ESG 연구: 중소기업이 보안 침해에 대비하지 못하는 문제를 해결하는 방법

사이버 보안 업계 전반의 최선의 노력에도 불구하고 침해 사고는 여전히 피할 수 없지만, 더 이상 전 세계 대기업에만 국한되지 않는다는 것은 분명합니다.

최근 Forrester의 수석 애널리스트 데이비드 홈즈와 일루미오의 CTO PJ 커너가 나눈 대화에서, 2021년에 엔터프라이즈 기업의 63%가 12개월 동안 보안 침해를 당했으며, 보안 침해를 발견하고 복구하는 데 평균 240만 달러의 비용이 들었다고 합니다.

이 수치는 놀라운 수준이며, 기업 침해 사고는 전 세계 언론의 헤드라인을 장식합니다. 하지만 실제로 랜섬웨어 공격의 가장 큰 표적이 되는 시장 부문은 중소기업(SMB)이며, Gartner에 따르면 랜섬웨어 공격의 82%가 직원 수 1,000명 미만의 기업을 대상으로 하고 있습니다.

보안 침해는 더 이상 기업만의 악몽이 아닙니다.

중소규모 조직은 단순히 표적만 가지고 있는 것이 아니라 보안 침해에 성공하면 심각한 결과를 초래할 수 있습니다.

분석 기관인 ESG(Enterprise Strategy Group)의 새로운 보고서에 따르면 전 세계 조직의 사이버 보안 전문가를 대상으로 설문조사를 실시한 결과, 소기업(직원 수 500~2,499명) 및 중견기업(직원 수 2,500~4,999명) 부문의 응답자들은 조직이 큰 손실 없이 더 많은 침해 사고를 견딜 수 있을지에 대해 상당한 불확실성을 느끼고 있는 것으로 나타났습니다:

• 랜섬웨어 공격으로 데이터와 시스템이 인질로 잡힌 중소기업의 85%는 직접 또는 사이버 보험 제공업체를 통해 몸값을 지불해야 했습니다.
• 중소기업이 지불한 평균 몸값은 33만 3천 달러 이상이었으며, 중견기업의 평균은 51만 3천 달러 이상이었습니다.
• 소기업 응답자의 17%만이 자신의 비즈니스가 침해 사고에 대처할 준비가 되어 있다고 생각했으며, 57%는 침해 사고가 재난으로 이어질 가능성이 있다고 생각했습니다. 이에 비해 중견기업 응답자의 21%는 침해 사고에 대응할 준비가 되어 있다고 답했습니다.

이러한 응답을 보면 조직들이 침해에 대한 준비가 부족하고 침해가 더 큰 재난으로 이어질 가능성이 있으며 랜섬웨어와 같은 공격의 결과로 상당한 재정적 손실이 발생할 수 있다는 점을 인식하고 있다는 것을 알 수 있습니다.

ESG 보고서 전문 읽기 여기.

보안에 대한 잘못된 인식으로 운영하시나요?

이러한 결과는 업계 분석가들의 의견과 일치하지만, ESG 보고서의 한 가지 통계가 눈에 띕니다: 중견기업의 41%와 중소기업의 44%가 보안 침해를 가정하고 운영하지 않는다는 것입니다. 이는 기업이 말하는 것과 실제 운영 방식 사이에 불안한 단절이 존재한다는 것을 의미합니다.

중소기업이 표적 공격이 많고 침해에 대한 대비가 부족하다고 느낀다면 왜 그에 맞게 운영하지 않을까요?

결국 중소기업은 대기업과 동일한 보안 위협에 직면해 있지만, 보안 전략을 설계하고 실행할 수 있는 인력과 예산이 훨씬 적은 IT 리소스를 보유하고 있습니다.

다행히도 이러한 문제를 해결하기 위해 중소기업은 자체 관리의 부담 없이 강력한 보안을 제공하는 신뢰할 수 있는 조언자로 관리 서비스 공급업체(MSP)를 찾고 있습니다. 또한 중소기업은 보안 전략의 로드맵을 정의하기 위해 NIST CSF, CIS 및 CMMC와 같은 보안 프레임워크를 채택하고 있습니다.

제로 트러스트 세분화 성숙도의 이점

ESG의 또 다른 통계에 따르면 중소기업 응답자의 92%, 중견기업 응답자의 90%가 제로 트러스트를 3대 사이버 보안 우선 순위라고 답하는 등 중소기업과 중견기업이 제로 트러스트를 우선순위에 두고 있습니다.

또한 연구 응답자들은 제로 트러스트 세분화(ZTS)에 대한 진행 상황에 따라 세 가지 범주로 분류되었습니다. 중소기업의 7%만이 개척자 범주에 포함되었으며, 이는 ZTS를 도입한 기업이 많다는 것을 의미합니다. 많은 조직이 세분화의 중요성을 인식하고 있지만, 이 통계는 대부분의 중소기업의 보안 성숙도에는 아직 개선해야 할 점이 많다는 것을 보여줍니다.

파이오니어로 분류된 기업들은 ZTS를 도입하지 않은 동종 업계에 비해 보안 및 비즈니스 측면에서 상당한 이점을 누리고 있었습니다.

ESG에 따르면 파이오니어는 다음과 같은 혜택을 누릴 수 있습니다:

• 환경 전반의 트래픽에 대한 포괄적인 가시성을 확보할 가능성이 4.3배 증가했습니다.
• 모든 유형의 애플리케이션 아키텍처에 대한 포괄적인 가시성 확보 가능성 5배 증가
• 연간 다운타임 비용 절감
• 보안 사고로부터 평균 복구 시간(MTTR) 68% 단축
• 사이버 공격에 대응할 준비가 되어 있다고 느낄 가능성이 두 배 증가했습니다.

제로 트러스트 세분화의 이점을 쉽게 실현하는 방법

소규모 팀과 적은 예산으로 '세분화'와 궁극적으로 '침해 대비'로 가는 길은 많은 사람이 생각하는 것보다 훨씬 빠르고 간단할 수 있습니다.

Illumio는 중소기업에 빠르고 사용하기 쉬운 도구를 제공하여 네트워크에 대한 가시성을 확보하고, 몇 번의 클릭만으로 침해 확산을 억제하고, 엔드포인트를 세분화하여 공격이 더 이상 침투할 수 없도록 합니다.

일루미오를 통한 침해 위험 감소는 2021년 3분기 공격의 거의 절반을 차지한 원격 데스크톱 프로토콜(RDP) 악용을 포함하여 멀웨어가 전파하는 데 사용하는 모든 프로토콜을 차단하여 침해 확산을 즉시 막을 수 있습니다.

중소기업의 IT 및 보안 리더는 제로 트러스트 세분화를 구현하려는 의도는 좋지만, 불가피한 침해에 대비하여 자신감을 갖고 대비할 수 있는 간단한 방법을 Illumio에서 제공합니다.

여기에서 ESG 보고서 전문을 읽어보세요.

일루미오 제로 트러스트 세분화가 중소기업을 선제적으로 보호하는 데 어떻게 도움이 되는지 자세히 알아보기: illumio.com/solutions/smb