회사가 사이버 문을 열어두면 해커에게 키가 필요하지 않습니다

 

2024년 데이터 유출 사건을 통해 기업 사이버 보안은 더 이상 단순히 대응적인 IT 문제가 아니라 핵심 비즈니스 과제라는 것이 분명해졌습니다.

금요일(1월 24일) 뉴스에서 지난 2월 Change Healthcare 사이버 공격으로 영향을 받은 개인의 추정 총 수가 "약 1억 9천만 명"으로 밝혀진 것처럼, 이는 곧 사라지지 않을 것입니다. 이는 "대략" 미국인 2명 중 1명입니다.

이 수치는 Change Healthcare의 모회사인 UnitedHealth가 앞서 공유한 추정치 1억 건의 거의 두 배에 달하며, 이는 공격자가 어떻게 상호 연결된 시스템을 악용하고 조직 내부에서 공격 범위를 기하급수적으로 확장할 수 있는지를 잘 보여줍니다. ALPHV라고도 알려진 BlackCat 사이버 범죄 그룹의 소행인 Change Healthcare 사이버 공격으로 인해 6TB 상당의 PHI(보호 건강 정보) 및 PII(개인 식별 정보)가 도난당했습니다.

 

랜섬웨어 집단은 Change Healthcare의 서버를 별도로 암호화하여 접속 대가로 2,200만 달러의 몸값을 요구했고 UnitedHealth Group은 이를 지불했습니다.

Change Healthcare만이 사이버 범죄자의 표적이 되는 것은 아닙니다. 14개 병원으로 구성된 학술 의료 시스템인 Allegheny Health Network도 금요일에 IT 계약업체 IntraSystems LLC를 상대로 무단 위반으로 도난당한 293,000명의 환자의 개인 데이터를 보호하지 못했다고 고소장을 제출했습니다.

다른 곳에서는 호텔 관리 플랫폼 Otelier의 데이터 유출로 인해 Hilton 및 Marriott를 포함한 유명 호텔 체인 고객의 예약 데이터가 노출되는 다운스트림 영향이 있었습니다. 클라우드 기반 교육 소프트웨어 제공업체인 PowerSchool의 별도 데이터 침해로 인해 수백만 명의 학교 학생 데이터가 도난당했습니다.

종합해보면, 이러한 침해는 안전하다고 생각되는 시스템의 취약점을 노출했을 뿐만 아니라 사이버 범죄자의 진화하는 전술과 마찬가지로 역동적인 방어의 필요성을 강조했습니다.

 

데이터 암호화에 대한 전체적인 접근 방식 수용

비즈니스가 점점 디지털화됨에 따라 고객 데이터 보호에 대한 중요성이 그 어느 때보다 높아졌습니다.

PYMNTS Intelligence 보고서 12월호 "AI MonitorEdge 보고서: COO가 GenAI를 활용하여 데이터 보안 손실을 줄입니다"에 따르면, 회사에서 AI 기반 자동화 사이버 보안 관리 시스템을 채택했다고 보고한 최고 운영 책임자(COO)의 비율이 3배로 늘어났습니다. 지난 5월 약 17%에서 2024년 8월에는 55%에 도달했습니다. 보고서를 위해 설문조사에 참여한 각 COO는 연간 10억 달러 이상의 수익을 창출하는 조직을 대표합니다.

데이터 암호화가 유휴 데이터, 전송 중 데이터, 심지어 사용 중인 데이터까지 처리해야 하는지 여부에 대한 지속적인 불확실성으로 인해 상황이 더욱 복잡해지고 있습니다. 이는 잠재적으로 조직이 최신 AI 기반 솔루션에 비해 오래되었거나 불충분하다고 설명될 수 있는 암호화 프로토콜을 사용하는 동안에도 규정을 준수한다고 주장할 여지를 남깁니다.

결국 2024년의 랜섬웨어 3.0 공격에서 알 수 있듯이 사이버 범죄자는 단순히 데이터를 암호화하고 몸값을 요구하는 수준을 넘어서고 있습니다. 이제 그들은 민감한 데이터를 공개하고 서비스를 방해하며 고객이나 파트너를 직접 표적으로 삼겠다고 위협하는 "삼중 갈취" 계획에 참여하고 있습니다.

“본질적으로는 적대적인 게임입니다. 범죄자들은 ​​돈을 벌기 위해 나가고 있으며 [비즈니스] 커뮤니티는 그러한 활동을 줄여야 합니다. 이제 달라진 점은 양측이 정말 인상적인 기술로 무장하고 있다는 것입니다.”라고 Hawk의 최고 솔루션 책임자인 Michael Shearer는 PYMNTS에 말했습니다.

 

중소기업에 대한 큰 목표

공격자의 수완이 더욱 풍부해짐에 따라 기업은 지속적인 개선에 대한 사고방식을 채택하고 혁신과 경계를 통해 위협보다 앞서 나가야 합니다.

민감한 데이터를 실제로 보호하기 위해 조직은 저장 데이터 암호화, 전송 중인 데이터 보호, 사용 중인 활성 데이터 보호 등 데이터 수명주기의 모든 단계를 다루는 포괄적인 암호화 전략의 통합을 고려할 수 있습니다.

그럼에도 불구하고 리소스가 적은 소규모 기업의 경우 최첨단 사이버 경계를 구축하는 것은 마진을 너무 깊게 삭감할 수 있으며 논쟁의 여지가 없는 리소스 할당이 어려울 수 있습니다.

PYMNTS Intelligence의 2025 확실성 프로젝트(The 2025 확실성 프로젝트)의 최신 조사 결과에 따르면 중견기업도 사이버 보안 위협에 불균형적으로 영향을 받아 재정적 손실이 발생하고 전망이 더욱 비관적으로 변하는 것으로 나타났습니다. 게다가 사이버 위협으로 인한 재정적 혼란으로 인해 미드마켓 기술 이니셔티브가 지연되거나 취소되는 경우가 많습니다. 불확실성이 높은 기업 10곳 중 8곳 이상(81%)이 사이버 보안 문제로 인해 혁신이 지연되고 있다고 보고했습니다.

Radar CEO이자 공동 창립자인 Nick Patrick은 PYMNTS에 “사기꾼은 항상 사기를 칩니다.”라고 말했습니다. "그러나 올바른 도구를 사용하면 기업은 한 발 앞서 나갈 수 있습니다."