2023년 10월 2일
로드먼 라메자니안 - 글로벌 클라우드 위협 책임자, Skyhigh Security
2023년 제20회 사이버 보안 인식의 달을 맞이하여 지난 20년간 디지털 세계가 걸어온 놀라운 여정을 되돌아봅니다. 이 시기는 끊임없이 진화하는 사이버 보안 환경에 대한 귀중한 교훈을 가르쳐준 중요한 순간들로 형성되었습니다.
지난 20년간의 주목할 만한 사건
2000년대 초에는 '웜 시대'가 도래하면서 'ILOVEYOU', 'Conficker'와 같은 파괴적인 멀웨어가 전 세계에 큰 혼란을 일으킬 수 있는 디지털 위협의 능력을 보여주었습니다. 이러한 공격은 강력한 사이버 보안 조치가 시급히 필요하며 악의적인 공격자들보다 한발 앞서 대응하는 것이 중요하다는 점을 강조했습니다.
2011년, 지금은 악명 높은 플레이스테이션 네트워크 해킹 사건은 소니와 같은 유명 기업도 사이버 공격으로 파괴될 수 있다는 것을 보여주며 기업계에 충격을 안겨주었습니다. 위협 행위자들이 저지른 파괴의 수준은 사이버 공격이 데이터 도난을 넘어 실제적이고 가시적인 결과를 초래할 수 있다는 점을 강조했습니다.
2012년 LinkedIn의 해킹 사건은 인기 있는 온라인 플랫폼이 침입에 취약하다는 사실을 알려 데이터 보안 침해의 광범위한 영향을 강조했습니다. 이 사건은 기업이 데이터를 보호하기 위해 더 강력한 보안 조치에 투자하고 사용자가 온라인 계정에 강력하고 고유한 비밀번호를 사용해야 할 필요성을 강조했습니다. 몇 년 후, 전 세계는 콜로니얼 파이프라인 공격이 얼마나 치명적인 영향을 미칠 수 있는지에 대해 고민했습니다. 2013년 에드워드 스노든의 폭로로 전 세계적인 감시 프로그램의 규모가 공개되면서 프라이버시, 정부의 투명성, 개인의 자유에 대한 비판적인 논의가 촉발되었습니다. 이러한 폭로는 디지털 권리에 대한 재평가와 암호화/복호화 논쟁의 지속을 촉발했습니다.
2017년 에퀴팩스 같은 대규모 데이터 유출 사고로 인해 기업 데이터 보호의 중요성이 강조되었습니다. 이로 인해 GDPR과 같은 규제가 도입되었고, 기업은 개인 정보 보호에 대한 책임을 지고 최종 사용자, 고객, 직원에게 유리한 방향으로 힘의 균형이 이동하게 되었습니다.
코로나19 팬데믹은 사이버 보안의 또 다른 시대를 결정짓는 사건이었습니다. 전 세계적인 보건 위기는 원격 근무와 디지털 의존으로의 전환을 가속화했습니다. 실제로 연구에 따르면 재택 근무는 2019년부터 2023년까지 5배 증가했으며, 현재 미국 직원의 40%가 일주일에 하루 이상 원격으로 근무하고 있습니다. 이는 팬데믹 이전 약 35년간의 성장률에 해당하는 수치입니다. 이러한 추세는 업계가 준비하지 못했던 사이버 보안의 완전히 새로운 측면을 보여주었고, 사이버 범죄자들은 이러한 새로운 취약점을 악용하는 데 시간을 허비하지 않았습니다. 그 결과, 새로운 근무 체제 하에서 기업이 번창할 수 있도록 지원하는 동시에 원격 액세스를 보호하는 것이 매우 중요해졌습니다.
2021년에는 Log4J와 같은 중요한 취약점의 출현으로 광범위한 악용을 방지하기 위해 신속한 패치와 선제적인 취약점 관리가 필요하다는 것이 입증되었습니다.
오늘날 제너레이티브 AI 혁신은 비즈니스 전략, 창의성, 문제 해결에 접근하는 방식을 재편하고 있을 뿐만 아니라 사이버 보안에도 새로운 차원을 도입하고 있습니다. AI 기술의 책임 있는 사용을 보장하고 잠재적인 오용 가능성을 해결하는 것은 점점 더 큰 관심사이며, 기술 혁신을 모니터링하는 주요 의사결정권자들 사이에서 지속적인 논의를 불러일으키고 있습니다.
미래를 위한 학습 적용
그렇다면 우리는 무엇을 배웠을까요? 긍정적인 측면은 지난 20년간의 교훈이 복합적으로 작용하여 대부분의 기업에서 사이버 보안의 우선순위가 높아졌고, 리더들은 사이버 보안을 비즈니스의 필수 요소로 인식하고 있다는 점입니다. 점점 더 정교해지는 위협으로 인해 오늘날의 리더들은 새롭고 혁신적인 보안 기능과 프레임워크를 도입하는 데 그 어느 때보다 큰 관심을 보이고 있습니다.
그러나 조직이 기존 또는 오래된 사이버 보안 조치가 적절한 보호를 제공하고 있다고 생각할 때 발생하는 안일한 태도, 즉 위협 행위자에게 성공적인 공격을 수행할 수 있는 기회를 제공하는 실수와 싸워야 합니다.
같은 맥락에서 조직은 방심하거나 지나치게 신뢰해서는 안 됩니다. 현재와 미래에는 사용자, 디바이스, 내부 자산, 원격 시스템, 기업 데이터 등에 제로 트러스트 원칙을 적용하는 데 집중해야 합니다. 또한 상황, 보안 태세 및 위험을 고려하여 액세스 결정을 내려야 합니다. 마찬가지로 조직은 '최소 권한' 원칙을 준수하여 사용자와 직원에게 각자의 역할에 필요한 데이터와 시스템에만 액세스 권한을 부여해야 합니다.
지난 20년은 사이버 보안이 공동의 책임이라는 인식으로 점철되어 왔습니다. 2023년 사이버 보안 인식의 달을 맞이하여 이러한 교훈을 되새기고 교육, 협업, 지속적인 경계를 통해 더 안전한 디지털 미래를 위한 우리의 노력을 재확인합시다.
데모를 요청하여 Skyhigh Security 및 Security Service Edge 포트폴리오에 대해 자세히 알아보세요.
블로그로 돌아가기