IBM 시큐리티는 ‘코로나19 기간 중 소비자의 디지털 행동과 사이버 보안에 미치는 잠재적인 영향’에 대해 한국을 포함한 글로벌 22개국 소비자 설문 결과를 15일 발표했다.

이번 조사를 통해 사회가 디지털 교류에 점점 익숙해지면서 개인들이 ‘편의’를 ‘보안과 개인정보 보호’보다 우선시하는 경우가 많아지고 있으며, 이는 암호 관리를 비롯한 다른 사이버 보안 행위에 대한 잘못된 선택으로 이어지고 있다는 것이 밝혀졌다.

소비자의 보안에 대한 안일한 태도는 코로나19 기간 많은 기업이 빠르게 진행하고 있는 디지털 전환 작업과 맞물려 사이버 범죄자들에게 랜섬웨어에서 데이터 절도에 이르기까지 다양한 산업에서 사이버 공격을 펼치는 데 악용될 수 있다. 

IBM 시큐리티 X-Force에 따르면, 평소 개인이 가지고 있는 잘못된 보안 습관은 일터로 이어져, 2020년 사이버 공격의 주요 근본 원인 중 하나로 보고됐던 손상된 사용자 신원 증명 시스템처럼 기업에 큰 비용이 드는 보안 사고로 이어질 수 있다.

22개 시장의 성인 2만2000명을 대상으로 최근 실시한 글로벌 설문 조사에서 한국 소비자들의 보안 활동에 대한 코로나19의 영향은 다양하게 나타났다.

먼저 디지털 붐은 코로나19 이후에도 지속됐다. 한국 성인들은 코로나19 기간 평균 14개의 새로운 온라인 계정을 만든 것으로 나타났다. 

응답자의 45%는 코로나19 이후에도 이 계정들을 삭제하거나 비활성화하지 않을 계획이기 때문에 앞으로 몇 년 동안 늘어난 디지털 활동 공간을 유지하게 될 것이며, 이는 사이버 범죄자가 공격할 수 있는 범위가 많이 늘어난 것을 의미한다.

다수의 계정으로 암호 피로도가 증가했다. 디지털 계정의 급증은 느슨한 비밀번호 관리로 이어져 10명 중 9명(88%)이 같은 기간 계정 간 같은 암호를 사용한 적 있다고 답변했다. 

이는 코로나19 기간 생성된 새로운 계정 다수에 10년 동안 데이터 유출을 통해 이미 노출됐을지도 모르는 메일과 암호의 조합을 사용했을 가능성이 크다는 것을 의미한다.

편의성이 보안 및 개인 정보보다 우선했다. 국내 사용자의 거의 10명 중 6명(59%)이 직접 전화하거나 방문하는 것보다 안전이 검증되지 않은 앱이나 웹 사이트를 통해 주문하는 것을 선호한다고 답변했다. 

사용자가 디지털 주문의 편리성 때문에 보안 문제를 간과할 가능성이 커짐에 따라 서비스 제공 기업들이 사기를 방지하기 위해 보안에 대한 더 많은 부담을 지게 될 것이다.

송기홍 한국IBM 대표이사 사장은 “코로나19로 인해 소비자들의 비대면 활동이 늘어나고 디지털 채널에 대한 의존도가 더욱 높아지게 되면서 사이버 범죄의 타깃이 될 수 있는 가능성은 더욱 커졌지만, 소비자들의 보안에 대한 의식은 상대적으로 낮아졌다는 것이 이번 조사를 통해 밝혀졌다”며 “따라서 디지털 혁신을 진행하고 있는 기업들은 소비자들의 편의성을 고려하는 동시에, 보안 침해 사고가 발생하지 않도록 제로 트러스트 접근방식과 같이 철저한 보안 시스템과 전략을 갖추는 데 더욱 심혈을 기울여야 할 것”이라고 말했다.

또한 이 조사를 통해 향후 사이버 보안 환경에 영향을 미치게 될 다양한 소비자 행동이 밝혀졌다. 조사에 따르면 국내 성인의 2/3(66%)는 새로운 디지털 계정을 만드는 데 5분 미만의 시간이 걸릴 것으로 기대하고 있다.

국내 소비자들은 평균 4번의 로그인 실패 후 암호를 재설정한다. 그러나 암호 재설정은 회사 비용을 높일 뿐만 아니라 이미 노출된 이메일 계정과 함께 사용될 경우 보안 위협을 초래할 수 있다.

