서 나아가 네트워크로 그 초점을 옮겨 콘텐츠 중립적인 보안 검사를 실시해야 한다.

시스코시스템즈코리아 http://www.cisco.com/kr

아이씨엔 매거진 2013년 03월호