서버를 하나 추가할 때마다, 고객을 한 명 더 확보할 때마다 — 해커의 수익 계산에서 우리 기업의 가치도 함께 올라갑니다. KISA의 2025년 상반기 사이버 위협 동향 보고서에 따르면 전체 침해 사고의 93%가 중소·중견기업에서 발생했습니다.[3] 평균 피해 비용은 $140,000(약 2억 원).[4] 이들은 무작위 피해자가 아닙니다. 성장하면서 "공격할 가치 없음" 임계점을 넘었지만, 방어 역량은 함께 키우지 못한 기업들입니다.
공격자의 두 가지 필터
인터넷 전체를 대상으로 한 자동 스캐닝은 24시간 쉬지 않고 진행됩니다. 서버가 온라인에 올라온 지 몇 분 이내에 Shodan, Censys 같은 도구에 등록됩니다. 기업 규모와 무관하게, 인터넷에 존재하는 모든 기업은 이미 공격자의 레이더에 들어옵니다.
성장과 함께 달라지는 것은 두 번째 필터입니다 — 수익성 평가. 금전적 동기로 움직이는 공격자는 발견한 모든 표적에 같은 노력을 쏟지 않습니다. 가성비를 따집니다. 고객 데이터가 적고 매출이 작은 기업은 수익이 낮은 표적입니다. 깊이 파고들 이유가 없습니다.
성장하는 기업은 이 계산을 바꿉니다. 고객이 늘수록 개인정보가 많아집니다. 매출이 커질수록 랜섬웨어 협박에서 지불 가능성이 높아집니다. 인프라가 복잡해질수록 내부 침투 후 이동 경로도 넓어집니다. 어느 임계점을 넘으면, 기업은 기회주의적 표적에서 의도적 표적으로 바뀝니다.
수치가 이를 뒷받침합니다. Microsoft 2025 디지털 방어 보고서에 따르면 금전적 동기가 확인된 공격의 52%가 랜섬웨어입니다.[1] Verizon 2025 DBIR은 중소기업 침해의 88%가 랜섬웨어와 연관된다고 밝혔습니다 — 대기업(39%)의 두 배 이상입니다.[2] 성장 단계의 기업이 가장 취약한 시점에 가장 매력적인 표적이 됩니다.
10분 위협 모델
CISO가 없어도 위험을 합리적으로 파악할 수 있습니다. 세 가지 질문이면 충분합니다.
- 무엇이 위험한가(What)? 고객 데이터에 접근하거나 운영을 지원하는 모든 시스템. 웹사이트, 내부 도구, 클라우드 스토리지, 결제 처리 시스템.
- 누가 공격하는가(Who)? 현실적인 공격자를 파악합니다. 대부분의 성장 기업에는 금전적 동기의 랜섬웨어 그룹이 가장 가능성 높은 답입니다. 국가 지원 공격자는 방산·제약·핵심 인프라 등 특정 분야에서만 현실적입니다. 경쟁사는 드뭅니다.
- 왜 공격하는가(Why)? 공격자의 동기 — 돈(랜섬웨어, 사기), 고객 데이터(재판매, 신원 도용), 또는 운영 방해. 동기가 무엇을 먼저 표적으로 삼을지 결정합니다.
10분이면 됩니다. 이 결과물은 보안 계획이 아닙니다 — 렌즈입니다. 이 렌즈로 모든 보안 결정을 올바른 질문에 비추어 평가할 수 있습니다: 이 조치가 실제로 나를 노리는 공격자에게 실질적인 방어가 되는가?
성장 기업들이 잘못된 보안 투자를 하는 이유가 여기 있습니다. 이 세 가지 질문을 해본 적이 없기 때문입니다. 네트워크 분리가 필요한 위협 모델에 바이러스 백신을 삽니다. 인터넷에 노출된 패치되지 않은 서버를 랜섬웨어 운영자가 이미 익스플로잇하고 있는 상황에서 피싱 교육을 진행합니다.
"우리 회사는 해당 없다"고 생각하기 전에
"우리는 너무 작아서 표적이 되지 않는다"는 논리는 훔칠 만한 데이터가 있거나 랜섬웨어 운영자가 지불 가능성을 계산하는 순간 무너집니다. 초기 스타트업 단계를 넘어선 대부분의 기업은 이미 두 조건을 모두 충족합니다.
지금 우리 시스템에서 공격자가 실제로 노릴 자산이 무엇인지, 현재 보안 지출이 그것을 막을 수 있는지 검토해 보신 적 있으신가요?
참고
- Microsoft — Digital Defense Report 2025
- Verizon — 2025 Data Breach Investigations Report
- KISA — 2025 상반기 사이버 위협 동향 보고서
- NinjaOne — 7 SMB Cybersecurity Statistics for 2026
Instagram