▣ 개요>CSIS, 사이버 범죄 피해를 경제적 가치로 계량화○ 미국의 싱크탱크인 국제전략문제연구소(Center for Strategic and International Studies,CSIS)가 사이버 범죄나 스파이 행위에 따른 경제적 피해를 분석※ ‘사이버 범죄 및 스파이 행위 비용 추산(Estimating the Cost of <strong>Cyber</strong>crime and <strong>Cyber</strong> Espionage)’이라는 제목의 보고서는 CSIS와 미국 보안 전문 업체인 맥아피(McAfee)의 공동 연구 결과- 동 보고서는 악의적인 사이버 활동에 따른 피해를 실질적인 경제적 가치로 수치화하는 분석 모델을 적용했다는 점에서 의의▣ 주요 내용○ 맥아피의 최고기술관리자(CTO)인 마이크 페이(Mike Fey)는 대략적인 추정에 의존해왔던 지금까지의 사이버 범죄 피해 분석과는 달리 치밀한 분석 기법을 적용했다고 설명- 그는 정책 입안자나 경영자 및 기타 관련 사업자들이 사이버 보안의 중요성을 인식하고 본격적으로 대응하기 위해서는 이와 같은 정확한 정보 제공이 필요하다고 강조○ 각종 재정적 피해와 기회 비용을 반영해 사이버 피해 규모를 산출- 동 보고서에서는 재정적 비용 이외에 다양한 사업적 가치 손실도 포함해서 사이버 범죄에 대한 피해 규모를산출- 지적재산의 탈취는 기업의 매출이나 라이선싱 등 장기적인 핵심 가치 창출 수단에 영향을 미친다는 점에서사이버 범죄 피해 추산의 핵심 요인으로 꼽히지만 정확한 피해 규모를 가늠하기는 어려운 상황- 사업적 기밀 정보는 기업 차원에서 민감한 협상 데이터나 주식 거래 정보 등도 포함되는 경우가 많아, 유출시 실질적인 재정적 손해를 유발할 가능성이 높은 부분- 일반 소비자들을 대상으로 한 사이버 범죄는 금융, 전자상거래, 개인정보 도용 등을 통해 매년 10억 달러이상의 막대한 금전적 피해를 유발※ 유엔마약범죄사무국(UNODC)에 따르면 사이버 상에서의 개인정보 도용에 따른 피해액은 약 7억 8,000만 달러, 금융 정보의 유출에 따른 피해액은 3억~5억 달러에 달하는 것으로 추정※ 시장조사기관 가트너는 피싱(Phishing)으로 매년 발생되는 손실액이 약 20억 달러 가량으로 추산 보고※ 온라인 유통 사업자들을 대상으로 한 설문 조사 결과, 2012년 기준 전자상거래를 통한 사기에 따른 손실 비용은 약35억 달러 수준으로 추정- 기업을 대상으로 한 해킹 등 사이버 공격 피해 사실이 알려질 경우에는 해당 기업의 주가가 최소 1%에서최대 5%까지 하락하는 등 기업 평판에도 부정적인 영향을 야기- 사이버 공격에 대한 피해를 예방하기 위해 기업들이 지출하는 사이버 보안 및 강화 비용도 증가하고 있는추세로, 전 세계 정부 및 기업들이 사이버 보안용 소프트웨어에 투자하는 비용은 매년 8%씩 증가해 2012년 기준 약 600억 달러에 달하는 것으로 보고※ 미국 OMB(US Office of Management and Budget)는 2012년 연방 기관들의 사이버 보안 관련 프로젝트 소요비용을 약 150억 달러로 집계했는데, 이는 미국 정부 전체 IT 예산의 20%에 해당하는 수치- 이 외에 사이버 범죄 발생에 따른 온라인 거래 신뢰도 하락 및 피해 복구 비용 등의 각종 기회 비용도 피해범위에 포함II. 인터넷 보안 동향○ 보고서에서는 먼저 이전의 사이버 범죄 관련 추정 연구들을 기반으로 미국의 대략적인피해 규모를 추산한 결과 대략 1,000억 달러에 달하는 것으로 추정- 독일 기업보안협회가 2010년 사이버 범죄에 의한 자국의 지적재산 피해액을 약 240억 달러로 산정한 바있는데, 이를 미국의 경제 규모로 환산하면 약 1,200억 달러에 달하는 수치- 영국의 경우에는 그 피해액이 영국 GDP의 2%에 달하는 약 270억 달러로 보고된 바 있는데, 이 역시 미국의 경제 규모로 환산하면 무려 약 2,800억 달러에 달하는 것- 전 세계적으로는 사이버 범죄에 따른 피해액이 글로벌 GDP의 0.4~1% 사이로 알려진 가운데, 2011년기준 글로벌 