"우리회사 정보보안 위험"...전세계 IT담당자 75% 진단

한국EMC, 사이버 보안 취약지수 발표

컴퓨팅입력 :2016/07/19 16:07

세계 각국 기업의 IT담당자 다수가 자기 조직의 보안 역량이 미흡하다고 여기는 것으로 나타났다.

한국EMC(대표 김경진)는 ‘RSA 사이버 보안 취약 지수’ 보고서를 19일 발표했다.

작년에 이어 두 번째로 발간된 이 보고서는 EMC의 보안사업부문 RSA가 전세계 IT담당자를 대상으로 사이버 보안의 핵심 분야인 조직 규모 및 산업군, 지역에 따른 보안 성숙도 및 현황을 설문조사해 만들어 졌다. 유럽 중동 아프리카 240명, 아태지역 200명, 북남미 438명 등 81개국 878명이 설문에 참여했다.

자가 평가를 기반으로 한 이 조사에서 전체 응답자 중 75%가 ‘자사 조직의 부족한 보안 역량으로 크게 위험에 노출됐다’고 답변했다. 자기 조직의 보안 역량을 비교적 높게 평가한 응답자는 18%에 그쳤으며, 최고 수준의 역량을 갖췄다고 답한 응답자는 7%에 불과했다.

사이버 보안 주요 분야인 ‘인증(Identify)’, ‘보호(Protect)’, ‘탐지(Detect)’, ‘대응(Respond)’, ‘복구(recover)’에 대한 질문에서 응답자 중 66%가 모든 부분에서 미흡한 수준이라고 평가했다. 이 중에서도 가장 부족한 부분은 최근 보안 전략의 핵심 요소로 떠오르는 탐지와 대응 부분이며, 반면 보호 부분은 상대적으로 가장 성숙한 것으로 나타났다. 이는 아직까지 조직의 보안 우선 순위가 보호, 즉 예방 정책에 초점이 맞춰져 있다는 것을 보여준다.

세부 역량면에서는 리스크 종류를 파악하고 조사 및 완화시킬 수 있는 역량이 가장 부족한 것으로 나타났다. 응답자 중 오직 24%만 성숙한 혹은 숙달된 수준의 역량을 보유했다고 응답했다. 조직이 리스크 요소들을 제대로 평가하지 못함에 따라, 보안 수준 향상을 위한 투자 또한 올바른 우선 순위에 따라 진행되고 있지 않을 가능성이 높다. 위협 감지 역량도 상대적으로 부족한 것으로 나타났다. 잠재적인 보안 이슈 감지를 위한 네트워크. 엔드포인트, 서버, 애플리케이션 모니터링 역량을 제대로 갖춘 기업은 28%에 불과했다. 반면 계정 및 접근 관리(IAM)부분은 비교적 높은 성숙도(37%)를 보였다.

기업 규모에 따른 사이버 보안 역량 수준의 차이도 큰 것으로 나타났다. 임직원 1만명 이상의 조직에 속한 응답자들은 33%가 조직의 보안 성숙도가 높거나 최고 수준이라고 평가했다. 이는 임직원 1천명에서 1만명 규모에서는 24%, 1천명 미만 고용인 조직에 소속된 응답자 중 23%가 해당 수준인 것에 비해 10% 가량 더 높은 수치다.

응답자의 67%는 최근 12개월 내에 사업에 부정적 영향을 끼칠만한 보안 사고가 있었다고 답했다. 이들 중 오직 24%만이 자신들의 보안전략이 성숙하다고 평가해, 조직들이 사고를 겪고도 제대로 된 보안 전략과 역량을 갖추지 못한 것으로 나타났다. 다만, 보안사고를 많이 겪은 조직일수록 보안 수준이 개선됐다. 지난 12개월 동안 21건 이상의 보안사고를 겪은 조직은 보안 성숙도를 높게 평가한 답변이 10건 이하 사고를 겪은 조직보다 65% 높았다.

산업군별로는 항공우주 및 국방 산업의 보안 성숙도가 가장 높았다. 항공우주 및 국방 산업 종사자의 39%가 보안 성숙도를 높게 평가해 하이테크 산업(31%)을 앞섰다. 사이버 공격의 주 대상이 되는 금융 서비스는 26%에 그쳤으며, 정부 및 에너지산업은 가장 낮은 보안 성숙도(18%)를 보였다.

지난해와 비교했을 때 가장 눈에 띄는 변화로, 가장 성숙한 보안 역량을 가진 기업들이 4.9%에서 7.4%로 51% 증가했다는 점이다. 이밖에 개별 역량 측면에서 ‘직원, 임원, 파트너에 보안 교육 및 훈련 수행’ 분야의 성숙도가 크게 향상돼, 보안 인식이 확산되고 있음을 보여줬다.

관련기사

한국EMC 김경진 사장은 “이번 조사는 많은 기업의 역량이 급증하는 사이버 위협에 대응하기에 아직 충분치 않다는 것을 보여준다”며 “보안 리스크에 대한 조사와 전략 수립으로 올바른 보안 투자 우선순위를 정하고, 특히 최근 이슈가 되고 있는 탐지와 대응 부분의 역량 향상에 집중함으로써 비즈니스 안정성을 높여야 할 것”이라고 강조했다.

한편 이 조사는 미국 국립표준기술연구소(NIST)의 ‘사이버 보안 프레임워크(CSF)’를 기준으로 평가했다. 미국에서 중요 인프라의 리스크를 줄이기 위한 목적으로 개발된 CSF는 주요 사이버 상에 존재하는 리스크에 대한 관리 및 보안 역량을 평가하는 기준으로 활용된다. CSF는 보안의 주요 기능 5가지를 인증(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(recover)로 규정한다.