···

일상 기술 속에 숨어 있는 숨겨진 위기: 왜 우리의 디지털 방어가 여전히 실패하고 있는가

27 5월 2025
by
The Hidden Crisis Lurking Inside Everyday Tech: Why Our Digital Defenses Are Still Failing
  • 사이버 공격과 랜섬웨어가 증가하고 있으며, 장치들은 여전히 오래되고 쉽게 악용될 수 있는 보안 결함을 가지고 있습니다.
  • “설계에 의한 보안”은 사이버 보안이 기술에 내장되어야 하며 사용자의 몫이 되어서는 안 된다는 것을 의미합니다. 그러나 많은 기업들이 시장 인센티브가 약해 이 접근 방식을 채택하지 못하고 있습니다.
  • 지원받고 있는 주요 솔루션으로는 부주의한 기업에 대한 법적 처벌, 더 명확한 정부 지침, 더 큰 제품 투명성, 보안 중심의 공급망 요구 사항, 그리고 사이버 보험 기준의 상승이 포함됩니다.
  • 규제와 소비자 수요를 통한 책임은 더 안전한 제품과 기술 산업의 실제 변화를 이끌어낼 수 있습니다.
  • 지속 가능한 디지털 안전을 위해서는 책임의 전환이 필요합니다. 보안은 사후 고려가 아닌 기본 기능이 되어야 하며, 사회가 연결된 기술에 의존하게 됨에 따라 더욱 중요해집니다.
Inside a Hacker’s Mind : One Minute Attack Breakdown

당신의 책상, 자동차, 주머니 속의 모든 빛나는 스크린 뒤에는 보이지 않는 전투가 벌어지고 있습니다. 사이버 범죄자들은 우리의 장치의 틈새를 조사하며 결함을 찾고 있습니다. 그러나 공격이 급증하고 랜섬웨어 헤드라인이 늘어나는 가운데, 변하지 않는 진실이 있습니다: 우리의 기술은 여전히 너무 쉽게 해킹될 수 있습니다. 광범위한 약속과 대담한 정부 이니셔티브에도 불구하고, 디지털 세계는 수십 년 된 취약점에 집착하며 매 클릭마다 수백만 명을 노출시키고 있습니다.

왜 기술 회사들은 처음부터 더 안전한 제품을 만들지 못할까요? 그것은 전문 지식의 부족 때문이 아닙니다. 전 세계적으로 미국 사이버 보안 및 인프라 보안국과 영국의 국가 사이버 보안 센터와 같은 기관들이 “설계에 의한 보안”에 대해 큰 소리로 외치고 있습니다—디지털 안전이 모든 사용자의 어깨에 의존해서는 안 되며, 우리가 의존하는 장치와 소프트웨어에 내장되어야 한다는 아이디어입니다. 그럼에도 불구하고, 세계에서 가장 큰 조직들이 사용하는 제품에는 여전히 알려진 보안 격차가 존재합니다. 그 결과? 개발자들이 (그리고 해야 할) 결함을 막을 수 있었던 취약점을 악용하는 공격의 물결이 전체 산업을 휩쓸고 있습니다.

최근 영국에서 열린 사이버 보안 정상 회의에서 주요 전문가들 사이에 뚜렷한 합의가 나타났습니다: 장애물은 기술이 아니라 시장의 힘입니다. 오늘날의 소프트웨어 생태계는 인재와 기술 전문성으로 가득 차 있지만, 경제적 인센티브는 훨씬 뒤처져 있습니다. 강력한 보안에 자원을 쏟는 기업들은 즉각적인 보상을 보지 못합니다. 모서리를 잘라내는 기업들은 종종 가벼운 처벌 이상의 것을 받지 않으며, 위반이 발생할 때 고객들이 비용을 부담하게 됩니다.

그렇다면 우리는 어떻게 상황을 바꿀 수 있을까요? 다섯 가지 전략이 주목받고 있습니다:

