IT 보안(정보 기술 보안의 줄임말)은 무단 액세스, 데이터 침해, 사이버 공격 및 기타 악의적인 활동으로부터 조직의 IT 자산(컴퓨터 시스템, 네트워크, 디지털 장치, 데이터)을 보호하는 관행입니다.
IT 보안의 범위는 광범위하며 디지털 디바이스, 컴퓨터 네트워크, 서버, 데이터베이스 및 소프트웨어 애플리케이션의 취약점을 해결하기 위해 함께 작동하는 여러 기술과 보안 솔루션이 포함되는 경우가 많습니다. IT 보안의 가장 일반적인 예로 엔드포인트 보안, 클라우드 보안, 네트워크 보안, 애플리케이션 보안과 같은 디지털 보안 분야를 들 수 있습니다. 그러나 IT 보안에는 데이터와 IT 자산을 보관하는 건물과 장치를 보호하는 데 필요한 잠금 장치, ID 카드, 감시 카메라 등의 물리적 보안 조치도 포함됩니다.
IT 보안은 기술적으로 IT 보안의 하위 집합인 더 좁은 범위의 사이버 보안과 혼동되는 경우가 많습니다. 사이버 보안은 주로 랜섬웨어, 맬웨어, 피싱 사기와 같은 디지털 공격으로부터 조직을 보호하는 데 중점을 두는 반면, IT 보안은 하드웨어 시스템, 소프트웨어 애플리케이션, 노트북이나 모바일 디바이스와 같은 엔드포인트는 물론 회사 네트워크와 물리적 및 클라우드 기반 데이터 센터와 같은 다양한 구성 요소를 포함한 조직의 전체 기술 인프라를 서비스합니다.
IBM Security에서 권장하는 조치를 통해 조직의 사이버 복원력을 제어하세요.
사이버 공격과 보안 사고는 비즈니스 손실, 평판 훼손, 벌금, 경우에 따라 강탈 및 자산 도난 등 막대한 피해를 입힐 수 있습니다.
예를 들어, IBM의 2023년 Cost of a Data Breach 보고서는 2022년 3월부터 2022년 3월 사이에 데이터 유출을 겪은 550개 이상의 기업을 대상으로 연구했습니다. 이들 기업의 데이터 유출로 인한 평균 비용은 445만 달러로, 1년 전 유사한 연구 결과보다 2.3% 증가했으며 2020년 연구 결과보다 15.3% 증가했습니다. 비용 발생 요인에는 고객, 경영진, 규제 기관에 대한 통지부터 규제 벌금, 다운타임으로 인한 매출 손실, 영구적으로 잃게 되는 고객까지 모든 것이 포함됩니다.
어떤 보안 사고는 다른 보안 사고보다 비용이 더 많이 듭니다. 랜섬웨어 공격은 조직의 데이터를 암호화하여 시스템을 사용할 수 없게 만들고 데이터 잠금을 해제하기 위한 암호 해독 키에 대한 값비싼 몸값 지불을 요구합니다. 또한 민감한 데이터를 일반 대중 또는 다른 사이버 범죄자와 공유하지 못하도록 두 번째 몸값을 지불해야 하는 경우가 점점 더 많아지고 있습니다. IBM Security 2023년 랜섬웨어 최종 가이드에 따르면 랜섬웨어의 몸값 요구액은 7~8자리 금액으로 증가했으며, 극단적인 경우 미화 8천만 달러에 달하기도 했습니다.
예상대로 IT 보안에 대한 투자는 계속 증가하고 있습니다. 업계 분석기관 Gartner는 2023년 기업들이 정보 보안 및 위험 관리 리소스 및 서비스에 1,883억 달러를 지출할 것이며, 2021년부터 연평균 11%의 성장률을 기록한 후 2026년에는 약 2,620억 달러의 시장 규모를 형성할 것으로 예측합니다.1
클라우드 보안은 조직의 클라우드 기반 인프라, 애플리케이션 및 데이터에 대한 외부 및 내부 사이버 위협을 해결합니다. 클라우드 보안은 공동 책임 모델에 따라 운영됩니다. 일반적으로 클라우드 서비스 공급자(CSP)는 클라우드 서비스를 제공하는 인프라를 보호할 책임이 있으며, 고객은 해당 인프라에서 실행되는 모든 것을 보호할 책임이 있습니다. 즉, 공동 책임에 대한 세부 사항은 클라우드 서비스에 따라 다릅니다.
