법률 산업은 팬데믹 기간 동안 디지털화를 향한 추진력의 모범입니다.이전에는 번거로운 서류 기반 프로세스와 행정 관행으로 알려졌던 로펌들은 비효율성을 떨쳐내고 기술에 정통한 세상에서 성공하기 위해 진화하기 시작했습니다.
사실, 그들은 선택의 여지가 거의 없습니다.경쟁이 심화되고 비용 관리가 강화되고 고객의 기대치가 높아짐에 따라 많은 기업이 망연자실하거나 망설이는 사례가 되고 있으며, 대부분의 경우 운영 점검이 필요합니다.
최근 5월에 발간된 영국 법률 서비스 사이버 보안 설문조사 연구 보고서 (150명의 법률 전문가 대상 설문조사 보고서) 에서 이를 확인할 수 있었습니다.이 설문에서는 응답자의 거의 절반 (47%) 이 디지털 서비스를 도입한 적이 있다고 답했습니다.
정교한 검색 도구, 디지털 사례 및 문서 관리, 법률 CRM, 클라우드 청구 및 비용 시스템, 온라인 협업 플랫폼 등 새로운 기술의 채택과 법률 프로세스의 혁신은 업계 참여자에게 상당한 이점을 가져다주었습니다.
그러나 이러한 발전에는 덜 긍정적인 측면이 있습니다.
이제 직원들이 하루 중 75% 를 웹 브라우저나 가상 회의에 참석하면서 조직의 디지털 공간이 크게 확대되었습니다.하지만 그와 동시에 사이버 위협의 규모와 복잡성도 모두 증가했습니다.
회피성이 높은 적응형 위협 (HEAT) 을 예로 들어 보겠습니다.웹 브라우저를 공격 벡터로 표적으로 삼도록 특별히 설계된 이러한 공격에는 위협 행위자가 다양한 기술을 사용하여 레거시 보안 스택의 여러 계층의 탐지를 회피하고 일반적인 웹 보안 조치를 우회하여 멀웨어를 전달하거나 자격 증명을 손상시키는 것이 포함됩니다.
패턴은 명확합니다. 기업이 디지털 방식으로 전환하고 법률 전문가들이 브라우저를 점점 더 많이 사용함에 따라 공격자들은 이러한 사용자를 직접 표적으로 삼기 위해 적응하고 있습니다.
이로 인해 법률 회사는 위협 행위자에게 점점 더 많은 표적이 되고 있습니다. 특히 현재 온라인에 저장, 협업 및 공유되고 있으며 매우 민감한 (또는 위협 행위자의 눈에는 수익성이 높은) 데이터가 포함된 많은 법률 문서가 있기 때문입니다.
로펌은 위협을 인식하지만 대응하지 않고 있습니다
최근 대형 로펌을 강타한 몇 가지 세간의 이목을 끄는 데이터 침해와 피싱 사기가 밝혀진 것은 놀라운 일이 아닙니다.
이에 대응하여 법률 산업 기관은 위협에 대응하기 위해 노력하고 있습니다.법률 협회와 변호사 규제 기관 (SRA) 은 모두 로펌이 사이버 보안 정책을 개발하고 공격에 대처할 수 있도록 조언을 발표했으며, 변호사들도 로펌과 협의를 통해 기업이 사이버 사고의 대상이 될 경우 전문가 배상 정책의 보장 범위를 명확히 하기 위한 계획에 대한 피드백을 요청했습니다.
이와 함께 라이선스 운송업자 위원회 (CLC) 는 “진화하는 형태의 사이버 위험”이 더욱 복잡해짐에 따라 2021년 자문 문서에서 법률 회사에 독립형 사이버 보험에 가입하도록 요구하는 방안을 모색했습니다.
많은 로펌들이 자신들이 직면하고 있는 사이버 위협의 수가 증가하고 있음을 인식하고 있음은 분명합니다.
에 따르면 PWC의 최신 연례 100대 로펌 설문조사영국 100대 로펌은 사이버 공격이 그들의 야망에 가장 큰 위협이라고 답했으며, 10개 중 9개는 사이버 위협이 비즈니스에 미치는 영향에 대해 우려하고 있습니다.
그러나 이러한 우려는 의미 있는 조치로 이어지지 못하고 있습니다.
