목차
1.중소기업의 정보 보안 대책 실태 2024
2.요약
Appendix 주목할 만한 제품·서비스·시장
- 중소기업의 정보 보안 대책 실태 2024
2023년도에 사이버 인시던트 피해를 입었다고 응답한 기업 중, “데이터 파괴”라고 응답한 기업은 35.7%, “개인정보 유출”이라고 응답한 기업은 35.1%였습니다.
지난 3분기 동안에 발생한 사이버 인시던트로 인한 평균 피해 금액은 73만 엔이었으며, 100만 엔 이상의 피해를 입은 기업은 9.4%였습니다. 또한, 지난 3분기 내에 10회 이상 사이버 인시던트 피해를 입은 기업은 1.7%, 복구까지 소요된 평균 기간은 5.8일이었으며, 50일 이상 걸린 기업도 2.1% 있었습니다.
2023년도에 사이버 인시던트 피해를 입은 기업 중 “불법 접근 피해를 입었다”고 응답한 기업을 대상으로 사이버 공격의 수법을 조사한 결과, “취약점(보안 패치 미적용 등)을 악용당했다”는 응답이 48.0%로 가장 많았으며, 이어 “ID·비밀번호를 탈취당했다”는 응답이 36.8%였습니다. 또한, “거래처나 그룹사 등을 경유해 침입당했다”는 응답도 19.8%를 차지하여, 공급망(Security Supply Chain) 상의 보안 리스크가 존재함을 확인할 수 있습니다.
2023년도에 사이버 인시던트 피해를 입은 기업 중, 전체의 약 30%에 해당하는 기업이 “해당 없음”이라고 응답했으나, 나머지 약 70%는 “사이버 인시던트가 거래처에 영향을 미쳤다”고 답했습니다.
영향이 있었다고 응답한 기업 중, “거래처가 서비스 중단이나 지연으로 인해 영향을 받았다”는 응답이 36.1%,
“개인 고객에 대한 배상 또는 법인 거래처에 대한 보상 부담이 발생했다”는 응답이 32.4%, “원인 조사 및 복구와 관련된 인건비 등의 비용 부담이 있었다”는 응답도 23.2%였습니다.
이러한 결과를 통해 공급망 전체의 사이버 보안 미비가 거래처에도 심각한 영향을 미치며, 기업의 사업 지속성을 위협하고 있음을 알 수 있습니다.
“정보 보안 전문 부서가 있다”라고 응답한 기업은 9.3%로, 이전 조사보다 소폭 증가했습니다. 반면, “겸임 담당자가 지정되어 있다”는 기업은 감소했으며, “조직적으로 대응을 실시하지 않고, 각자가 대응하고 있다”는 기업이 증가하는 추세를 보였습니다.
전체 기업의 약 70%는 여전히 조직적인 보안 체계를 구축하지 못하고 있는 상황입니다.
“정보 보안 대책 투자를 하지 않음” 기업의 비율은 62.6%였습니다. 2016년도 조사에서 55.2%, 2021년도 조사에서 33.1%였던 것에서 더욱 증가하고 있습니다.
정보 보안 대책 투자를 하지 않은 이유로는 “필요성을 느끼지 못한다”는 응답이 44.3%로 가장 많았고, 그 다음으로 “비용 대비 효과가 보이지 않는다(24.2%)”, “비용이 너무 많이 든다(21.7%)”가 뒤를 이었습니다. 중소기업은 자금이 한정된 상황에서 정보 보안 투자에 나서지 못하는 경우가 많다고 할 수 있습니다.
정보 보안 대책의 필요성을 느끼고 있는 기업 중, 바이러스 대응 소프트웨어의 도입률은 80.0%로 기본적인 보안 대책의 도입이 진행되고 있습니다.
또한, 새로운 보안 요구를 반영하여 필터링 및 자산 관리 제품의 도입이 확대되고 있습니다.
네트워크 관리의 중요성도 인식되고 있으며, 클라이언트 PC의 설정 관리 제품 도입이 증가하고 있으며, 2016년도 조사에서는 4.1%에서 8.7%로 증가하였습니다.
데이터 보호에 대한 관심과 투자가 현저히 증가하고 있으며, 각종 보안 제품들이 도입되고 있습니다.
거래처(발주처 기업)로부터 정보 보안 대책에 관한 요청을 받은 경험이 있는 기업 중, 거래처로부터 요청받은 정보 보안 대책을 실시한 것이 거래처와의 거래로 이어진 중요한 요인이라고 답한 기업은 42.1%였습니다.
- 요약
이번에는 독립행정법인 정보처리진흥기구(IPA)가 발표한 “2024년도 중소기업에서의 정보 보안 대책 실태 조사 보고서”에 대해, 당사와 관련된 부분을 발췌하여 안내드립니다.
이번 조사 결과, 다음과 같은 사항이 밝혀졌습니다.
