교통 시스템, 의료 시설, 금융 서비스 회사, 이들 모두의 공통점은 무엇일까요? 이러한 부문(및 랜섬웨어 리스크와 관련해서는 본질적으로 모든 산업) 내 조직들은 사이버 범죄자가 개인 및 기밀 시스템과 파일에 대한 액세스 잠금을 해제하기 위해 금전적 지급을 요구하는 악성코드의 일종인 랜섬웨어의 공격을 받았습니다.
많은 사이버 보안 리스크가 존재하지만, 랜섬웨어는 대개 시급한 과제 중 하나입니다. 랜섬웨어는 운영을 갑자기 중단시킬 수 있을 뿐만 아니라 데이터 유출 및 평판 손상과 같은 문제를 일으킬 수도 있습니다. 사이버 보안 소프트웨어 회사인 Sophos의 글로벌 설문조사에 따르면 설문조사 대상 조직의 66%가 2021년에 랜섬웨어 공격을 받은 것으로 나타났습니다. Sophos는 “손상 및 중단에서 복구하는 데 평균 1개월이 걸렸습니다.”라고 덧붙였습니다.
랜섬웨어 리스크의 심각성을 고려할 때 내부 감사자는 조직이 전반적인 사이버 보안 리스크와 함께 이러한 위협을 줄이도록 돕는 것을 목표로 해야 합니다. 어떻게 할 수 있을까요? 이 문서에서 살펴보겠지만 내부 감사 부서는 IT/사이버 보안 감사를 실시하고 내부 감사 관리 소프트웨어와 같은 기술을 사용하여 내부 통제 및 협업을 개선하는 등의 조치를 취할 수 있습니다.
IT 관행 및 제어 검토
내부 감사자는 일반적으로 사이버 보안 소프트웨어를 선택하고 랜섬웨어 리스크를 인식하기 위한 직원 교육을 확립할 책임이 없지만, 여전히 IT 감사와 같이 IT 관행 및 제어에 대한 보증을 제공할 수 있습니다.
IT 팀이 피싱 테스트를 수행하여 직원이 랜섬웨어 문제를 일으킬 수 있는 이메일 사기에 속았는지 여부를 확인하는 경우 내부 감사자가 해당 결과를 검토하고 조직이 소셜 엔지니어링을 방지하기에 충분한 기준을 충족하는지 확인할 수 있습니다. 그 결과, 랜섬웨어 리스크 또는 기타 사이버 보안 리스크에 대한 직원 준비도의 빈틈이 드러나는 경우 내부 감사자는 이사회 및 고위 경영진과 같은 다른 이해 관계자에게 해당 리스크를 알리고자 할 것입니다.
또한 내부 감사 리더는 원격 근무 정책을 검토하여 IT 팀이 재택근무 환경의 기능에 집중하는 데 그치지 않고 랜섬웨어 리스크를 염두에 두고 해당 정책을 적절하게 관리하고 있는지 확인할 수 있습니다. 내부 감사자는 대개 IT 리더의 지침을 따르지만, 여전히 액세스 로그와 같은 영역을 감사하여 적절한 위협 인텔리전스 및 데이터 보호 기술을 갖춘 승인된 디바이스만 네트워크에 연결되도록 할 수 있습니다.
주요 이해 관계자 조정
랜섬웨어 보호 조치를 개선하려면 내부 감사자가 단순히 IT와 협업하는 데 그치지 않고 주요 이해 관계자를 조정해야 합니다. 여기서 조정은 여러 부서에서 정보를 취합하여 모든 사람의 의견이 일치하는지 확인하는 것을 의미합니다.
내부 감사자는 재무 팀에 문의하여 랜섬웨어 공격의 잠재적 비용을 어떻게 설명하는지 확인한 다음, 이사회 및 고위 경영진과 같은 다른 주요 이해 관계자가 이 접근 방식을 이해하고 동의하는지 확인해야 합니다. 그렇지 않으면 랜섬웨어 공격으로부터 복구할 충분한 예산을 확보하지 못하는 등의 문제가 발생할 수 있습니다.
Gartner 감사 및 리스크 사례 연구 책임자인 재커리 긴즈버그(Zachary Ginsburg)는 Gartner 보도 자료에서 “조직은 규모나 수익에 상관없이 랜섬웨어의 표적이 될 것이라고 가정하고 예방, 탐지, 완화, 대응 및 복구 조치를 검토해야 합니다.”라고 말했습니다.
내부 감사 관리 소프트웨어 활용
내부 감사자는 내부 감사 관리 소프트웨어를 활용하여 랜섬웨어 리스크를 완화시킬 수 있습니다. 많은 기술이 사이버 보안 리스크 관리를 지원하도록 설계되었지만, 감사 관점에서 내부 감사 관리 소프트웨어는 리스크로부터 보호되고 있다는 보장을 얻는 데 중요합니다.
TeamMate+는 일반적인 감사 작업 자동화를 지원하고 협업을 개선하므로, 내부 감사 팀은 연간 감사만 수행하여 랜섬웨어 위협에 한 발 늦게 대응하는 대신 감사에 대한 지속적인 접근 방식을 취할 수 있습니다. 우수한 내부 감사 관리 소프트웨어를 사용하면 대규모 데이터 세트를 쉽게 테스트하고 결과를 보고할 수 있으므로 이해하기 쉬운 프레젠테이션을 통해 이해 관계자들의 의견을 조율할 수 있습니다.