데이터는 세계 경제의 많은 부분을 움직입니다. 사이버 범죄자들은 이러한 데이터의 가치를 잘 알고 있으며, 민감한 정보를 훔치거나 랜섬웨어의 경우 데이터를 인질로 잡는 사이버 공격이 점점 더 일반화되어 피해가 늘어나고 막대한 비용이 발생하고 있습니다. IBM의 '2021년 데이터 유출 비용 보고서'에 따르면, 데이터 유출로 인한 평균 총 비용은 2020~2021년 424만 달러로 최고치를 기록했습니다.
피해 기업은 데이터 유출로 인해 다양한 방식으로 손해를 입습니다. 예상치 못한 가동 중단 시간은 비즈니스 손실로 이어집니다. 고객의 민감한 정보가 노출되면 기업은 종종 고객을 잃고 평판에 심각한, 때로는 돌이킬 수 없는 손상을 입게 됩니다. 도난당한 지적 재산은 기업의 수익성을 떨어뜨리고 경쟁력을 약화시킬 수 있습니다.
또한 데이터 유출 피해 기업은 규제에 따른 벌금이나 법적 처벌을 받을 수도 있습니다. 일반 데이터 보호 규정(GDPR)과 같은 정부 규정과 의료보험의 양도 및 책임에 관한 법률(HIPAA)과 같은 업계 규정에 따라 기업은 고객의 민감한 정보를 보호해야 하며, 이를 위반할 경우 막대한 벌금이 부과될 수 있습니다. Equifax는 2017년 데이터 유출로 인해 연방거래위원회(FTC), 소비자금융보호국(CFPB) 및 50개 주에 최소 5억 7,500만 달러의 벌금을 납부하기로 합의했으며, British Airways는 2018년 데이터 유출과 관련된 GDPR 위반으로 2021년 10월에 2,600만 달러의 벌금을 부과받았습니다.
기업들은 당연히 정보 보안 기술 및 인재에 그 어느 때보다 많은 투자를 하고 있습니다. Gartner는 2021년 정보 보안과 위험 관리 기술 및 서비스에 대한 지출이 2020년보다 12.4% 증가한 총 1,504억 달러에 달할 것으로 예상합니다. 정보 보안 노력을 감독하는 최고 정보 보안 책임자(CISO)는 기업 최고 경영진의 필수 요직이 되었습니다. 또한 (ISC)²의 공인 정보 시스템 보안 전문가(CISSP) 자격증과 같은 고급 정보 보안 인증을 획득한 정보 보안 분석가에 대한 수요도 증가하고 있습니다. 미국 노동통계국은 이러한 자격증을 보유한 분석가의 고용이 2030년까지 33% 증가할 것으로 예상합니다.
정보 보안은 정보 시스템 보안 및 위험 완화를 위한 표준을 설정하는 원칙에 기반을 두고 있으며, 이 원칙은 수십 년 동안 지속적으로 발전해 왔습니다.
1977년에 도입된 CIA 3대 요소는 조직의 정보 기술(IT) 인프라 내에서 데이터를 생성, 저장, 사용 및 교환하는 데 관련된 하드웨어, 소프트웨어, 인력 등 정보 시스템을 보호하기 위한 기술, 정책 및 실행을 조직이 선택할 수 있도록 안내하기 위해 고안되었습니다. 3대 요소는 다음과 같습니다.
기밀성: 액세스 권한이 없는 당사자가 데이터에 액세스할 수 없도록 합니다. 기밀성은 기업 데이터의 대부분에 액세스할 수 있는 권한이 있는 내부자부터 일반인에게 공개된 정보만 볼 수 있는 권한이 있는 외부자에 이르기까지 다양한 수준으로 존재합니다.
무결성: 기업 데이터베이스에 포함된 모든 정보가 완전하고 정확하며 변조되지 않았는지 확인합니다. 무결성은 공격자가 의도적으로 데이터를 변경하는 행위를 방지하는 것부터 선의의 사용자가 의도적 또는 비의도적으로 데이터를 무단 변경하는 행위를 방지하는 것까지 모든 경우에 적용됩니다.
가용성: 사용자가 필요할 때 액세스 권한이 부여된 정보를 이용할 수 있도록 보장합니다. 가용성은 정보 보안 조치 및 정책이 승인된 데이터에 대한 액세스를 방해해서는 안 된다는 원칙을 담고 있습니다.
정보 시스템 내에서 데이터의 기밀성, 무결성, 가용성을 달성하고 유지하는 지속적인 프로세스를 '정보 보증'이라고 합니다.
정보 보안 전문가는 정보 보안 프로그램을 만들어 정보 시스템에 정보 보안 원칙을 적용합니다. 이러한 프로그램은 정보 보안 정책, 보호 조치 및 정보 보증을 시행하기 위한 계획을 종합한 것입니다.
정보 보안 프로그램을 만드는 것은 일반적으로 사이버 위험 평가에서 시작됩니다. 정보 보안 전문가는 기업 정보 시스템의 모든 측면을 감사함으로써 기업이 직면한 정확한 위험을 파악하고 위험을 완화하기 위한 가장 적절한 보안 조치와 기술을 선택할 수 있습니다. 사이버 위험 평가에는 일반적으로 다음 사항이 포함됩니다.
취약점 식별: 취약점은 공격자가 데이터에 무단으로 액세스하기 위해 악용할 수 있는 정보 기술(IT) 인프라의 모든 약점을 말합니다. 예를 들어 해커는 컴퓨터 프로그램의 버그를 악용하여 멀웨어나 악성 코드를 합법적인 앱이나 서비스에 삽입할 수 있습니다.
일반 사용자도 정보 시스템의 취약점이 될 수 있습니다. 예를 들어, 사이버 범죄자는 피싱과 같은 소셜 엔지니어링 공격을 통해 사용자를 조종하여 민감한 정보를 공유하도록 유도할 수 있습니다.
정보 보안 전문가는 이러한 취약점을 발견하기 위해 자체 정보 시스템에 대한 모의 공격인 모의 침투 테스트를 자주 활용합니다.
위협 식별: 위협이란 정보 시스템의 기밀성, 무결성 또는 가용성을 손상시킬 수 있는 모든 요인을 말합니다.
사이버 위협은 디지털 취약점을 악용하는 위협입니다. 예를 들어 서비스 거부(DoS) 공격은 사이버 범죄자가 기업 정보 시스템의 일부에 트래픽을 과도하게 발생시켜 시스템을 다운시키는 사이버 위협입니다.
또한 물리적 위협도 발생할 수 있습니다. 자연 재해, 물리적 또는 무장 공격, 심지어 시스템 하드웨어 장애도 기업 정보 시스템에 대한 위협으로 간주됩니다.