한국 기업들이 생각하는 민감 데이터 유출 주요인은 해킹이 아니라 내부 직원 과실이라는 주장이 제기됐다. 또 기업이 민감 데이터를 보호하기 위해 암호화 보안 기술을 적용할 때, 시스템 성능과 대기시간을 가장 많이 고려하는 것으로 나타났다. 멀티 클라우드 환경에 따른 키 관리도 어려운 사항으로 지목됐다.
데이터 보안 업체인 탈레스는 포네몬 연구소가 진행한 조사를 바탕으로 ‘2018 한국 암호화 동향 보고서’를 22일 발표했다.
보고서에 따르면 한국 IT 담당자들은 민감 데이터에 대한 위협 요인으로 ‘직원 실수’(55%)를 가장 많이 꼽은 것으로 나타났다. 그 다음은 ‘계약직 근로자의 실수’(32%), ‘외주 서비스 공급업체의 실수’(29%) 등이 뒤를 이었다. 반면, 해커와 악의적인 내부자에 의한 데이터 위협은 각각 24%, 15%로 하위권에 머물렀다.
민감 데이터를 보호하기 위해 일관성 있는 전사적 암호화 기술을 사용하는 기업은 41%에 해당하는 것으로 나타났다. 이는 조사에 참여한 총 12개 나라 중 5위에 해당하는 수치로, 세계 평균인 43%보다는 조금 낮은 수치다.
기업들이 암호화 기술을 사용하는 이유로는 ‘기업의 지적 재산 보호’가 61%로 가장 높았다. 그 뒤로는 ‘파악된 특정 위협으로부터 정보 보호’가 54%를 차지했다.
‘데이터 보안 규제 요건 준수’ 때문이라는 응답은 4위(48%)로 상대적으로 낮은 순위를 차지했다. ‘침해 또는 우발적 유출로 인한 법적 책임 제한’을 이유로 택한 비율도 32%에 그쳤다. 김기태 탈레스 이시큐리티 영업이사는 “기업들이 이제는 컴플라이언스 때문만이 아니라 스스로 지적재산권을 보호하고 싶어 암호화 기술을 사용하고 있다”고 말했다.
기업들이 암호화 전략을 수립하고 시행하는 데 있어 가장 크게 어려움을 느끼는 부분은 ‘민감 데이터 위치 파악’인 것으로 나타났다. 68%의 응답자들이 조직에서 민감 데이터가 어디에 있는지를 파악하는 것이 가장 큰 도전과제라고 답했다. 주요 데이터가 데이터베이스 내에만 존재했던 이전과 달리, 이제는 데이터가 여러 데이터 센터에 분산돼 있어 민감 데이터가 어느 곳에 저장돼 있는지 파악하기 쉽지 않기 때문이다.
그다음으로는 ▲암호화 기술의 초기 구현(49%) ▲가장 효과적인 암호화 기술 선택(27%) ▲암호화할 데이터 분류(27%) ▲암호화 및 키에 대한 지속적인 관리(19%) ▲적절한 암호화 사용을 위한 사용자 교육(10%) 등이 뒤를 이었다.
김 이사는 “기업이 암호화 프로젝트를 진행할 때 가장 먼저 하는 일은 민감 데이터 위치를 파악하는 일”이라며 “조직들이 직면한 암호화 도전 과제의 우선순위는 암호화 프로젝트를 수행할 때 진행하는 업무 순서와 일치”한다고 설명했다.
암호화 솔루션을 도입할 때 기업들이 가장 많이 고려하는 부분은 ‘시스템 성능 및 대기시간’이 86%를 차지하며, 압도적인 것으로 나타났다. 김 이사는 “암호화는 최대 30% 이상의 오버헤드를 요청하기도 해 기존 인프라에 부담을 주는 절차”라며 “시스템 성능의 부하를 많이 주게 되면 암호화 프로젝트 비용보다 추가로 성능을 맞추기 위한 인프라 비용이 더 많이 들어가는 모순이 발생할 수 있다”고 지적했다.
이어 “응답시간 지연도 IT 보안 담당자에는 굉장히 중요한 고려 사항”이라며 “의료 분야에서 이미지 암호화를 많이 사용하고 있는데, 이미지 파일 자체가 크다 보니 로딩하는 데 굉장히 많은 시간이 걸려 오히려 솔루션을 넣었다 폐기하는 사례도 있다”고 덧붙였다.
암호화 솔루션 도입 시 또 하나 중요하게 여기는 사항은 ‘키 관리’(72%)다. 응답자의 과반수가 키 관리의 어려움을 느낀다고 표했으며, 그 이유로는 시스템의 격리 및 세분화, 명확한 소유권 부재, 숙련된 직원 부족 등을 꼽았다.
특히, 가장 관리가 어려운 키로 외부 클라우드 키 또는 BYOK(Bring Your Own Key)와 같은 호스트 서비스용 키를 꼽았다. 김 이사는 “클라우드 사업자에게 키를 맡긴다는 것은 데이터 주권을 클라우드에 넘긴다고 말할 수 있다”며 “응답자의 2/3가 키 관리는 본인이 하겠다고 답했다”고 설명했다. 또 “클라우드에 민감 데이터를 넘기는 부분은 법적인 규제가 있고, 요즘 같은 멀티 클라우드 사용 환경에서는 더욱더 키 관리가 어렵다”고 설명했다.
이어 그는 “하드웨어 보안 모듈(HSM)을 사용하면 랜덤으로 생성된 키를 통해 더욱 신뢰할 수 있는 암호화를 수행할 수 있다”고 소개했다.
이번에 탈레스에서 발표한 보고서는 한국판과 글로벌 보고서 2종류로 발간됐다. 한국판 보고서는 한국 기업에 근무하는 IT 담당자 317명을 대상으로 조사가 이뤄졌다.
관련기사
- 탈레스, 데이터 암호화 솔루션 클라우드 지원 확대2018.08.22
- 탈레스, 국내외 암호화폐거래소에 보안솔루션 공급2018.08.22
- 탈레스, 멀티클라우드 데이터 보호 솔루션 출시2018.08.22
- 탈레스, 한국 핀테크 보안솔루션 시장 정조준2018.08.22
탈레스에서는 매년 미국, 영국, 일본 등 11개 나라를 기반으로 암호화 트렌드를 조사해 글로벌 보고서를 발표하고 있다. 올해는 처음으로 한국이 포함돼 총 12개 나라에서 5천여 명을 대상으로 조사가 이뤄졌다.
김 이사는 “민감 데이터 보호에 대한 중요성이 대두되면서 암호화 수요가 증가하고 있지만, 이에 수반되는 어려움도 늘어나고 있다”며 “암호화 전략을 제대로 세우지 않고 진행하게 되면 오히려 기업에 더 큰 부담을 안길 수 있기 때문에 사전 준비를 충분히 해야 하고, 타 부서와의 관리 협력 등도 필요하다”고 강조했다.