비대면 서비스

비대면-서비스는 물리적 접촉 없이 디지털 기술을 활용하여 제공되는 모든 형태의 서비스를 의미한다. 현대 사회의 디지털 전환이 가속화됨에 따라 통신, 엔터테인먼트, 교통, 전자상거래 등 일상 전반이 컴퓨터와 인터넷을 기반으로 운영되는 구조로 변화하였다.^[6] 이러한 환경에서 서비스의 핵심은 네트워크, 디바이스, 데이터를 무단 접속이나 범죄로부터 보호하는 기술적 역량에 달려 있다.^[6]

비대면 서비스의 확산은 정보의 기밀성, 무결성, 가용성을 유지해야 하는 과제를 동반한다.^[6] 과거의 대면 방식과 달리 데이터 중심의 환경에서는 사이버 보안의 역할이 더욱 강조되며, 이는 사회 기반 시설의 안정성과도 직결된다.^[2] 특히 상업용 메시징 애플리케이션을 겨냥한 피싱 캠페인과 같은 지능적인 공격이 지속적으로 발생함에 따라, 서비스 제공자와 이용자 모두의 주의가 요구된다.^[1]

비대면 환경에서의 보안은 개인의 정보 보호를 넘어 사회 시스템 전체의 안전을 결정짓는 중요한 요소이다. 개인과 가족 단위의 이용자가 증가함에 따라 사이버 보안의 실천 방안을 학습하고 온라인상에서 공유 가능한 정보의 범위를 설정하는 교육적 접근이 필수적이다.^[2][8] 만약 사이버 사고나 비정상적인 활동이 발생할 경우, 이를 신속하게 보고하고 대응할 수 있는 체계가 갖추어져야 한다.^[2]

기술적 변동성이 큰 비대면 서비스 환경에서는 사기와 같은 다양한 위협이 상존한다.^[8] 이용자는 방문하는 웹사이트의 안전성을 확인하고 개인정보 유출 위험을 사전에 방지하기 위한 보안 수칙을 준수해야 한다.^[8] 향후 비대면 서비스의 범위가 더욱 확장됨에 따라 사이버 위협의 양상 또한 복잡해질 것으로 전망된다.

비대면 서비스 환경에서는 상업용 메시징 애플리케이션을 표적으로 삼는 피싱 캠페인이 지속적으로 발생한다. 미국 연방수사국과 미국 사이버보안 및 인프라 보안국은 이러한 메시징 앱을 겨냥한 피싱 공격에 대해 공공 서비스 안내를 통해 경고를 발령한 바 있다.^[1] 특히 러시아 정보 기관과 같은 국가 배후 해킹 그룹이 이러한 공격의 주체로 활동하며 보안 위협을 가중시킨다.^[1] 이들은 사용자의 기기나 계정에 접근하여 정보를 탈취하기 위해 정교한 수법을 사용한다.

랜섬웨어와 같은 악성 소프트웨어는 비대면 경제 구조에서 기업과 개인에게 심각한 피해를 입히는 주요 위협이다. 특히 중소기업은 대규모 조직에 비해 사이버 위협에 대응할 수 있는 보안 자원이 부족한 경우가 많아 공격의 표적이 되기 쉽다.^[3] 과거에는 공공 와이파이를 이용한 온라인 쇼핑의 위험성이 강조되었으나, 현대의 사이버 공격 양상은 더욱 복잡하고 다양하게 변화하였다.^[3] 따라서 단순한 보안 수칙을 넘어 변화하는 공격 방식에 대한 이해가 필요하다.

온라인 사기 범죄자들은 특정 대상을 가리지 않고 광범위한 공격을 시도한다. 해커들은 공격 대상의 은행 계좌 잔액을 정확히 알지 못하더라도, 개인의 신원 정보나 금융 데이터, 이메일 내용 등을 탈취하기 위해 사이버 범죄를 저지른다.^[5] 이들은 피해자가 자신은 공격 대상이 아니라고 생각하는 심리를 이용하여 최대한 넓은 범위의 사용자를 포섭하려 한다.^[5] 이러한 위협에 대응하기 위해 조직은 이상 징후나 사이버 사고가 발생했을 때 관련 기관에 즉시 보고하는 체계를 갖추어야 한다.^[2]

개인과 가족은 사이버 보안 모범 사례를 실천함으로써 온라인 위협으로부터 스스로를 보호할 수 있다. 디지털 범죄는 매일 발생하고 있으나, 개개인이 보안 수칙을 준수하고 스스로를 교육하는 것만으로도 안전한 환경을 조성하는 데 기여할 수 있다.^[9] 미국 사이버보안 및 인프라 보안국는 개인과 가족을 위해 사이버 보안 실천 방안뿐만 아니라 물리적 위해로부터 지역 사회를 보호하는 정보도 함께 제공한다.^[2] 이러한 예방 조치는 빠르고 간편하게 수행할 수 있는 활동들로 구성된다.

