기업에게 사이버 보안은 최우선이 되어야 합니다

디지털화가 가져온 높은 효율성, 유연성, 최첨단 혁신을 누리고 있지만, 많은 기업들이 사이버 공격을 심각하게 받아들이지 않고 있습니다. 악성 소프트웨어 또는 랜섬웨어 관련 사고는 단 몇 분 만에 비즈니스에 치명타를 가할 수 있으며, 이를 해결하기 위해서는 수천 달러의 비용이 소요됩니다. 또한 고객 개인 정보가 관련된 경우, IT 보안 침해로 인한 기업 이미지 손상은 치명적일 수 있습니다.

 

사이버 보안과 디지털화 

디지털화가 확대됨에 따라 사이버 공격 가능성 또한 증가하였습니다. 모든 기업은 사이버 보안의 중요성을 심각하게 받아들이고 물리적 및 지적 재산 보호 조치에 투자해야 합니다. 최상의 보호 수준을 보장하기 위해서는 모든 제품, 비즈니스 공정 및 글로벌 네트워크를 포함한 조직 수준 전반에 디지털 보안이 내장(built in)” 되어 있어야 합니다. 기업은 위협 및 공격에 효과적이고 안전한 장벽을 구축함으로써 사이버 위험과의 전쟁에서 이길 수 있습니다.

메시지는 간단합니다. 사이버 보안에 대한 투자를 통해 경쟁 우위를 확보하고 해당 산업을 선도할 수 있습니다

.

왜 사이버 보안에 투자해야 하는가?

기업은 IT인프라 및 소프트웨어와 함께 제공되는 기본적인 보안도구에만 의존해서는 안됩니다. 오늘날 사이버 공격은 그 어느 때보다 정교하고, 표적화 되어 있으며, 한층 강화되었습니다. 최고 수준의 사이버 보안을 확보하려면 물리적 인프라, IT 하드웨어 및 애플리케이션을 보호할 뿐만 아니라, 직원을 교육하고 권한을 부여하는 총체적이고 포괄적인 접근방식이 필요합니다. 이를 통해 보안 위협을 최소화하거나 제거할 수 있습니다.

사이버 보안 인프라에 대한 투자, 기업 사이버 보안 정책 및 인증, 직원 교육을 통해 기업은 사전에 위협을 최소화할 수 있습니다. 고객 데이터, 기업 지적 재산, 필수 인프라를 보호함으로써 기업은 확신을 가지고 디지털화를 추진하고 기회를 최대한 활용할 수 있습니다.

 

산업별 상황에 맞춰 설계된 사이버 보안

TÜV SÜD는 사이버 보안 평가, 교육, 심사 및 인증 전문가입니다. 전문 지식을 바탕으로 TÜV SÜD는 컨설팅 및 기술 자문 서비스를 제공합니다. 사이버 위험 평가, 사이버 보안교육, 보안 인증 프로젝트 수행에 이르기까지 TÜV SÜD 전문가들은 사이버 보안 강화 프로젝트를 성공적으로 지원해왔습니다. TÜV SÜD는 다년간의 경험, 도메인 별 노하우 및 규제 전문지식을 바탕으로 개발된 사이버 보안 서비스와 구조화된 접근 방식을 통해 다양한 분야의 기업들을 지원합니다. 글로벌 보안 규정 준수를 지원함으로써 TÜV SÜD는 고객이 전 세계 시장에 지출할 수 있도록 도와드립니다.


사이버 보안이란?

사이버 공격은 물리적 인프라에서 IT 하드웨어/소프트웨어, 심지어 사용자까지 타깃이 될 수 있습니다. 사이버 공격은 비즈니스 프로세스를 탈취하여 중단시키거나 기업 또는 개인 데이터를 훔치는 것을 목표로 합니다. 사이버 보안은 보안 소프트웨어, 침입 및 위협 모니터링, 접근 제어 및 방화벽, 사용자 인식 교육 등 다양한 기술과 방법으로 이러한 위협을 최소화하거나 제거합니다.

1. 사이버 보안을 통한 다양한 위협 방지

  • 인프라에 대한 위협
    기존의 발전, 운송 및 통신과 같은 주요 인프라는 독립 시스템이었습니다. 그러나 오늘날 이 시스템들은 그 어느 때보다 상호 연결되어 있고 인터넷 연결, 서버 및 장치 네트워크에 의존합니다. 생산 라인과 유통망과 같은 산업 인프라도 마찬가지입니다. 산업 제어 시스템을 통한 원격 접근/제어 및 실시간 모니터링을 위해 인프라를 개방함으로써 기업은 DDoS (분산 서비스 거부) 공격의 표적이 되기 쉽습니다. 이러한 공격은 서버나 네트워크에 원치 않는 인터넷 트래픽을 초래해 서버를 제압하고 다운시킵니다.