“2021년도 조사”와 비교했을 때, 보안 대책 실천 상황은 거의 개선되지 않았으며,
추가적인 대책의 필요성과 실천을 위한 지원이 더욱 필요하다는 점이 명확히 드러났습니다.
■ 조사 결과 요점
1.지난 3년간 사이버 인시던트가 발생한 기업에서의 피해액 평균은 73만 엔(그 중 9.4%는 100만 엔 이상), 복구까지 소요된 기간의 평균은 5.8일(그 중 2.1%는 50일 이상)
2.부정 접근을 당한 기업의 약 50%이 취약점을 이용당하고, 타사를 경유한 침입도 약 20%
3.사이버 인시던트로 인해 거래처에 영향을 미친 기업은 약 7%
4.약 70%의 기업이 조직적인 보안 체제를 갖추지 않음
5.지난 3년간 정보 보안 투자하지 않은 기업은 약 60%
6.정보 보안 관련 제품 및 대책에 서비스의 도입 상황은 소폭 증가
7.보안 대책 투자를 한 기업의 약 50%은 거래로 이어짐
Appendix 주목할 만한 제품·서비스·시장
캐논 ITS, 보안 웹 브라우저 “Mammoth Cyber Enterprise Browser” 판매 시작
캐논 IT 솔루션즈는 Mammoth Cyber의 보안 웹 브라우저 “Mammoth Cyber Enterprise Browser”의 판매를 시작했다고 밝혔습니다.
이 제품은 클라우드 기반의 프록시 서버인 보안 웹 게이트웨이가 아니라, PC나 스마트 디바이스에서 동작하는 웹 브라우저 자체에 정보 유출 방지 등의 보안 기능을 구현하고 있습니다.
예를 들어, 접근 대상에 따라 설정된 정책과 사용자 권한에 맞춰 파일 업로드/다운로드나 텍스트 복사 및 붙여넣기 등의 작업을 제어할 수 있습니다. 또한, 피싱 사이트와 같은 악성 사이트에 대한 접근을 감지 및 차단하며, 토큰이나 자격 증명과 같은 중요한 정보가 탈취되는 것을 방지합니다. 화면 레코딩 기능이 있어 로그와 함께 출력할 수 있어 인시던트 발생 시 원인 조사를 지원합니다.
보안 관리 기능은 전용 클라우드 서비스 “Mammoth Cyber Cloud”를 통해 제공되며, 외부 ID 관리 서비스와의 ID 연동/로그인 처리, 단말기 상태 관리, 설정 화면, 대시보드 등의 관리자용 콘솔, 프라이빗 네트워크 접속 기능 등을 제공합니다.
또한, 프라이빗 네트워크 접속 방식으로 VPN 연결 없이도 안전한 원격 근무 환경을 쉽게 구축할 수 있습니다.
가격(세금 별도)은 1유저당 연간 1만 2200엔부터(15유저부터 구매 가능)입니다.
“SecureLayer Browser Extension” 의 기능을 모듈화하여 서비스 제공
주식회사 아즈젠트는 브라우저 보안 솔루션 “SecureLayer Browser Extension”의 기능을 모듈화하여, 관리형 서비스 제공자를 통해 서비스를 시작한다고 발표했습니다. 아즈젠트는 “SecureLayer Browser Extension”의 판매를 진행하고 있지만, 고객들로부터 일부 기능만 저렴한 가격에 사용하고 싶다는 요청이 많았기 때문에, 고객의 요구에 맞춰 모듈을 선택할 수 있도록 했습니다.
이스라엘의 LayerX Security Ltd.가 개발한 “SecureLayer Browser Extension”은 SaaS의 확대로 인한 브라우저로 인한 ID·비밀번호 유출로 인한 부정 접근, 악성 소프트웨어 감염, 기밀 정보 업로드로 인한 정보 유출 등 보안 리스크를 줄이는 차세대 브라우저 보안 솔루션으로, Chrome, Edge 등 브라우저에 플러그인을 설치하여 안전한 브라우징 환경을 제공합니다.
“SecureLayer Browser Extension”이 제공하는 보안 기능은 다음과 같습니다.
・웹 앱·SaaS 이용 상황 가시화 (Visualization)
직원들이 사용하는 SaaS 앱과 클라우드 스토리지를 가시화하고, 이용 상황을 파악
・계정 제어·브라우저 제어 (Authentication)
사용자 계정의 비밀번호 재사용을 제어하고, 위험한 브라우저 확장 기능을 비활성화하며, 버전 확인을 진행
・피싱 대응·URL 필터링 (Secure Browsing)
피싱 사이트와 악성 사이트를 AI로 분석하여 제로데이 공격을 차단하며, URL 필터링 기능을 통해 카테고리별 접근 제어 실시
・기밀 정보·지적 재산 보호 (DLP)
클라우드 스토리지나 프리메일로의 파일 첨부를 차단하고, ChatGPT나 번역 사이트에 기밀 정보나 개인 정보를 붙여넣는 것을 차단하여, 브라우저를 통한 기밀 데이터 유출을 방지