엔드포인트 보안은 최종 사용자와 엔드포인트 디바이스(예: 데스크톱, 노트북, 휴대폰, 서버)를 사이버 공격으로부터 보호합니다. 또한 엔드포인트 보안은 엔드포인트 디바이스를 사용하여 민감한 데이터 및 기타 자산에 대한 사이버 공격을 시도하는 사이버 범죄자로부터 네트워크를 보호합니다.
네트워크 보안의 세 가지 주요 목표는 네트워크 리소스에 대한 무단 액세스를 방지하고, 사이버 공격과 보안 침해를 실시간으로 감지 및 차단하며, 인증된 사용자가 필요할 때 필요한 네트워크 리소스에 안전하게 액세스할 수 있도록 하는 것입니다.
애플리케이션 보안은 개발자가 앱을 개발할 때 잠재적인 취약점을 해결하고 고객 데이터와 자체 코드가 도난, 유출 또는 손상되지 않도록 보호하기 위해 취하는 조치를 말합니다.
인터넷 보안은 브라우저 또는 앱에서 전송, 저장 또는 처리된 데이터 및 민감한 정보를 보호합니다. 인터넷 보안에는 유입되는 인터넷 트래픽에 맬웨어 및 기타 악성 콘텐츠가 있는지 모니터링하는 다양한 보안 관행과 기술이 포함됩니다. 이 분야의 기술에는 인증 메커니즘, 웹 게이트웨이, 암호화 프로토콜 그리고 특히 방화벽이 포함됩니다.
사물 인터넷(IoT) 보안은 인터넷에 연결된 센서 및 장치(예: 초인종 카메라, 스마트 가전제품, 최신 자동차)가 해커에 의해 제어되거나 해커가 조직 네트워크에 침투하는 데 사용되는 것을 방지하는 데 중점을 둡니다. OT(운영 기술) 보안은 자동화된 조립 라인의 센서와 같이 회사 내 프로세스를 모니터링하거나 제어하는 연결된 장치에 보다 중점을 둡니다.
모든 조직은 조직 내부와 외부의 사이버 위협에 취약합니다. 이러한 위협은 사이버 범죄자처럼 의도적일 수도 있고, 직원이나 계약업체가 실수로 악성 링크를 클릭하거나 맬웨어를 다운로드하는 것처럼 의도하지 않은 것일 수도 있습니다.
IT 보안은 이러한 광범위한 보안 위험을 해결하고 모든 유형의 위협 행위자와 그들의 다양한 동기, 전술 및 기술 수준을 고려하는 것을 목표로 합니다.
맬웨어는 감염된 시스템을 작동 불능 상태로 만들어 데이터를 파괴하고 정보를 훔치고 운영 체제에 중요한 파일을 지울 수도 있는 악성 소프트웨어입니다.
잘 알려진 맬웨어 유형은 다음과 같습니다.
랜섬웨어는 피해자의 데이터나 디바이스를 잠그고 피해자가 공격자에게 몸값을 지불하지 않으면 잠금을 풀어주지 않거나 더 손상시키겠다고 협박하는 악성 코드입니다. IBM Security X-Force Threat Intelligence Index 2023에 따르면 랜섬웨어 공격은 2022년 전체 사이버 공격의 17%를 차지했습니다.
트로이 목마는 유용한 프로그램으로 위장하거나 합법적인 소프트웨어 안에 숨어 사람들을 속여 다운로드하도록 유도하는 악성 코드입니다. 원격 액세스 트로이 목마(RAT)는 피해자의 디바이스에 비밀 백도어를 만드는 반면, 드로퍼 트로이 목마는 발판을 마련한 후 추가 맬웨어를 설치합니다.