  • 기업 하드웨어 및 애플리케이션에 대한 위협
    서버, PC, 노트북, 모바일 기기, 프린터기, 복사기, 전화기 등 현대 사무실 내 거의 모든 기기는 기업 IT 네트워크에 연결되어 있습니다. 심지어 가장 무해한 하드웨어도 사이버 공격에 노출되어 있고, 한번 뚫리면 해커들이 주요 시스템에 접근할 수 있습니다. 게다가 광범위한 사전 테스트에도 불구하고, 소프트웨어의 취약점은 늘 존재합니다. 패치와 업데이트가 정기적으로 실행되지 않으면 해커가 애플리케이션의 백도어 액세스를 활용해 시스템을 쉽게 탈취하고 프로그램을 재수정할 수 있습니다.

  • 사용자와 데이터에 대한 위협
    대부분의 사용자는 이메일 스미싱을 스팸으로 쉽게 식별하고 일반적으로 무시합니다. 그러나 HR 부서로부터 파일 다운로드 요청 이메일이 도착하거나 잠재고객으로부터 웹사이트 링크가 포함된 메시지를 받을 수도 있습니다. 이러한 메시지는 숨겨진 스파이웨어, 악성 코드 또는 컴퓨터 웜을 포함하는 보안 위협일 수 있습니다. 침입자는 네트워크를 통해 조용히 자신을 복제하여 리소스 속도를 늦추고 파일을 수정, 삭제하며 데이터를 사이트 외부로 유출합니다. 그러나 데이터에 대한 위협은 네트워크에 대한 사이버 공격에만 국한되지 않습니다. 암호화되지 않은 USB 드라이브의 분실/도난, 노트북 또는 모바일 장치에 대한 무단 접근, 데이터가 포함된 이메일을 잘못된 사람에게 보내는 경우 모두 데이터 침해로 이어질 수 있습니다.

2. 사이버 공격의 배후는?

사이버 공격의 배후는 개별적으로 식별하기 어렵습니다. 해커의 목표는 일반적으로 네트워크를 마비 시키고, 웹사이트를 접근할 수 없도록 다운시키며, 민감 데이터에 접근하는 것입니다. 해커는 개인적인 이득을 목표로 하는 경우도 있습니다. 예를 들어, 랜섬 웨어 공격으로 컴퓨터나 네트워크에 대한 접근이 차단되고 원하는 금액이 지불된 후에만 접근할 수 있게 하는 경우입니다. 때로는 사회적 변화나 정치적인 이유로 야기되는데 이들의 활동은 온라인 시위나 시민 불복종의 일종인 “핵티비즘”으로 분류됩니다.

3. 사이버 보안을 통한 공격 예방

연결된 시스템이나 기기에 무단 접근하려는 해커를 방어할 수 있는 우수한 사이버 보안을 갖추는 것이 매우 중요합니다. 사이버 회복탄력성(resilience)이 취약하면 시스템이 공격에 취약해지고 서비스 및 재정 손실 그리고 개인 안전에 위협을 초래할 수 있습니다.

 우수한 사이버 보안 프로비저닝(provisioning)은 공격에 대한 첫 번째 방어선입니다. 이는 유형에 따라 형태가 다릅니다. 다음은 몇 가지 실제 사이버 보안 예시입니다.

  • 안전 요소 – 기업은 직원이 위협 가능성을 인지할 수 있도록 강력한 직원 사이버 보안 교육 프로그램을 갖춰야 합니다.
  • 소프트웨어 업데이트 정기적인 소프트웨어 업데이트가 지원되는지 확인해야 합니다.
  • 설계 보안 – 시스템, 기기 및 소프트웨어에 기본적인 사이버 보안이 설계되어 있어야 합니다. 
  • 시험 및 심사 – 사이버 보안 위협은 결코 사라지지 않습니다. 따라서 가능한 표준 및 맞춤형 프로그램에 따른 테스트를 통해 사이버 보안 회복탄력성을 지속적으로 확인하고 검증해야 합니다.  
  • 인증 – 산업별 전문 인증을 획득하여 기업의 성숙한 사이버 보안 접근 방식을 입증해야 합니다.   
  • 위협 모델링 – 취약점이 어디에 존재하는지 이해하는 것이 중요하므로 각 시스템을 개별적으로 평가해야 합니다. 