  1. 부주의에 대한 실제 결과. 일부 리더들은 잘 알려진 결함—악명 높은 SQL 주입과 같은—이 있는 제품을 발송하는 기업들이 공개적인 수치심 이상의 처벌을 받아야 한다고 주장합니다. 그들은 법적 처벌과 막대한 벌금을 받아야 하며, 이는 영국의 제품 보안 및 통신 인프라 법에서 보이는 규칙을 반영합니다. 그러나 모든 사람이 동의하는 것은 아닙니다. 반대자들은 “변호사에 의한 보안”에 대해 우려하며, 이는 결과를 실제로 개선하지 않고 끝없는 소송을 촉발할 수 있다고 경고합니다.
  2. 정부의 명확하고 실행 가능한 지침. 보안 기준에는 강력함이 필요하지만, 투명성과 단순성도 필요합니다. 영국의 NCSC와 캐나다 사이버 보안 센터와 같은 기관들은 최신 위협 정보를 사용 가능한 실천 코드로 정제하여 이사회와 경영진이 보안 투자를 할 수 있는 자신감을 제공합니다. 사이버 위험이 진화함에 따라 지속적인 업데이트가 필요한 플레이북입니다.
  3. 블랙 박스를 밝히다. 투명성은 과소평가된 무기입니다. 구매자들이 어떤 브랜드가 보안에 투자하고 어떤 브랜드가 모서리를 잘라내는지를 쉽게 비교할 수 있다면, 시장은 기울기 시작할 것입니다. 2024년, 미국은 소프트웨어 제작자를 위한 설계에 의한 보안 약속을 도입하여 모범 사례에 대한 공개적인 약속을 장려하고 있습니다. 영국은 공급업체 주장을 검증하기 위한 독립적인 실험실을 설립하여 고객에게 정보에 기반한 공정한 선택을 제공합니다. 쇼핑객들이 더 나은 보안을 요구할 때, 시장은 반응합니다.
  4. 공급망 압박. 미국 방산과 같은 일부 산업은 공급업체에 대해 높은 보안 기준을 설정하여 공급망을 정리하고 있습니다. 통신과 같은 다른 산업은 뒤처져 있습니다. 글로벌 무역이 그 어느 때보다 상호 연결됨에 따라, 강력한 구매자들이 기대치를 설정할 수 있으며, 공급업체들이 그에 맞춰야 합니다.
  5. 사이버 보험의 증가하는 그림자. 공격이 급증함에 따라, 보험은 많은 기업에 필수가 되었습니다. 보험사들은 기준을 높이고 있으며, 정책을 작성하기 전에 다단계 인증과 같은 기본 사항을 요구하고 있습니다. 이러한 요구 사항은 조용히 최소 기준을 설정하고, 조직들이 더 나은 습관을 기르도록 유도합니다. 보험사들은 더 나아가 최악의 위반자와 가장 일반적인 실수에 대한 보고서를 발표하여 대중에게 지식을 제공할 수 있습니다.

위험은 그 어느 때보다 높습니다. 우리의 병원, 전력망, 도시, 심지어 어린이 장난감은 위험이 도사리고 있는 코드의 네트워크에 의존하고 있습니다. 방치의 결과는 사회를 통해 파급됩니다: 파괴적인 해킹, 탈취된 시스템, 그리고 깨진 신뢰.

기업, 정부, 개인 모두 어제의 결함이 있는 기술에 안주해서는 안 됩니다. 공급업체에게 더 많은 것을 요구하고, 안전을 설계에 포함시키는 기업에 보상을 제공하며, 부주의한 행위자를 책임지게 할 대담한 정책을 지지해야 합니다.

위대한 디지털 혁신은 보안이 전원 버튼만큼 기본적인 것이 되지 않는 한 실패할 것입니다. 다음 장은 뛰어난 엔지니어링뿐만 아니라 모든 이해관계자—제작자, 구매자, 규제자—가 사이버 보안이 기본 기능이 되어야 하며 사치스러운 추가 기능이 되어서는 안 된다고 주장하는 의지에 달려 있습니다.

전 세계적으로 기관들이 디지털 위협에 대응하는 방법에 대한 더 많은 정보를 보려면 CISANCSC를 방문하십시오.

주요 요점: 설계에 의한 보안 기술의 꿈은 미완성 상태로 남아 있습니다—기술의 부족이 아니라 집단적 의지의 부족 때문입니다. 우리가 더 많은 것을 요구한다면, 시장은 응답할 것입니다. 그러나 시간이 촉박합니다.

당신의 기술이 여전히 안전하지 않은 9가지 충격적인 이유 (그리고 오늘 당신이 스스로를 보호할 수 있는 방법)

# 왜 우리의 기술은 여전히 그렇게 취약한가? 놀라운 통찰, 수정 사항 및 당신이 할 수 있는 것

사이버 공격에 대한 끊임없는 헤드라인과 “설계에 의한 보안” 제품을 요구하는 목소리가 커지고 있음에도 불구하고, 우리의 대부분의 장치—스마트폰에서 중요한 인프라에 이르기까지—는 여전히 놀라울 정도로 해킹하기 쉽습니다. 대화는 고위험 랜섬웨어 공격에 집중되는 경향이 있지만, 근본적인 문제는 더 깊고 시장 역학, 구식 프로세스 및 혼합된 인센티브에 의해 촉진됩니다.

원본 기사가 놓친 내용을 더 깊이 파고들고, 실제 솔루션, 산업 동향을 확장하며, 당신과 당신의 조직을 보호하기 위한 즉각적이고 실행 가능한 권장 사항을 제공하겠습니다.

