IBM 소비자 조사 결과, 코로나로 인해 ‘사이버 보안 부작용’ 증가
- 국내 응답자, 코로나 기간 동안 평균 14개의 새 계정 생성, 10명 중 9명은 여러 계정에서 같은 암호 사용
- 10 명 중 6 명은 직접 전화 또는 방문보다 안전이 검증되지 않은 앱이나 웹 사이트 사용 선호

서울, 2021 6 15 IBM 시큐리티는 ‘코로나 기간 중 소비자의 디지털 행동과 사이버 보안에 미치는 잠재적인 영향’에 대해 한국을 포함한 글로벌 22개국 소비자 설문 결과를 발표했다. 이번 조사를 통해 사회가 디지털 교류에 점점 익숙해지면서, 개인들이 ‘편의’를 ‘보안과 개인정보 보호’보다 우선시하는 경우가 많아지고 있으며, 이는 암호 관리를 비롯한 다른 사이버 보안 행위에 대한 잘못된 선택으로 이어지고 있다는 것이 밝혀졌다.

소비자의 보안에 대한 안일한 태도는 코로나 기간 동안 많은 기업들이 빠르게 진행하고 있는 디지털 전환 작업과 맞물려 사이버 범죄자들에게 랜섬웨어에서 데이터 절도에 이르기까지 다양한 산업에서 사이버 공격을 펼치는 데 악용될 수 있다. IBM 시큐리티 X-Force에 따르면, 평소 개인이 가지고 있는 잘못된 보안 습관은 일터로 이어져, 2020년 사이버 공격의 주요 근본 원인 중 하나[1]로 보고되었던 손상된 사용자 신원 증명 시스템처럼 기업에게 많은 비용이 드는 보안 사고로 이어질 수 있다.

22개 시장의 성인 22,000명을 대상으로 최근 실시한 글로벌 설문 조사[2] 에서 한국 소비자들의 보안 활동에 대한 코로나의 영향은 다음과 같이 나타났다. 

  • 디지털 붐은 코로나 이후에도 지속: 한국 성인들은 코로나 기간 동안 평균 14개의 새로운 온라인 계정을 만든 것으로 나타났다. 응답자의 45%는 코로나 이후에도 이 계정들을 삭제하거나 비활성화하지 않을 계획이기 때문에, 앞으로 몇 년 동안 늘어난 디지털 활동 공간을 유지하게 될 것이며, 이는 사이버 범죄자가 공격할 수 있는 범위가 크게 늘어난 것을 의미한다. 
  • 다수의 계정으로 암호 피로도 증가: 디지털 계정의 급증은 느슨한 비밀번호 관리로 이어져 10명 중 9명(88%)이 같은 기간 동안 계정간 같은 암호를 사용한 적 있다고 답변했다. 이는 코로나 기간 동안 생성된 새로운 계정 다수에 지난 10년 동안 데이터 유출을 통해 이미 노출 되었을지 모르는 메일과 암호의 조합이 사용되었을 가능성이 크다는 것을 의미한다.
  • 편의성이 보안 개인 정보보다 우선: 국내 사용자의 거의 10명 중 6명(59%)이 직접 전화하거나 방문하는 것보다 안전이 검증되지 않은 앱이나 웹 사이트를 통해 주문하는 것을 선호한다고 답변했다. 사용자가 디지털 주문의 편리성 때문에 보안 문제를 간과할 가능성이 높아짐에 따라, 서비스 제공 기업들이 사기를 방지하기 위해 보안에 대한 더 많은 부담을 지게 될 것이다.  

“코로나로 인해 소비자들의 비대면 활동이 늘어나고 디지털 채널에 대한 의존도가 더욱 높아지게 되면서, 사이버 범죄의 타겟이 될 수 있는 가능성은 더욱 높아진 반면, 소비자들의 보안에 대한 의식은 상대적으로 낮아졌다는 것이 이번 조사를 통해 밝혀졌다. 따라서, 디지털 혁신을 진행하고 있는 기업들은 소비자들의 편의성을 고려하는 동시에, 보안 침해 사고가 발행하지 않도록 ‘제로 트러스트’ 접근방식과  같이 철저한 보안 시스템과 전략을 갖추는 데 더욱 심혈을 기울여야 할 것이다”라고 송기홍 한국IBM 대표이사 사장은 말했다.

또한, 이 조사를 통해 향후 사이버 보안 환경에 영향을 미치게 될 다양한 소비자 행동들이 밝혀졌다.

  • 조사에 따르면 국내 성인의 2/3(66%)은 새로운 디지털 계정을 만드는 데 5분 미만의 시간이 걸릴 것으로 기대하고 있다.
  • 국내 소비자들은 평균 4번의 로그인 실패 후 암호를 재설정한다. 그러나, 암호 재설정은 회사 비용을 높일 뿐만 아니라 이미 노출된 이메일 계정과 함께 사용될 경우 보안 위협을 초래할 수 있다.
  • 암호 재사용은 문제가 되고 있긴 하지만, 추가적인 정보를 확인하는 다단계 인증을 통해 위험을 줄이는 데 도움을 줄 수 있다. 대다수의 국내 소비자들은 최근 몇 주 동안 다단계 인증을 사용했다.

디지털 인증을 위한 기반 마련

디지털 헬스 패스, 소위 말하는 디지털 백신 여권의 개념은 소비자들에게 첨단 기술을 통해 개인의 특정 정보를 검증하는 디지털 인증에 대한 실제 사례를 보여준 것이다. 조사에 따르면 전 세계 성인의 65%가 디지털 인증 개념에 익숙하다고 답했으며, 76%가 일반적으로 허용될 경우 이를 채택할 가능성이 높다고 답했다.  