자녀의 안전한 인터넷 사용을 위해서는 부모의 교육적 접근이 필수적이다. 자녀가 새로운 친구의 집에 방문할 때 부모가 동행 인원이나 보호자의 유무를 확인하는 것처럼, 자녀의 웹사이트 방문 및 온라인 활동에 대해서도 유사한 수준의 논의가 이루어져야 한다.^[8] 구체적으로는 어떤 사이트가 방문하기에 적절한지, 온라인상에서 공유해도 되는 정보와 공유해서는 안 되는 정보의 기준이 무엇인지에 대해 자녀와 대화를 나누어야 한다.^[8] 이러한 교육적 소통은 자녀가 사기를 피하고 개인정보를 보호하는 능력을 기르는 밑바탕이 된다.

가족 단위의 보안을 강화하기 위해서는 일상적인 습관을 개선하는 것이 중요하다. 정보 탈취를 목적으로 하는 다양한 공격에 대비하여 계정 관리와 데이터 보호를 생활화해야 한다. 만약 조직 차원에서 비정상적인 사이버 활동이나 사이버 사고를 인지했을 경우에는 CISA에 24시간 상시 보고할 수 있는 체계가 마련되어 있다.^[2] 개인은 이러한 공공 기관의 자원을 활용하여 디지털 자산을 보호하고, 가족 구성원 모두가 보안 의식을 공유함으로써 사이버 공간에서의 안전을 도모해야 한다.

소규모 기업이 직면한 사이버 위협은 과거와 다른 양상을 보이며 점차 정교해지고 있다. 과거에는 커피숍의 와이파이를 이용한 온라인 쇼핑을 금지하라는 식의 조언이 유효했으나, 현재의 기술 환경에서는 이러한 방식이 과거와 동일한 위협을 의미하지 않는다.^[3] 즉, 기존의 보안 권고 사항 중 일부는 시대에 뒤떨어졌거나 가장 빈번하게 발생하는 침해 사고를 예방하는 데 실질적인 도움을 주지 못하는 경우가 많다.^[3] 따라서 소규모 비즈니스는 변화하는 공격 패턴에 맞춘 새로운 보안 인식이 필요하다.

소규모 비즈니스는 랜섬웨어와 같이 파괴적인 사이버 위협으로부터 스스로를 방어할 수 있는 충분한 자원을 보유하지 못한 경우가 많다.^[3] 이러한 자원 부족은 보안 체계의 취약점으로 이어지며, 결과적으로 해킹 공격에 노출될 가능성을 높이는 주요 원인이 된다. 특히 상업용 메시징 앱을 겨냥한 피싱 캠페인이 지속적으로 발생하고 있어 소규모 사업자의 각별한 주의가 요구된다.^[1] 이러한 공격은 기업의 데이터를 탈취하거나 시스템을 마비시키는 등 심각한 피해를 초래할 수 있다.^[1]

사이버 보안 사고가 발생하거나 비정상적인 사이버 활동이 감지될 경우, 조직은 CISA에 24시간 상시 보고할 수 있다.^[2] CISA는 기반 시설 보호와 더불어 기업과 개인이 직면한 다양한 보안 문제를 해결하기 위한 정보를 제공하며, 사이버 보안 모범 사례에 대한 안내도 병행한다.^[2] 소규모 비즈니스는 단순한 예방 수칙을 넘어 실제적인 공격에 대응할 수 있는 전략을 수립해야 한다. 체계적인 보고 체계와 최신 보안 정보를 활용하는 것은 기업의 생존을 위한 필수적인 요소이다.

사이버 보안은 네트워크, 장치, 데이터를 무단 접근이나 범죄적 이용으로부터 보호하는 기술적 예술이자 실무를 의미한다.^[6] 보안의 핵심적인 목적은 정보의 기밀성, 무결성, 가용성을 보장하는 데 있으며, 이는 현대 사회의 모든 기반을 지탱하는 필수 요소이다. 오늘날 통신, 엔터테인먼트, 교통, 전자상거래 등 거의 모든 영역이 컴퓨터와 인터넷에 의존하고 있기 때문에 정보의 안전한 관리는 매우 중요하다.^[6]

기밀성(Confidentiality)은 허가되지 않은 주체가 정보에 접근하는 것을 차단하여 데이터의 비밀을 유지하는 원칙이다. 이는 민감한 정보가 권한이 없는 개인이나 조직에 노출되지 않도록 제어하는 것을 의미한다. 만약 기밀성이 침해될 경우 개인정보 유출이나 기업 기밀 탈취와 같은 심각한 피해가 발생할 수 있다. 따라서 적절한 접근 제어와 암호화 기술을 통해 인가된 사용자만이 데이터에 접근할 수 있는 환경을 구축해야 한다.