숨겨진 사실: 알아야 할 것

1. 기술적 솔루션은 존재하지만—왜 사용되지 않을까요?
입력 검증, 기본 거부 방화벽, 안전한 업데이트 메커니즘과 같은 많은 기본적인 보안 모범 사례는 잘 알려져 있으며 널리 사용 가능합니다. 문제는 지식의 부족이 아니라, 종종 기업들이 제품을 신속하게 출하하도록 압박받아 알려진 취약점을 무시하는 비용과 속도 압박입니다 ([Microsoft Security Blog](https://www.microsoft.com/)).

2. 안전한 코딩은 거의 인센티브가 주어지지 않습니다
수십 년의 경고에도 불구하고, 연구에 따르면 소프트웨어 팀은 코드에 존재하는 취약점의 수에 대해 거의 측정되지 않습니다 ([SANS Institute](https://www.sans.org/)). 대신, 지표는 여전히 속도와 기능 제공을 중심으로 돌아갑니다.

3. 버그 보상금과 버그 부채
버그 보상 프로그램(연구자들이 결함을 찾으면 보상을 받는 프로그램)은 널리 사용되는 제품에서 수천 개의 버그를 드러냈습니다. 그러나 많은 중요한 결함이 수년간 지속되며, 모든 공급업체가 공개된 결함에 신속하게 대응하는 것은 아닙니다.

4. 증가하는 규정 준수 미로
GDPR, CCPA 및 다가오는 NIS2 지침과 같은 규제 프레임워크는 기업들이 사이버 위험을 더 진지하게 받아들이도록 강요하고 있지만, 때로는 의미 있는 개선보다는 단순히 서류 작업에 그치게 됩니다.

5. AI는 양날의 검
AI 도구는 이제 보안 테스트를 자동화하는 데 사용되며, 공격자들은 더 빠르게 취약점을 찾기 위해 이를 사용합니다. CISA에 따르면, 경쟁이 가속화되고 있습니다.

실행 단계: 당신과 당신의 조직이 즉시 할 수 있는 일은 무엇인가요?

단계 1: 투명성 요구

공급업체로부터 취약점 공개 정책을 요구하십시오.
– 그들이 따르는 보안 프레임워크(예: ISO 27001, SOC 2)에 대해 문의하세요.

단계 2: 기본 보호 조치 구현

– 항상 다단계 인증(MFA)을 활성화하십시오.
– 소프트웨어/펌웨어를 업데이트하십시오.
– 모든 기본 비밀번호를 제거하거나 변경하십시오.
– 사용자 접근을 정기적으로 감사하고 불필요한 권한을 취소하십시오.

단계 3: 공급망 위험 통제 채택

– 코드 출처를 추적하기 위해 소프트웨어 자재 명세서(SBOM)와 같은 도구를 사용하십시오 ([OpenSSF](https://openssf.org/)).
– 제3자 실험실에서 감사받은 공급업체로부터만 구매하십시오.

실제 사례

의료: 병원에 대한 랜섬웨어 공격은 환자 치료를 방해하지만, 대부분은 열악한 비밀번호 정책과 구식 시스템에서 비롯됩니다.
중요 인프라: Colonial Pipeline 해킹(2021)은 MFA 없이 단일 손상된 비밀번호를 악용했습니다.
IoT 장치: 스마트 장난감의 취약점은 데이터 유출을 초래했지만, 영국과 EU의 조치가 법적으로 더 나은 기본 보호를 추진하고 있습니다.

논란, 한계 및 미해결 질문

부주의에 대한 처벌: 법적 처벌은 혁신을 저해하거나 보호의 정신을 놓치는 “체크박스” 보안을 초래할 수 있습니다.
투명성 반발: 모든 사건을 공개하도록 강요하는 것은 영업 비밀을 노출하거나 해커에게 도움을 줄 수 있습니다.
사이버 보험은 crutch인가? 비평가들은 이것이 기업들이 근본적인 문제를 해결하기보다는 위험을 전가할 수 있게 한다고 주장합니다.

기능, 사양 및 가격: 설계에 의한 보안 제품

– “사이버 기본 사항”(UK)와 같은 기준에 따라 인증받은 장치/소프트웨어를 찾으십시오. 또는 NCSC의 검증을 받으십시오.
– 정기적인 OTA(무선) 업데이트와 하드웨어 기반 암호화와 같은 구성 가능한 보안 기능이 있는 제품은 초기 비용이 더 높을 수 있지만 장기적으로 위반 비용을 줄일 수 있습니다.

산업 동향 및 예측

– 2025년까지, Gartner는 60%의 조직이 사이버 보안 위험을 제3자 파트너십의 주요 결정 요소로 사용할 것이라고 예측합니다.
– 제로 트러스트 아키텍처—내부/외부 트래픽을 자동으로 신뢰하지 않음—가 새로운 표준이 될 것입니다 ([Gartner](https://www.gartner.com/)).
– 미국과 EU는 소비자 장치에 의무적인 “보안 라벨”을 고려하고 있습니다(영양 라벨과 유사).

