나다브 자프리르 팀8 CEO는 16일 서울 소공동 웨스틴조선호텔 그랜드볼룸에서 열린 ‘2022 사이버보안콘퍼런스’ 기조연설자로 나서 “2007년을 전환점으로 사이버보안의 중요성이 커졌으며, 코로나19와 함께 모두가 사이버 공격에 취약한 원격근무를 시작하면서 일상생활과 보안 분야에서 사이버보안의 중요성이 대두되고 있다”라고 했다.
자프리르 CEO는 사이버보안 분야에서 이스라엘의 대표적인 싱크탱크로 꼽히는 팀8의 공동창립자다. 그는 팀8 창립 이전 이스라엘 비밀 사이버 정보부대인 유닛8200의 지휘관을 역임했고, 이스라엘 방위군(IDF) 내 사이버사령부를 창설한 인물이기도 하다.
자프리르 CEO는 이날 기술의 발전으로 모든 기기가 연결된 디지털 세상에서 사이버보안의 중요성이 커지고 있다고 했다. 자프리르 CEO는 “운영기술(OT), 사물인터넷(IoT), ‘xIoT’ 등 모든 것이 연결된 만물 인터넷으로 인류가 위대한 일을 할 수 있게 됐지만 동시에 우린 더 취약해졌다”라고 했다.
이어 자프리르 CEO는 해커가 사이버 공격을 수행하는 이유에 대해 설명했다. 자프리르 CEO는 “경제적 목적으로 공격하는 해커들은 대부분 잘 준비된 조직범죄단으로 돈을 요구하며, 랜섬웨어가 대표적이다”라고 했다. 이어 그는 “정치적인 목적으로 공격을 하는 해커도 있으며 북한으로 추정되는 해커들이 소니픽쳐스를 공격한 것이 대표적이다”라며 “마지막으로 군사적 목적으로 해킹하는 경우는 우크라이나에서 벌어지고 있는 사이버 공격이 좋은 예다”라고 했다.
자프리르 CEO는 “사이버 공격자들을 비즈니스 대상으로 생각해야 한다”라며 “상당수가 범죄자지만 이들도 결국 투자수익률을 기반으로 해킹 사업을 하고 있다”라고 했다. 그는 “은행이 가장 빠르게 사이버 공격의 표적이 된 이유는 거기 돈이 있기 때문이다”라며 “2014년 미국 타깃 등 소매업이 사이버 공격의 표적이 된 이유도 1억명 이상의 미국인의 신용 카드 정보가 있기 때문이었고, 도난당한 신용카드 정보는 암시장에서 팔렸다”라고 했다.
이어 자프리르 CEO는 “사이버 공격자들은 역동적이고 민첩하며 규칙도 없고, 사이버보안에는 정보의 비대칭성이 존재한다”라며 “사이버 공격보다 방어가 더 어려우며 개별 주체가 완벽하게 방어를 하는 것은 어렵다”라고 했다.
자프리르 CEO는 전 세계가 긴밀하게 연결된 상황에서 특정 조직이 해킹에 노출되면 모두가 큰 피해를 볼 수 있다고 강조했다. 자프리르 CEO는 2020년 소프트웨어 제공업체인 솔라윈즈가 해킹 피해를 받으면서 이 회사로부터 소프트웨어를 공급받는 다수 기업도 보안 위험에 노출됐다고 설명했다.
이어 그는 현재 러시아의 우크라이나 침공에서 발생하는 사이버 공격이 큰 피해를 발생시켰다고 했다. 자프리르 CEO는 “현재 우크라이나는 동적인 공격을 받고 있는데, 사이버 공격도 물밑에서 보이지 않게 일어나고 있다”라며 “키이우의 특정 소프트웨어 제공업체를 해커가 노리기도 했고 통신장애도 발생했으며 독일에선 재생 에너지가 끊기기도 했다”라고 했다. 그는 “우크라이나 전쟁이 발발했다고 해서 사이버 범죄가 멈춘 것은 아니며 2021년 11초에 1번씩 사이버 공격이 예측됐으며, 2025년에는 수조 달러의 경제적 비용이 발생할 것으로 보인다”라고 했다.
자프리르 CEO는 “실제로 사이버 공간을 감독할 수 있는 유일한 사람은 CEO다”라며 기업이 사이버보안 리스크에 적극적으로 대응해야 한다고 강조했다. 자프리르 CEO는 “기업 운영진이 마주하는 대부분의 리스크는 기업 자체를 의도적으로 노리지 않은 경우가 많으나 (사이버 공격자들은) 기업의 사이버공간을 노리고 있고 빠르게 움직인다”라며 “기업이 공격당해도 아무 증상이 없을 수도 있고 공격자가 몰래 기업 시스템에 잠입한 것 자체를 모르는 회사도 있다”라고 했다.
이어 “기업은 내게도 해킹이 일어날 수 있음을 직시해야 한다”라며 “공격을 받고 외부에 알리지 않는 기업도 있고 랜섬웨어에 돈을 주고도 공표하지 않는 경우도 있는데, 이는 기술적인 문제가 아니라 리더십의 문제다”라고 했다.
자프리르 CEO는 “소매업, 모빌리티, 창고업, 부동산 등 모든 기업에 디지털 전환은 미래의 핵심이고, 이를 수용해 사이버 분야를 선도하며 기업은 사이버 보안 위협의 종류를 이해해야 한다”라고 했다. 그는 “가격도 보안을 보장하지 않으며, 생산성과 가능성을 중심으로 균형 잡힌 프로그램을 만들어 사이버보안을 준비해야 한다”라며 “사이버 리스크도 다른 리스크와 동등한 체계로 관리한다면 새로운 시대에서 성공할 수 있을 것이다”라고 했다.