The Law Society와 SRA가 발행한 조언과 지침에 대해 물었을 때, 설문 조사에 따르면 응답자의 대다수가 해당 내용을 알고 있었지만 읽은 사람은 1/3에 불과했습니다.마찬가지로 SRA의 상담 내용을 확인한 사람은 10명 중 4명도 채 되지 않았습니다.
이번 연구에서 분명히 알 수 있었던 것은 기업 중 상당수가 위협에도 불구하고 직원들에게 보안 모범 사례에 대한 적절한 조언과 지침을 제공하지 못하고 있다는 것입니다.전체 응답자의 약 절반이 현재 받고 있는 사이버 보안 교육에 대한 확신이 없습니다.
이 실패는 다른 걱정스러운 통계에도 영향을 미칩니다.현재 법률 전문가 10명 중 약 4명은 자신에게 사이버 위협을 식별하여 회사에 보고할 책임이 있다는 사실을 인식하지 못하는 반면, 10명 중 3명 이상은 피싱 이메일에 대처하는 방법을 모르고 있습니다.
보안을 극대화하는 동시에 디지털 혁신의 이점 유지
법률 부문은 새로운 애플리케이션, 솔루션 및 기술을 빠르게 도입했지만 보안은 우선 순위 목록에서 밀려났습니다.절반 이상 (58%) 의 로펌이 재택근무를 처리하기 위해 사이버 보안 조치를 변경한 반면, 이러한 새로운 업무 방식을 해결하기 위해 사이버 보안 교육을 업데이트한 로펌은 절반 미만 (45%) 에 불과합니다.
많은 기업이 의미 있는 변화를 구현하지 못했다는 사실은 오늘날의 하이브리드 또는 원격 근무 모델에 맞게 설계되지 않은 구식 솔루션을 사용하고 있을 가능성이 높다는 것을 시사합니다.그렇다면 설문 응답자 중 거의 절반 (48%) 이 자신의 회사가 공격에 대처할 준비가 잘 되어 있는지 확신하지 못한다는 것은 놀라운 일이 아닙니다.
물론 이러한 태도는 바뀌어야 하며 보안은 해당 부문의 우선 순위로 더욱 높아져야 합니다.
법률 회사가 변호를 개선하기 위해 취할 수 있는 몇 가지 간단한 조치가 있습니다.이는 보안 스택의 격차를 파악하고 원격 및 하이브리드 작업 환경에 적합한 내부 정책 및 절차를 채택하여 새로운 공격 벡터를 효과적으로 해결하는 것으로 시작됩니다.
제로 트러스트 원칙
브라우저 보안을 더욱 강화하고 HEAT 공격의 위협을 효과적으로 완화하려면 기업은 제로 트러스트 원칙도 채택해야 합니다.기존 보안 모델은 조직 네트워크 내의 모든 것을 신뢰할 수 있어야 한다는 시대에 뒤떨어진 가정에 기반하고 있습니다.제로 트러스트는 지속적 검증 원칙에 기반한 기본 '거부' 접근 방식을 취하여 이러한 상황을 완전히 뒤집습니다.
신뢰를 취약점으로 인식하므로 이메일, 웹 사이트, 동영상 또는 기타 문서 등 모든 트래픽을 검증합니다.
진정한 의미에서 제로 트러스트를 달성하는 가장 효과적인 방법 중 하나는 격리 기반 기술을 채택하는 것입니다.액티브 콘텐츠의 실행 시점을 사용자 브라우저에서 클라우드 기반 가상 컨테이너로 전환하는 솔루션입니다.
본질적으로 이는 잠재적으로 악의적인 페이로드를 포함한 모든 콘텐츠가 엔드포인트에 도달하는 것을 방지하는 장벽 역할을 합니다.다른 보안 솔루션처럼 '거의 안전'하지 않습니다.멀웨어를 100% 차단할 수 있습니다.
법률 회사의 경우 이는 매우 중요합니다.웹 트래픽이 기하급수적으로 증가하고 위험이 날로 고조되는 상황에서 로펌은 고립을 통해 자신도 모르게 치명적인 결과를 초래할 수 있는 모든 직원의 디지털 활동을 보호할 수 있습니다.
안전한 온라인 환경을 제공하고 사용자가 비즈니스를 계속 운영하면서 걱정 없이 일할 수 있도록 하려는 조직에게는 격리 기술이 유일한 해답입니다.