장단점 개요

설계에 의한 보안의 장점

– 공격으로 인한 비즈니스 중단 감소.
– 보안에 민감한 시장에서 경쟁 우위.
– 낮은 보험료.

단점

– 증가된 초기 개발 비용.
– 시장 출시 시간 연장.
– 지속적인 규정 준수 부담.

보안 및 지속 가능성

지속 가능한 사이버 보안은 단순한 사건 대응이 아니라, 설계에서 폐기까지 제품 생애 주기 보안을 고려합니다. 보안 업데이트가 더 이상 지원되지 않는 전자 폐기물(장치)은 여전히 큰, 종종 간과되는 위험 요소입니다.

리뷰 및 비교

Apple vs. Android: Apple의 폐쇄적인 생태계는 특정 위험을 줄이지만, 두 플랫폼 모두 공급망 보안 문제에 직면해 있습니다.
Microsoft Windows vs. ChromeOS: ChromeOS는 웹/클라우드 운영을 중심으로 한 설계로 더 단순한 공격 표면을 제공하지만, 레거시 앱 지원을 제한합니다.

가장 시급한 질문에 대한 답변

Q1: 왜 모든 장치에 대한 최소 보안 기준이 없나요?
글로벌 규제가 혁신에 뒤처져 있지만, 미국, 영국, EU에서 새로운 법이 따라잡고 있습니다.

Q2: 구매자는 지금 바로 더 스마트한 선택을 할 수 있나요?
예! 보안 기준을 공개하고, 제3자 인증을 제공하며, 투명한 패치 정책을 가진 공급업체를 선택하세요.

Q3: 레거시 IT—오래되었지만 중요한 시스템은 어떻게 하나요?
구식 시스템을 분리하고 불필요한 네트워크 접근을 비활성화하며 가장 취약한 시스템의 패치 또는 교체를 우선시하십시오.

즉각적인 전문가 팁

– 모든 기본 비밀번호를 변경하고 모든 계정에서 MFA를 즉시 활성화하십시오.
– 기술 구매 전에 공급업체에 마지막 보안 평가 보고서를 요청하십시오.
– 최신 모범 사례를 위해 CISANCSC의 위협 경고를 구독하십시오.

실행 가능한 권장 사항

– 구매 및 조달 계약에서 “설계에 의한 보안”을 비협상 조건으로 요구하십시오.
– 신속한 패치 및 책임 있는 공개 프로그램을 가진 공급업체에 보상을 제공하십시오.
– 모든 수준에서 강력한 보안 교육을 지지하십시오—최종 사용자, 경영진, 개발자 모두에게.

당신은 생각보다 더 많은 힘을 가지고 있습니다. 더 안전한 기술을 요구할 때마다—어려운 질문을 할 때마다—우리는 사이버 보안이 사후 고려가 아닌 세상으로 더 가까워집니다. 더 많은 조언과 공식 지침을 보려면 오늘 CISA 또는 NCSC를 방문하십시오.

다음 위반을 기다리지 마십시오—지금 보안을 기본 설정으로 만드십시오.

Liam Jansen

리암 얀센은 새로운 기술과 핀테크 분야에서 저명한 저자이자 사상가입니다. 그는 유명한 카잔 주립대학교에서 금융 기술 석사 학위를 취득했으며, 오늘날 디지털 경제에서 혁신을 이끄는 금융 시스템에 대한 깊은 이해를 갈고닦았습니다. 리암은 퀀텀 어드바이저스에서의 수년간의 경험을 바탕으로 기술과 금융을 통합하는 최첨단 솔루션 개발에 중요한 역할을 했습니다. 복잡한 개념을 명확하게 전달하는 능력으로 인정받은 리암의 글은 산업 전문가와 호기심 많은 독자들이 핀테크의 빠르게 변화하는 환경을 이해하는 데 도움을 줍니다. 그의 사고를 자극하는 기사와 출판물들은 finance와 technology의 미래에 대한 대화를 이어가도록 영감을 주고 있습니다.

Don't Miss

The Luminaries Converge: Paris Blockchain Week Set to Transform the Crypto Landscape

루미너리들이 모이다: 파리 블록체인 위크가 암호화폐 생태계를 변화시킬 준비 완료

파리 블록체인 위크(PBW)는 유럽의 대표적인 암호화폐 이벤트로, 전 세계에서 10,000명
A Surprising Surge: Bitcoin’s Unexpected Ascent Captivates Markets

놀라운 급등: 비트코인의 예상치 못한 상승이 시장을 사로잡다

비트코인은 4월 21일 2.64% 급등하여 $87,408에 도달하며 트레이더들 사이에서 광범위한