[아이티비즈 김문구 기자] 국내 IT 의사결정권자 38%는 조직에서 85%가 침해 사고를 겪었음에도 불구하고, 그들의 사이버 보안 태세에 ‘확신’하는 것으로 나타났다.
포티넷코리아는 21일 2017 년 포티넷 글로벌 기업 보안 서베이 중 한국 기업들의 보안 인식에 대한 후속 결과를 발표했다.
이 조사는 독립적인 시장조사 기업인 라우드하우스가 진행했으며, 2017 년 7-8월간 보안에 대한 기업들의 인식을 조사한 것으로, 전세계 16개국(홍콩, 한국, 인도네시아, 싱가포르, 미국, 캐나다, 프랑스, 영국, 독일, 스페인, 이탈리아, 중동, 남아프리카 공화국, 폴란드, 호주, 인도)에서 IT 보안을 책임지고 있는 IT 의사결정권자 1,801 명을 대상으로 했다. 참여자들은 보고서의 목적이나 후원업체를 모르는 상태에서 온라인 설문에 참여했다.
이번 조사에 의하면, 직원수 250 명 이상 기업에 속한 국내 IT 의사결정권자(ITDM)의 38%가 지난 2 년간 85%의 조직이 침해 사고를 겪었음에도 불구하고, 그들의 사이버 보안 태세에 확신을 갖고 있는 것으로 나타났다.
또한, 78%는 경쟁사보다 사이버 보안을 더 잘하고 있다고 답변했으며, 단 8%만이 뒤쳐져 있다고 답변했다. 이번 조사 결과는 사이버 공격 방어에서 안일한 태도의 위험성과 사이버보안 베스트 프랙티스 및 기본 원칙을 지키는 것이 얼마나 중요한지 다시 한번 강조하고 있다.
응답자들은 지난 2 년간 겪은 침해 사고의 24%가 소셜 엔지니어링, 랜섬웨어, 이메일 피싱의 결과라고 보았다. 한국 기업의 53%는 내년에 IT 보안에 대한 직원 교육 프로그램을 계획하고 있었으며, 이는 침해 사고가 공격자들의 악의성만큼이나 직원들의 부주의함이나 무지로 인해 발생된다는 인식이 커지고 있다는 것을 잘 보여준다.
조직의 또 다른 관심사는 네트워크에 대한 액세스를 보호하는 것이었다. 국내 IT 의사결정권자의 약 1/4(28 %)이 네트워크 액세스가 가능한 모든 장치를 완벽하게 파악 및 제어할 수 있다고 답변했다. 또한, IT 의사결정권자의 30 %가 네트워크에 자주 액세스하는 써드 파티의 모든 액세스 수준을 완벽하게 파악할 수 있다고 답변했으며, 32 %가 모든 직원을 완벽하게 파악 및 제어할 수 있다고 답변했다.
이 같은 결과는 네트워크 가시성에 대한 확신이 부족하다는 점을 잘 보여주며, 조직에서 이를 중요한 관심사로 다뤄야 한다는 점을 시사하고 있다. 그러나 내년에 네트워크 분할과 같은 기본적인 보안 조치를 계획하고 있는 한국 기업들은 23%에 불과했다. 네트워크 분할을 하지 않으면 네트워크에 침입하는 멀웨어가 빠르게 확산될 수 있다.
국내 IT 의사결정권자의 32%는 보안 침해 사고 방지를 위해 직원들의 보안 인식 교육에 더 많은 투자가 이뤄지기를 원했다. 사용자 교육은 사이버 보안 사슬에서 가장 취약한 링크인 ‘직원’들을 타깃으로 하는 침입 시도를 줄일 수 있다.
침해 사고41 %에 대해 한국의 임원진들은 특정 개인에 의한 사고(16%)이든 부서에 의한 사고(25%)이든, IT 부서의 책임으로 여겼다. IT 부서 이외의 직원들이 보안의 가장 취약한 링크로 인식되고 있다 해도, 침해 사고의 20%만 이들의 책임으로 여겨졌다. 그러나 더이상 IT 부서가 홀로 보안 사고에 대한 책임을 질 수는 없다. BYOD 및 IoT, 클라우드 기반 애플리케이션 사용, 섀도우 IT(shadow IT) 등 변화하는 비즈니스 환경은 보안에 대한 책임을 보다 다양한 조직 및 직원에게까지 확대시키고 있다.
2017년, 국내 IT 의사결정권자들의 투자 우선순위는 ▲34 % - 새로운 보안 솔루션 및 서비스 ▲30 % - 보안 정책 및 프로세스 구현 ▲25 % - 보안 솔루션 업그레이드 ▲8 % - 직원 교육 ▲2 % - 감사 및 평가 등이었다.
기업들은 지속적인 기술 투자를 통해 포괄적인 보안 솔루션을 구축하여 악의적인 공격에 대응하고 있다. 업그레이드된 새로운 보안 솔루션에 대한 투자는 2018 년에도 지속될 것이나, 한국 응답자의 37 %는 직원 교육에 대한 투자가 3 대 투자 우선 순위 중 하나가 될 것이라고 답변했다.
포티넷의 월드와이드 세일즈 및 지원을 총괄하는 파트리스 페르쉐 수석 부사장은 "IT 의사결정권자는 사이버 보안 공격에 대응하기 위해 보안 솔루션의 유지보수 및 업그레이드에 우선 순위를 두고 있다. 그러나 주목해야 할 점은 다른 부분의 중요성을 여전히 놓치고 있다는 점이다. 특히, 자동화, 통합, 전략적 분할 등을 활용하는 보안 접근법을 구현하거나, 보안 위생에 우선순위를 두거나, 보안 인식 강화를 위해 직원들을 교육하는 것 등이 시급한 과제이며, 이는 향후 발생할 수 있는 매우 위험한 인터넷 공격을 방어하는데 매우 중요하다”고 말했다.