스파이웨어는 사용자 이름, 비밀번호, 신용카드 번호 및 기타 개인 데이터와 같은 민감한 정보를 몰래 수집하여 해커에게 다시 전송합니다.
웜 은 앱과 장치 간에 자동으로 확산될 수 있는 자가 복제 맬웨어입니다.
흔히 "휴먼 해킹"이라고도 하는 소셜 엔지니어링은 피해자가 민감한 정보를 노출하거나 조직의 보안을 손상시키거나 조직의 재정적 안녕을 위협하는 행동을 취하도록 조종합니다.
피싱은 가장 잘 알려져 있고 가장 널리 퍼져 있는 소셜 엔지니어링 공격 유형입니다. 피싱 공격은 사기성 이메일, 문자 메시지 또는 전화를 사용하여 사람들을 속여 개인 데이터 또는 액세스 자격 증명을 공유하거나, 맬웨어를 다운로드하거나, 사이버 범죄자에게 돈을 송금하거나, 기타 사이버 범죄에 노출될 수 있는 행동을 취하도록 유도합니다. 피싱의 특별한 유형은 다음과 같습니다.
스피어 피싱 - 특정 개인을 조종하는 고도로 표적화된 피싱 공격으로, 피해자의 공개 소셜 미디어 프로필의 세부 정보를 사용하여 계략을 더욱 설득력 있게 만드는 경우가 많습니다.
고래 피싱 - 기업 임원이나 부유층 개인을 대상으로 하는 스피어 피싱입니다.
비즈니스 이메일 보안 침해 (BEC) - 사이버 범죄자가 경영진, 공급업체 또는 신뢰할 수 있는 비즈니스 동료로 가장하여 피해자를 속여 돈을 송금하거나 민감한 데이터를 공유하도록 유도하는 사기입니다.
또 다른 소셜 엔지니어링 전술인 테일게이팅은 기술적인 측면은 덜하지만 IT 보안에 위협이 되는 것은 마찬가지입니다. 테일게이팅은 데이터 센터에 물리적으로 접근할 수 있는 개인(예: 신분증을 가진 사람)을 미행하여 문이 닫히기 전에 말 그대로 몰래 잠입하는 것입니다.
DoS 공격은 대량의 부정 트래픽으로 웹사이트, 애플리케이션 또는 시스템을 압도하여 정상적인 사용자가 사용하기에 너무 느리게 만들거나 아예 사용할 수 없게 만듭니다. 분산 서비스 거부(DDoS) 공격은 봇넷이라고 하는 인터넷에 연결된 맬웨어에 감염된 디바이스의 네트워크를 사용하여 대상 애플리케이션이나 시스템을 마비시키거나 충돌시킵니다.
제로데이 익스플로잇은 컴퓨터 소프트웨어, 하드웨어 또는 펌웨어의 알려지지 않았거나 해결되지 않은 보안 결함을 이용합니다. '제로데이'는 소프트웨어 또는 디바이스 공급업체가 결함을 수정할 시간이 제로, 즉 전혀 없다는 사실을 의미합니다. 이는 악의적인 공격자가 이미 취약한 시스템에 액세스하는 데 결함을 이용했을 수 있기 때문입니다.
내부자 위협은 네트워크 액세스 권한이 있는 직원, 파트너 및 기타 사용자로부터 발생합니다. 의도하지 않은 것(예: 타사 공급업체를 속여 맬웨어 실행)이든 악의적인 것(예: 보복하려는 불만을 품은 직원)이든 내부자 위협에는 강력한 위협이 따릅니다.Verizon의 최근 보고서(ibm.com 외부 링크)에 따르면 외부 위협은 평균적으로 약 2억 개의 레코드를 손상시키는 반면, 내부 위협 행위자와 관련된 위협은 10억 개에 달하는 레코드를 노출시킨 것으로 나타났습니다.
MITM 공격에서 사이버 범죄자는 네트워크 연결을 도청하고 두 당사자 간의 메시지를 가로채고 전달하여 데이터를 훔칩니다. 보안되지 않은 Wi-Fi 네트워크는 MITM 공격을 시도하는 해커들에게 즐거운 사냥터입니다.
