해커 88% “공격대상 12시간 안에 시스템 무력화”

누익스 '블랙리포트' 발간

세계 모든 기업과 기관이 보안 역량 강화를 위한 투자에 나서 보안시스템을 구축하고 있지만 해커들에게 기업과 기관은 여전한 놀이터라는 조사결과가 나왔다.

27일 사이버 보안업체 누익스(Nuix)가 최근 발간한 블랙리포트(Black Report)에 따르면 해커들이 어떤 시스템도 마음만 먹으면 손쉽게 뚫을 수 있는 것으로 드러났다. 이 보고서는 세계 최대 해커협의회인 데프콘 소속 해커 70명을 대상으로 한 설문조사를 기반으로 작성됐는데, 응답자 4분의 3에 해당하는 88%가 목표로 삼은 시스템을 12시간 이내에 무력화시킬 수 있다고 답했다.

또 응답자 81%는 12시간 이내에 해킹된 시스템에서 필요한 데이터를 가져왔음에도 불구하고, 해당 조직에서 이를 수백 일 동안 눈치채지 못했다고 말했다.

특히 해킹을 당한 조직 3분의 1은 해킹된 사실을 영원히 감지하지 못하고 있는 것으로 나타났다. 그동안 대부분의 사이버보안 실태 조사는 보안 시스템 구축이 필요한 기업 및 기관의 수요자를 대상으로 진행됐다. 이번 조사는 공격자인 해커를 대상으로 설문 돼 해킹 피해가 알려진 것보다 더 심각하다는 것을 보여준다.

시스코가 미국, 러시아, 중국, 일본 등 총 13개국에서 2900명의 보안담당자를 조사해 발표한 '2017 연례 사이버 보안 보고서'에 따르면 응답자 58%가 자사의 보안 시스템이 매우 효과적이라고 생각하고 있는 것으로 나타났다. 특히 해킹 피해를 입은 기업 절반 이상이 침해 사실을 외부에 알리지 않는다고 답했다.

실제 야후는 지난 2014년 해킹을 당해 5억명의 사용자 계정이 피해를 봤지만, 2년이 지난 2016년이 돼서야 이를 인지했다. 국내에서 인터파크 사례가 대표적이다. 인터파크는 지난해 5월 해킹을 당했지만, 이를 두 달이 지나서야 관련 사실을 확인하고, 15일 동안 외부에 공지하지 않아 비판을 받았다.

보안업계 관계자는 "최근 공격 수법도 다양해지고 금전적인 목적을 노린 해킹 또한 증가하며 보안이 100% 완벽할 수는 없는 상황"이라며 "우선 해킹을 당하면 이를 숨기더라도 어떻게 해서든 알려질 가능성이 커 기업 신뢰를 위해 보안 시스템에 대한 투자를 줄이지 말아야 할 것"이라고 말했다.

이경탁기자 kt87@dt.co.kr