 

TÜV SÜD의 5가지 사이버 보안 팁

사이버 공격으로부터 기업을 더욱 안전하게 지킬 수 있는 다섯 가지 간단한 사이버 보안 팁을 알려드립니다.

  • 글로벌 공급망에 종단간 (end-to-end) 보안 확립

    자사뿐 아니라 2차, 3차 공급업체를 포함한 글로벌 디지털 공급망 전반에 대한 보안 확보가 중요합니다.

  • 기본 보안/설계 보안 원칙에 대한 철저 준수

    가장 첫 단계부터 제품과 서비스에 대한 사이버 보안을 확보하십시오. 모든 제품, 서비스 또는 기본 프로세스의 설계 단계에서 사이버 보안을 포함시켜 “기본 보안(security by default)” 원칙을 적용해야 합니다.

  • 사이버 보안 위험에 대한 인식 제고

    사이버 보안 및 위험에 대한 인식을 제고함으로써 직원 모두가 “방화벽”의 역할을 할 수 있어야 합니다. 직원 및 기타 관련 이해 관계자를 위한 포괄적 교육은 사이버 위험을 방지하고 완화하는 데 있어 핵심 사항입니다. 

  • 사이버 보안 자격 증명

    제품, 서비스 및 비즈니스 프로세스에 대한 사이버 보안 인증을 획득하십시오. 특히 TÜV SÜD와 같은 제 3자 기관을 통한 정기 심사를 적극 권장합니다. 이러한 심사는 사이버 보안의 강력한 기준치를 설정하는데 도움이 되며 고객 여러분이 사이버 공격에 잘 대비되어 있음을 고객과 파트너에게 증명할 수 있습니다.

  • 사이버 보안 문화 조성

    사이버 보안에 관한 산업 컨소시엄 및 민관 프로젝트에 참여하는 등 직원들이 사이버 보안에 동참할 수 있도록 적극적이고 긍정적인 문화를 장려하십시오. 사이버 보안은 최우선시 되어야 하며, 규모와 위치에 관계없이 조직의 모든 부분으로 확산되어야 합니다.


 

자주 묻는 질문 (FAQ)

  • 사이버 보안 계획 수립, 어렵지 않나?

    사이버 보안 플랜을 개발하고 구현하는 과정이 굳이 복잡하고 시간이 많이 걸리며 비쌀 필요는 없습니다. 특히나 중요한 데이터, 시스템 및 인프라를 보호하는데 있어 TÜV SÜD 사이버 보안 전문가들의 집약된 경험을 활용할 경우 더욱 그렇습니다. TÜV SÜD는 ISO 27001과 IEC 62443와 같은 최신 산업별 표준을 기반으로 고객이 견고한 사이버 보안 기반을 이해하고 달성할 수 있도록 지원합니다.

  • 네트워크 보안이 갖춰져 있는데 사이버 보안이 추가적으로 필요한가?

    네트워크 보안은 근본적인 네트워크 인프라를 보호한다는 점에서 중요합니다. 네트워크 보안은 하드웨어, 사용자 및 프로그램을 위한 안전하고 밀폐된 환경을 만들어줍니다. 그러나 인터넷에 연결되면 IT 시스템은 디지털 공격, 무단 접근 및 악의적인 사용 위험에 노출됩니다. 사이버 보안은 이러한 위협에 대해 한층 심화된 보호 방책입니다.

  • IoT 기기에도 사이버 보안이 필요한가?

    IoT(사물 인터넷)은 모니터링 및 추적 장치, 생산 기계 및 HVAC 시스템 (공조설비)과 같은 장비를 인터넷에 연결하여 실시간 정보 및 원격 모니터링/제어를 활용하는 개념입니다. 이러한 장치는 때로는 IT하드웨어의 기존 보안 기능이 부족해 해커가 IT 네트워크에 접근하기 쉬운 대상으로 간주됩니다. 더군다나 이러한 IoT 기기들 중 특히 소비재 제품군에 속하는 기기는 반드시 보호 받아야 할 개인 정보에 접근하는 경우도 있습니다. 이러한 이유로 악의적인 침입으로부터 IoT 기기를 보호하기 위한 사이버 보안 프레임워크가 반드시 필요합니다.

  • 사이버 보안이 클라우드 기반 서비스도 보호할 수 있나?

    보호할 수 있습니다. 사이버 보안은 물리적 인프라, IT 하드웨어 및 종단장치, 운영 체제, 프로그램, 앱 모두를 포괄하는 솔루션입니다. 또한 모든 유형의 클라우드(공공, 개인, 하이브리드) 내 IaaS, PaaS 및 SaaS도 보호합니다.

다음

Site Selector