GDP가 70조 달러라는 점을 반영하면 피해액 규모는 최소 3,000억 달러에서 최대 1조 달러사이에 달하는 것으로 추산 가능※ 글로벌 GDP 규모는 세계은행(World Bank)이 발표한 수치를 참고○ CSIS는 이처럼 사이버 범죄에 따른 피해 범위와 발생된 피해액 범위를 분석한 결과, 전체 피해 규모의 상한선은 국가 GDP의 0.5%~1%에 해당되는 약 700억 달러에서 1,400억 달러 수준이며, 하한선은 200억 달러에서 250억 달러 수준으로 추정○ 아울러 CSIS는 사이버 범죄 피해는 노동 시장에도 부정적인 영향을 미치고 있다고 보고- 10억 달러로 약 5,080개의 일자리를 창출할 수 있다는 미국 상무부 국제무역청의 자료를 기반으로1,000억 달러로 추정되는 사이버 범죄 피해 규모를 노동 시장에 대입할 경우 약 50만 8,000여 개의 일자리가 사라지는 것으로 추정- 뿐만 아니라 집단에 고용된 해커나 스파이들은 정상적인 직업을 갖지 못하는 경우가 많기 때문에 국가 노동인력 확보 차원에서도 손실임을 지적50 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 51
○ CSIS와 맥아피 측은 지금까지의 연구를 바탕으로, 사이버 범죄 및 스파이 행위에 따른경제적 피해 규모를 보다 세분화하는 작업을 진행 중일본 IPA, 표적형 메일 공격 대책을 위한 시스템 설계 가이드 공개- 이들은 사이버 범죄와 관련된 각종 사회적 비용과 혁신 저해 정도 등을 구체화한 보고서를 추후 발간할 계획▣ 개요[출처]1. Center for Strategic and International Studies, “The Economic Impact of <strong>Cyber</strong>crime and <strong>Cyber</strong> Espionage”,2013.7.132. Financial Times, “<strong>Cyber</strong>crime costs US $100bn a year, report says”, 2013.7.23○ 일본 IPA는 표적형 메일 공격을 7단계로 분류하고 각 단계별 공격자의 목적, 패턴을 분석하여 전체 대책을 위한 시스템 설계 가이드를 공개함※ 표적형 메일 공격 : 시스템 파괴 등 공격이나 기밀정보 누설 등을 목적으로 기업이나 개인에게 이메일을 보내 눈치 채이지 않고 침입하는 사이버 공격▣ 주요 내용○ 표적형 메일 공격을 다음과 같이 7단계로 분류, 기존 3단계에서의 대책을 실시하던 것에 이어, 4~6단계에서의 시스템 설계 과정을 설명함II. 인터넷 보안 동향단계1계획단계,2공격 준비 단계내용침입을 목적으로 공격 대상(기업 혹은 개인)을 예비 조사하고 공격 대상과 관련된 특정 기업및 단체 등으로 위장 가능한 메일의 내용과 대상의 주소를 획득, 악성 코드 첨부 위장 메일준비, 원격 작업 환경 등을 준비3초기 침입 단계4기반 구축 단계5침입 경로 확대단계6목적 수행 단계공격 대상과 관련된 특정 기업 및 단체 등이 보내는 메일로 위장하여 악성 코드를 첨부한메일을 공격 대상에게 전송, 이러한 악성 코드는 목표 시스템 내부에 침투하기 위해 원격제어를 실시하기 위한 단계공격자가 공격 대상의 시스템에 내부적으로 침입하여 추후 침입 기반을 조성하는 단계(지속적으로침입이 가능한 루트를 구축하기 위해 공격 대상 터미널의 ID와 암호 해시를 획득)공격의 핵심 단계 이며, 외부에서 원격 제어 할 수 있는 여러 개의 터미널을 확보하고 거점,기반 확대 용, 잠복 용, 정보 수집/전송 용 등의 역할을 할 터미널을 정해서 공격 기반을 구축수집한 정보를 외부에 전송하거나 공격 대상의 시스템을 파괴하는 등 실질적인 공격을시행하는 단계7다시 침입 단계목표 시스템에 지속적으로 다시 침입하여 시스템 내의 탐색을 계속 시도하여 새로운 거점 및원격 제어 통신 경로를 확보하기 위해 동일 혹은 유사한 대상에게 악성 코드를 첨부한 위장메일을 계속하여 전송52 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 53