현대 기업 환경에서 사이버 공격은 단순한 IT 장애가 아니라 기업의 생존을 위협하는 핵심 경영 리스크다. 해킹은 기술적 취약점뿐 아니라 사람의 실수와 조직 내부 절차의 허점을 악용하는 소셜 엔지니어링 등을 통해 발생한다. 해킹은 기업 활동을 마비시키고 막대한 재무·평판 손실을 초래한다. AI 발전으로 소셜 엔지니어링이 점점 정교해지는 시대에 사이버 보안은 IT 부서의 기술 과제가 아니라 CEO가 직접 이끌어야 할 경영 과제다. 경영진은 자기 자신부터가 공격의 표적이 될 수 있다는 점을 알고 나날이 교묘해지는 신용 사기에 대비해야 한다. 시스템의 모든 구성 요소가 해킹의 공격 표면이 될 수 있다고 가정하는 ‘제로트러스트(Zero-Trust)’의 원칙에 기반해 시스템을 구축하고 명확한 의사결정 구조를 확립해야 한다. 아울러 초연결사회인 만큼 고객 및 협력사와 공급망 관리까지 포괄적으로 책임져야 한다.
“기업 정보 보안에서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다.”
1990년대 유명했던 해커 케빈 미트닉의 말이다. 그는 해킹이 IT와 결합된 속임수이자 사기술이라고 말한다. 이 사기술이 나날이 교묘해지면서 사이버 보안에서 ‘사회공학(Social Engineering)’으로 인한 피해가 커지고 있다. 사회공학이란 기술적 취약점이 아니라 인간 상호작용을 통한 신뢰 구조를 겨냥해 상대가 스스로 정보를 제공하거나 보안 절차를 무력화하도록 유도하는 조작 기법을 의미한다. 즉 단순한 속임수를 넘어 관계 형성, 권위 활용, 긴급성 조성 같은 심리 전략을 체계적으로 결합해 작동하는 비기술적 침투 방식, 이른바 ‘사기 수법’이다.
최근 국내에서는 굴지의 통신사, 거대 온라인 유통 회사, 법원이나 정부 기관까지 이런 신용 사기(confidence trick)수법에 당했다는 소식이 끊이지 않고 있다. 각 분야를 대표하는 큰 조직들이 사이버 위협에 대해 대비를 하지 않았을 리 없다. 그런데도 허망하게 공격을 당해 막대한 피해를 입고 있는 것이다. 현대 기업 환경에서 사이버 사고는 단순한 IT 시스템의 장애가 아니다. 오늘날 사이버 리스크는 재무, 법률, 평판 리스크와 함께 CEO가 직접 관리해야 할 핵심 경영 리스크다. 사이버 시스템은 조직과 기업 활동의 영속성을 유지하는 기본 인프라 자산이고, 사이버 보안은 경영자가 책임지고 수행해야 하는 중요한 경영 과제다.
15,000개의 아티클을 제대로 즐기는 방법
가입하면, 한 달 무료!
걱정마세요. 언제든 해지 가능합니다.
성명훈
이피아이랩 대표
필자는 서울대 의과대학 교수를 지냈고 정년 퇴임 후 사이버 보안 전문 컨설팅 스타트업 ‘이피아이랩’ 대표를 맡고 있다. 서울대병원 기획조정실장으로 일하면서 대형 병원 최초로 전자의무기록 시스템을 도입하는 데 참여했고 UAE의 Sheikh Khalifa Specialty Hospital 원장 등을 지내며 의료 정보 관리, 사이버 보안 시스템 구축 경험을 축적했다. 저서로 『CEO도 알아야 할 사이버 보안』이 있다.
아티클 AI 요약 보기