사이버 보안 위협이 갈수록 지능화되고 복잡해짐에 따라 조직에서는 다양한 보안 시스템, 프로그램, 기술을 결합한 IT 보안 전략을 배포하고 있습니다.
숙련된 보안팀이 감독하는 이러한 IT 보안 관행과 기술은 조직의 전체 IT 인프라를 보호하고 알려진 사이버 위협과 알려지지 않은 사이버 위협의 영향을 피하거나 완화하는 데 도움이 될 수 있습니다.
피싱 공격과 같은 많은 사이버 공격이 인간의 취약점을 악용하기 때문에 직원 교육은 내부자 위협에 대한 중요한 방어선이 되었습니다.
보안 인식 교육은 직원들이 보안 위협을 인식하고 안전한 직장 습관을 사용하도록 교육합니다. 주로 다루는 주제에는 피싱 인식, 비밀번호 보안, 정기적인 소프트웨어 업데이트 실행의 중요성, 고객 데이터 및 기타 민감한 정보를 보호하는 방법과 같은 개인 정보 보호 문제가 포함됩니다.
사이버 보안 인시던트 대응이라고도 하는 인시던트 대응은 사이버 위협, 보안 침해, 사이버 공격을 탐지하고 대응하는 조직의 프로세스와 기술을 말합니다. 사인시던트 대응의 목표는 사이버 공격이 발생하기 전에 예방하고 사이버 공격 발생으로 인한 비용과 비즈니스 중단을 최소화하는 것입니다.
많은 조직에서는 다양한 유형의 사이버 공격을 식별, 억제 및 해결하는 데 사용하는 프로세스와 보안 소프트웨어(아래 참조)를 정의하는 공식 인시던트 대응 계획(IRP)을 만듭니다. 2003년 Cost of a Data Breach 보고서에 따르면, 공식적인 IRP를 만들고 정기적으로 테스트하는 조직의 데이터 침해 비용은 평균(445만 달러)보다 232,008달러가 적었습니다.
어떤 보안 도구도 사이버 공격을 완전히 막을 수는 없습니다. 하지만 몇몇 도구는 사이버 위험을 완화하고, 사이버 공격을 예방하며, 공격이 발생했을 때 피해를 최소화하는 데 도움이 됩니다.
사이버 공격을 탐지하고 우회하는 데 도움이 되는 일반적인 보안 소프트웨어는 다음과 같습니다.
AI 기반 피싱 방지 소프트웨어, 스팸 필터, 보안 이메일 게이트웨이를 포함한 이메일 보안 도구
스파이웨어 또는 맬웨어 공격자가 네트워크 보안을 표적으로 삼아 조사를 수행하거나 대화를 도청하거나 이메일 계정을 탈취하는 것을 무력화할 수 있는 안티바이러스 소프트웨어
해커가 일반적으로 악용하는 기술적 취약점을 해결하기 위한 시스템 및 소프트웨어 패치
피싱 이메일에 자주 연결되는 악성 웹사이트를 차단하는 보안 웹 게이트웨이 및 기타 웹 필터링 도구
위협 탐지 및 대응 솔루션은 분석, 인공 지능(AI) 및 자동화를 사용하여 보안 팀이 알려진 위협과 의심스러운 활동을 탐지하고 위협을 제거하거나 그 영향을 최소화하기 위한 조치를 취할 수 있도록 지원합니다. 이러한 기술에는 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 인시던트 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR), 확장 탐지 및 대응(XDR) 등이 있습니다.
공격형 보안(OffSec)은 악의적인 공격자가 실제 공격에 사용하는 것과 동일한 전술인 적대적 전술을 사용하여 네트워크 보안을 해치지 않고 강화하는 다양한 사전 예방적 보안 전략을 의미합니다.
해킹 기술을 사용하여 IT 시스템 결함을 찾아 수정하는 윤리적 해커인 사이버 보안 전문가들이 공격형 보안 활동을 수행하기도 합니다.일반적인 공격형 보안 방법은 다음과 같습니다.