암호 재사용은 문제가 되고 있긴 하지만, 추가적인 정보를 확인하는 다단계 인증을 통해 위험을 줄이는 데 도움을 줄 수 있다. 대다수의 국내 소비자들은 최근 몇 주 동안 다단계 인증을 사용했다.

◇디지털 인증을 위한 기반 마련

디지털 헬스 패스, 소위 말하는 디지털 백신 여권의 개념은 소비자들에게 첨단 기술을 통해 개인의 특정 정보를 검증하는 디지털 인증에 대한 실제 사례를 보여준 것이다. 

조사에 따르면 전 세계 성인의 65%가 디지털 인증 개념에 익숙하다고 답했으며, 76%가 일반적으로 허용될 경우 이를 채택할 가능성이 높다고 답했다.

코로나19 기간 중 디지털화된 ID 인증 경험은 여권이나 운전면허증과 같은 전통적인 신분증을 잠재적으로 대체할 수 있는 현대화된 디지털 ID 시스템의 보급을 촉진할 수 있다. 

디지털 ID는 특정 거래에 필요한 제한된 정보만 제공함으로써 소비자들이 개인 정보를 보호할 방법을 제공한다. 

디지털 형태의 ID를 활용하면 미래를 위한 보다 지속 가능한 보안 및 개인 정보 보호 모델을 구축할 수 있지만, 위조를 방지하기 위해 이런 자격 증명이 손상될 경우 확인하고 업데이트 할 수 있는 기능을 제공하는 블록체인 솔루션과 같은 보안 보호 장치를 마련해야 한다.

◇변화하는 소비자 보안 환경에 기업이 적응하는 방법

기업은 코로나19로 소비자와의 디지털 교류에 점점 더 의존하게 됨에 따라 사이버 보안 위험 요소에 미치는 영향을 고려해야 한다. 

IBM 시큐리티는 디지털 편의성을 중심으로 소비자의 행동과 선호도가 변화하고 있다는 점을 고려해 기업들에 아래와 같은 보안 지침을 제안하고 있다.

점점 더 커지고 있는 위험을 고려할 때 기업은 이미 인증된 ID나 네트워크라도 손상될 수 있다는 가정하에 운영되는 제로 트러스트 보안 접근 방식을 취하는 것을 고려해야 한다. 

사용자, 데이터 및 리소스 간의 연결 조건을 지속해서 검증해 승인하고 필요성을 판단해야 한다. 제로 트러스트 접근 방식은 기업이 모든 사용자, 장치 및 모든 상호 작용에 보안 상황을 적용하기 위해 보안 데이터와 접근 방식을 통합하도록 요구한다.

소비자 신원 및 접근 관리(IAM) 전략 및 시스템 현대화도 요구된다. 소비자와 교류하는 데 디지털 채널을 계속 활용하고자 하는 기업에는 원활한 인증 프로세스를 제공하는 것이 중요하다. 

기업은 현대화된 CIAM(소비자 신원 및 접근 관리, Consumer Identity and Access Management) 전략에 투자함으로써 디지털 활용률을 높일 수 있다. 

즉 디지털 플랫폼 전반에 걸쳐 보다 원활한 사용자 경험을 제공하고 행동 분석을 사용해 부정 계정 사용의 위험을 줄이는 데 도움이 될 수 있다. 디지털 사용자가 더 많아졌다는 것은 기업들이 보호해야 할 더 민감한 소비자 데이터도 갖게 된다는 것을 의미한다. 

또 다른 연구에 의하면 데이터 침해로 인해 기업은 연간 평균 386만달러의 비용을 지출하고 있음으로, 기업은 데이터를 모니터링해 의심스러운 활동을 탐지하고 중요한 데이터를 어디로 이동하든 암호화하는 등 무단 접근을 방지하기 위한 강력한 데이터 보안 제어 기능을 갖춰야 한다. 

기업들은 소비자의 신뢰를 유지하기 위해 사내 서버나 클라우드 상에서 올바른 개인정보 보호 정책을 시행해야 한다.

디지털 플랫폼에 대한 사용 및 의존도가 빠르게 변화함에 따라, 기업은 이전에 의존했던 보안 전략과 기술이 이러한 새로운 환경에서 그대로 유효한지 확인하기 위해 사고 대응 계획의 효과 재평가 및 보안 취약성 애플리케이션을 포함한 보안 전반에 대한 전용 테스트를 해야 한다.