국내 기업이 사이버 공격으로 피해보는 경제적 손실이 연간 720억 달러(약 79조원)에 이른다는 주장이 나왔다. GDP 대비 약 5%다.
한국마이크로소프트는 18일 기자간담회를 갖고 글로벌 컨설팅업체 프로스트앤설리번과 공동으로 이같은 내용을 골자로 한 '사이버 위협 보고서'를 발표했다.
마이크로소프트는 매년 6개월마다 ‘보안 인텔리전스 보고서’를 발표해오고 있다. 이번에 발표한 보고서는 2017년 하반기부터 2018년 2월까지의 데이터를 분석한 결과다.
한국 마이크로소프트 보안 담당자인 김귀련 부장은 “인터넷을 통해 다수의 PC를 좀비 PC로 감염시킨 후 전 세계적으로 수백만 대의 컴퓨터에 지속해 영향을 끼치는 봇넷은 여전히 이어지고 있는 사이버 공격”이라며 “문서나 운영체제를 암호화해 금품을 요구하는 랜섬웨어 공격도 계속해서 증가하고 있다”고 밝혔다.
김 부장은 이번 보고서에서 가장 흥미로운 부분은 ‘식은 죽 먹기’ 방법인 피싱(Phishing) 공격이라고 소개했다. “예전에는 해커들이 새로운 취약점을 공격하는 등의 어려운 방법을 사용했다면, 이제는 ROI를 만족하기 위해 비용이 적게 들고 효과가 큰 피싱(Phishing) 공격을 많이 사용한다”고 설명했다.
실제로 2017년 11월부터 2018년 1월까지 3개월 동안 멀웨어 감지 지능형 솔루션을 통해 조사해 본 결과, 매월 발생하는 피싱 메일이 1억 8천 개에서 2억 개에 달한다고 밝혔다. 김 부장은 “마이크로소프트가 매달 조사하는 이메일이 4억 개인데, 그중 50%를 차지할 만큼의 굉장히 높은 수치”라고 말했다.
이어 이 3가지 트렌드가 서로 동떨어진 것이 아닌 모두 연계돼 나타나는 것으로 확인됐다고 밝혔다. 대표적으로 악성 봇넷 중 하나인 가마루(Gamarue)는 주로 피싱 메일을 보내 랜섬웨어를 감염시켜 금전적 손실을 취하는 공격 방법을 이용한다고 설명했다.
마이크로소프트는 가마루 프로젝트를 통해 멀웨어(악성코드) 4만 4천 개 샘플을 분석했으며, 분석을 통해 80여 종 이상의 멀웨어 패밀리가 있는 것을 확인했고 대부분 랜섬웨어로 이어졌다고 밝혔다. 랜섬웨어 감염률은 미얀마, 방글라데시 등 개발도상국이 감염률이 가장 높았으며, 한국과 미국, 일본은 랜섬웨어 감염률이 낮은 편으로 나타났다.
보고서에 따르면 이러한 사이버 공격으로 국내 기업이 입은 직간접 손실액은 약 720억 달러(약 79조 원)로 국내 총생산의 5%에 달한다. 국내 대형 기업의 경우는 기업당 평균 약 300억 원의 경제손실을 입은 것으로 확인됐다.
글로벌 컨설팅 업체인 프로스트앤설리번 최승환 이사는 “이런 경제적 손실은 빙산 효과”라며 “눈에 보이는 직접적 손실보다 빙산 아래 감춰져 있는 간접적, 추가적 손실이 더 심각하다”고 말했다. “사이버 공격에 따른 고객 이탈, 기업 평판 훼손, 책임자 처벌로 인한 실직과 같은 간접적 손실과 추가적 손실로 인한 피해가 전체 90% 가까이 되는 것으로 나타났다”고 설명했다.
이번 보고서에서는 국내 기업의 보안 의식 실태도 함께 조사됐다. 인식 조사에 참여한 국내 기업 중 보안사고를 경험했거나, 사이버 공격 사고 여부조차 모른다고 응답한 경우가 39%에 달했다. 보안사고를 경험한 기업은 10%였고, 사이버 공격 사고 여부조차 모른다고 답한 기업은 10%였다.
관련기사
- "마이크로소프트, 보급형 서피스 올해 안 출시"2018.06.18
- 마이크로소프트, 깃허브 인수한다2018.06.18
- 美 마이크로소프트, 中 대학과 무료 'AI 교육' 나서2018.06.18
- 마이크로소프트365는 무엇인가2018.06.18
또 사이버 공격을 우려해 디지털 트랜스포메이션을 연기하고 있다고 말한 응답자 역시 35%에 달하는 것으로 나타나 사이버 보안에 대한 인식 제고가 시급한 것으로 확인됐다.
김귀련 부장은 “사이버 보안 위협을 예방하기 위한 조치로 사용자들의 보안 인식을 계속 강화해야 한다”며 “출처가 의심스러운 부분을 사용자가 막을 수 있도록 기업에서도 교육해야 한다”고 강조했다. 또 “교육으로는 한계가 있기 때문에 지능화된 클라우드 솔루션을 도입해 미리 차단할 수 있도록 해야 한다”고 조언했다.