취약점 스캔 - 사이버 범죄자가 조직의 IT 인프라 및 애플리케이션에서 악용 가능한 보안 결함 및 약점을 탐지하고 식별하는 데 사용하는것과 동일한 도구를 사용합니다.
침투 테스트 - 모의 사이버 공격을 실행하여 컴퓨터 시스템의 취약성과 약점, 대응 워크플로 및 사용자의 보안 인식을 파악합니다. PCI-DSS(결제 카드 산업 데이터 보안 표준)와 같은 일부 데이터 개인정보 보호 규정에서는 정기적인 침투 문자 메시지를 규정 준수 요구 사항으로 지정합니다.
레드 팀 구성 - 윤리적 해커들로 구성된 팀이 조직에 대한 목표 지향적인 모의 사이버 공격을 시작하도록 승인합니다.
공격형 보안은 보안 소프트웨어 및 기타 방어적 보안 조치를 보완하며, 다른 보안 조치에서 놓칠 수 있는 알려지지 않은 사이버 공격 경로 또는 벡터를 발견하고 정보 보안 팀이 방어적 보안 조치를 강화하는 데 사용할 수 있는 정보를 제공합니다.
상당 부분 겹치는 부분이 있기 때문에 'IT 보안', '정보 보안', '사이버 보안'이라는 용어는 종종 (그리고 실수로) 혼용되어 사용됩니다. 하지만 이들은 각각 담당하는 범위가 다릅니다.
- 정보 보안은 조직의 디지털 파일과 데이터, 종이 문서, 물리적 미디어, 심지어 사람의 말까지도 무단 액세스, 공개, 사용 또는 변경으로부터 보호하는 것입니다. 정보 보안은 IT 보안과 마찬가지로 물리적 IT 자산과 데이터 센터를 보호하는 동시에 종이 파일과 기타 미디어를 저장하는 시설의 물리적 보안과도 관련이 있기 때문에 세 가지 중 가장 광범위한 범위를 가지고 있습니다.
- 사이버 보안은 사이버 위협, 즉 외부 및 내부 위협 행위자의 악의적인 행동과 부주의한 내부자에 의한 우발적인 위협으로부터 디지털 데이터와 자산을 보호하는 데 중점을 둡니다. 엄청난 규모의 작업이기는 하지만, 사이버 보안은 종이나 아날로그 데이터의 보호와 관련이 없다는 점에서 세 가지 중 범위가 가장 좁습니다.
사용자 개입이 거의 또는 전혀 필요하지 않은 사용하기 쉬운 지능형 자동화를 통해 사이버 공격으로부터 엔드포인트를 보호하고, 이상 동작을 탐지하고, 거의 실시간으로 문제를 해결합니다.
침입 탐지 및 방지, 엔드포인트 보안 관리 등을 위한 검증된 보안 전문 지식과 최신 솔루션으로 정교한 사이버 보안 위협으로부터 인프라와 네트워크를 보호하세요.
알려지지 않은 위협까지 지능적으로 인식하고 이를 실시간으로 방지하는 차세대 네트워크 보안 솔루션을 통해 지능형 위협과 악성 코드로부터 전체 네트워크를 보호하세요.
유출의 원인과 비용을 증가시키거나 줄이는 요인을 이해하여 유출에 더 잘 대비하세요. 데이터 유출 피해를 입은 550개 이상의 조직의 경험에서 교훈을 얻으세요.
SIEM(보안 정보 및 이벤트 관리)은 조직이 비즈니스 운영을 방해하기 전에 잠재적 보안 위협 및 취약성을 인식하고 해결할 수 있도록 지원하는 소프트웨어입니다.
위협을 파악하여 위협을 극복하세요. 위협 행위자가 공격을 수행하는 방식과 조직을 선제적으로 보호하는 방법을 이해하는 데 도움이 되는 실행 가능한 인사이트를 얻으세요.
각주
1사이버 보안 지출은 2026년까지 2,600억 달러를 초과할 것으로 예상됩니다(ibm.com 외부 링크), Cybersecurity Dive, 2022년 10월 16일