코로나 기간 중 디지털화된 ID 인증 경험은 여권이나 운전면허증과 같은 전통적인 신분증을 잠재적으로 대체할 수 있는 현대화된 디지털 ID 시스템의 보급을 촉진할 수 있다. 디지털 ID는 특정 거래에 필요한 제한된 정보만 제공함으로써 소비자들이 개인 정보를 보호할 수 있는 방법을 제공한다. 디지털 형태의 ID를 활용하면 미래를 위한 보다 지속 가능한 보안 및 개인 정보 보호 모델을 구축할 수 있지만, 위조를 방지하기 위해 이런 자격 증명이 손상될 경우, 확인하고 업데이트 할 수 있는 기능을 제공하는 블록체인 솔루션과 같은 보안 보호 장치가 마련되어야 한다.

변화하는 소비자 보안 환경에 기업이 적응하는 방법

기업은 코로나로 소비자와의 디지털 교류에 점점 더 의존하게 됨에 따라 사이버 보안 위험 요소에 미치는 영향을 고려해야 한다.  IBM 시큐리티는 디지털 편의성을 중심으로 소비자의 행동과 선호도가 변화하고 있다는 점을 고려하여 기업들에게 다음과 같은 보안 지침을 제안하고 있다.

  • 제로 트러스트 접근 방식: 점점 더 커지고 있는 위험을 고려할 때, 기업은 이미 인증된 ID나 네트워크라도 손상되었을 수 있다는 가정 하에 운영되는 "제로 트러스트" 보안 접근 방식을 취하는 것을 고려해야 한다. 사용자, 데이터 및 리소스 간의 연결 조건을 지속적으로 검증하여 승인하고, 필요성을 판단해야 한다. ‘제로 트러스트’ 접근 방식은 기업이 모든 사용자, 모든 장치 및 모든 상호 작용에 보안 상황을 적용하기 위해 보안 데이터와 접근 방식을 통합하도록 요구한다.
  • 소비자 신원 접근 관리(IAM) 전략 시스템 현대화: 소비자와 교류하는데 디지털 채널을 계속 활용하고자 하는 기업에게는 원활한 인증 프로세스를 제공하는 것이 중요하다. 기업은 현대화된 CIAM(소비자 신원 및 접근 관리Consumer Identity and Access Management) 전략에 투자함으로써 디지털 활용률을 높일 수 있다. 즉, 디지털 플랫폼 전반에 걸쳐 보다 원활한 사용자 경험을 제공하고 행동 분석을 사용하여 부정 계정 사용의 위험을 줄이는데 도움이 될 수 있다.
  • 데이터 보호 개인 정보: 디지털 사용자가 더 많아졌다는 것은 기업들이 보호해야 할 더 민감한 소비자 데이터도 갖게 된다는 것을 의미한다. 또 다른 연구에 의하면[3] 데이터 침해로 인해 기업은 연간 평균 386만 달러의 비용을 지출하고 있으므로, 기업은 데이터를 모니터링하여 의심스러운 활동을 탐지하고 중요한 데이터를 어디로 이동하든 암호화하는 등 무단 접근을 방지하기 위한 강력한 데이터 보안 제어 기능을 갖추어야 한다. 기업들은 소비자의 신뢰를 유지하기 위해 사내 서버나 클라우드 상에서 올바른 개인정보 보호정책을 시행해야 한다.
  • 보안 테스트 실시: 디지털 플랫폼에 대한 사용 및 의존도가 빠르게 변화함에 따라, 기업은 이전에 의존했던 보안 전략과 기술이 이러한 새로운 환경에서 그대로 유효한지 확인하기 위해 사고 대응 계획의 효과 재평가 및 보안 취약성 애플리케이션을 포함한 보안 전반에 대한 전용 테스트를 실시해야 한다.  

IBM 시큐리티 소개

IBM 시큐리티는 가장 발전되고 통합된 엔터프라이즈 보안 제품 및 서비스 포트폴리오 중 하나를 제공한다. 세계적인 IBM 시큐리티 X-포스(Force)® 연구소가 뒷받침하는 이 포트폴리오를 통해 조직과 기업들은 위험을 효과적으로 관리하고 새롭게 등장하는 위협을 방어하는 것이 가능하다. IBM은 세계에서 가장 광범위한 보안 연구 및 개발을 수행하고 보안 서비스를 제공하는 조직 중 하나로, 130여 개국에서 하루에 1500억 건의 보안 이벤트를 모니터링하고 있으며, 전 세계에서 10,000개 이상의 보안 관련 특허를 보유하고 있다. 자세한 내용은 www.ibm.com/security를 방문하거나 Twitter에서 @IBMSecurity 를 팔로우하거나 IBM Security Intelligence 블로그를 방문하여 확인할 수 있다.

# # #

 

[1] 2021년 IBM X-Force 위협 보고서: 사용자 자격 증명 침해는 2020 년 사이버 공격에 대한 초기 공격 매개체 중 3위 벡터로 사고의 18 %를 차지한다고 보고됨

[2] 2021 년 3 월 IBM을 대신하여 모닝 컨설트(Morning Consult)에서 글로벌 설문 조사를 실시. 22개국 22,000명 대상 (각 국가별 1,000명씩 조사되었으며 아르헨티나, 호주, 브라질, 캐나다, 칠레, 콜롬비아, 프랑스, 독일, 인도, 이탈리아, 일본, 멕시코, 페루, 싱가포르, 대한민국, 스페인, 영국, 미국, 중동, 중부 및 동부 유럽, 북유럽 및 BNL ( 벨기에, 네덜란드 및 룩셈부르크)에서 진행되었다.

 

[3] 2020 데이터 침해 비용 보고서(포네몬 연구소(Ponemon Institute)에서 실시한 벤치 마크 연구, IBM 시큐리티에서 분석 및 지원)