무결성(Integrity)은 정보가 인가되지 않은 방식으로 수정되거나 훼손되지 않고 정확성과 완전성을 유지하도록 보장하는 것을 뜻한다. 데이터가 전송되거나 저장되는 과정에서 임의로 변경되지 않아야 하며, 정보의 출처와 내용이 신뢰할 수 있는 상태여야 한다. 무결성이 깨지면 잘못된 정보가 유통되어 의사결정에 오류를 일으키거나 시스템의 신뢰도를 근본적으로 무너뜨릴 수 있다. 이를 위해 디지털 서명이나 해시 함수와 같은 기술적 수단이 활용된다.

가용성(Availability)은 권한을 가진 사용자가 필요할 때 언제든지 정보나 서비스에 접근하여 사용할 수 있는 상태를 확보하는 것을 의미한다. 시스템이 장애나 공격으로 인해 중단되지 않고 지속적으로 운영되어야 함을 뜻한다. 특히 국가 기반 시설은 사회 유지의 근간이 되므로 가용성 확보가 매우 중요하다.^[2] 미국 사이버보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 상업용 메시징 앱을 겨냥한 피싱 캠페인과 같은 보안 위협에 대해 공공 서비스 안내를 발령하며 이러한 위협에 대응하고 있다.^[1] 조직은 이상 징후나 사이버 침해 사고가 발생할 경우 CISA에 24시간 상시 보고할 수 있는 체계를 갖추어야 한다.^[2]

미국 사이버보안 및 인프라 보안국는 사이버 위협에 대한 대중의 이해도를 높이고 국민들이 온라인에서 더 안전하게 활동할 수 있도록 지원하는 CISA Cybersecurity Awareness Program을 운영한다.^[7] 이 프로그램은 사이버 보안이 사회 구성원 모두의 공동 책임이라는 관점을 바탕으로 설계되었다. 가정과 직장, 그리고 지역 사회에서 실천할 수 있는 간단한 보안 조치를 통해 인터넷 이용 환경을 전반적으로 개선하는 것을 목표로 한다.^[7]

매년 10월은 사이버 보안 인식의 달로 지정되어 운영된다. 이 캠페인은 20년이 넘는 기간 동안 온라인 활동 및 연결된 장치 사용 시 발생할 수 있는 위험을 줄이기 위해 일상적인 실천의 중요성을 강조해 왔다.^[4] 특히 올해는 국가의 주요 기반 시설를 유지하고 지탱하는 시스템과 서비스를 보호하는 데 있어 핵심적인 역할을 수행하는 정부 기관과 중소기업에 초점을 맞추어 활동을 전개한다.^[4]

국가적 차원의 이러한 교육 및 인식 제고 활동은 피싱과 같은 구체적인 공격 사례에 대응하는 능력과도 직결된다. 예를 들어, 러시아 정보 기관이 상업용 메시징 애플리케이션을 대상으로 수행하는 공격과 같은 최신 위협에 대응하기 위해 미국 연방수사국와 협력하여 공공 서비스 안내문을 발행하기도 한다.^[1] 이러한 다각적인 노력은 대중이 고도화되는 사이버 공격의 양상을 파악하고 스스로를 보호할 수 있는 역량을 갖추도록 유도한다.

• 사이버 보안
• 피싱
• 랜섬웨어

^[1] Wwww.cisa.gov(새 탭에서 열림)

^[2] Wwww.cisa.gov(새 탭에서 열림)

^[3] Wwww.cisa.gov(새 탭에서 열림)

^[4] Wwww.cisa.gov(새 탭에서 열림)

^[5] Wwww.cisa.gov(새 탭에서 열림)

^[6] Wwww.cisa.gov(새 탭에서 열림)

^[7] Wwww.cisa.gov(새 탭에서 열림)

^[8] Wwww.cisa.gov(새 탭에서 열림)

^[9] Wwww.cisa.gov(새 탭에서 열림)

• 디지털 기술
• 디지털 전환
• 통신