[아이티비즈] 보메트릭(지사장 이문형, www.vormetric.co.kr)이 451리서치와 공동으로 조사한 2016년 데이터 위협 보고서를 발간했다. 전 세계 대기업에 종사하는 1,100명의 IT 보안 담당자들을 대상으로 실시한 4번째 연간 보고서에서는 데이터 유출의 자세한 현황과 보안 규제의 문제점, 데이터에 대한 위협 비율, 데이터 보안 현황, IT 보안 지출 계획 등에 대해 조사했다.
이번 보고서에서 주요 시사점은 보안 규제를 충족시킨 기관들에서 데이터 유출 사건이 속출함에도 불구하고 아직까지 기업들은 보안 규제만 준수하면 데이터 보안이 충분하다고 믿고 있으며 데이터 보안과 규제 충족을 동일시한다는 것이다. 또한, 기업들이 데이터 유출 방어에 효과적이지 않은 외부적인 방어 정책에만 집중하는 반면, 사이버 공격은 점점 더 정교해짐에 따라 결국, 기업들의 IT 보안 투자는 부적절하게 이뤄지고 있다는 점이다.
451리서치의 기업 보안 수석 연구원이자 보고서의 저자인 가렛 베커(Garrett Bekker)는 “규제 준수만으로 보안이 보장되는 것은 아니다”며, “보안 규제를 만족시켰던 기업들을 대상으로 발생한 데이터 유출 사고에서도 알 수 있듯이, 규제를 충족한다는 것은 결코 침해 당하지 않고, 민감 데이터가 유출되지 않을 것을 의미하는 것은 아니다. 그러나 조사 결과, 거의 2/3(64%)에 달하는 기업들이 보안 규제에 집중하는 것이 데이터 침해를 방지하는데 매우 효과적이라고 응답한 것을 볼 때, 기업들은 아직 심각성을 인식하지 못하고 있는 것으로 보인다”고 분석했다.
또한 그는 “기업들은 네트워크와 엔드포인트 보안과 같이 다단계 공격(multi-stage attacks)을 방어하는 데는 효과적이지 못한 보안 기술에 예산 지출을 증가시키는 등 데이터 침해를 방지를 위한 보안 예산을 비효율적으로 소요하고 있다.”며, “데이터 보안을 위해 네트워크와 엔드포인트를 보호하는 방식으로는 부족하다”고 말했다.
보메트릭 글로벌 마케팅 부사장 티나 스튜어트(Tina Stewart)는 “기업들과 정부 기관들이 시민, 고객, 기업들의 기밀 정보를 제대로 보호하는지에 대한 우려가 있다”며, “기업들은, 위험 요인을 무시한 채, 오늘날의 다단계의 사이버 공격 방어에 효과적이지 않은 보안 솔루션에 의존하고 있다. 암호화, 접근 제어, 토큰화, 데이터마스킹, 데이터 접근 모니터링과 같은 데이터 보안 기술은 정보유출의 위험을 최소화하면서 클라우드, 빅데이터, 사물인터넷과 같은 신 기술들을 이용할 수 있도록 해준다. 궁극적으로 기업들이 새로운 비즈니스 모델과 새로운 비용 구조를 도입할 수 있게 지원한다”고 설명했다.
