UPDATE : 2020-07-13 16:49 (월)
글로벌 기업 91%, 데이터 보호 취약 느낀다
상태바
글로벌 기업 91%, 데이터 보호 취약 느낀다
  • 이광재 기자
  • 승인 2016.02.03 09:33
  • 댓글 0
이 기사를 공유합니다

기업·정부 기관 데이터 유출 방어보다 규제 준수에 급급

보메트릭이 451리서치(451 Research)와 공동으로 조사한 ‘2016년 데이터 위협 보고서’를 발간했다.

전세계 대기업에 종사하는 1100명의 IT 보안 담당자들을 대상으로 실시한 4번째 연간 보고서에서는 데이터 유출의 자세한 현황과 보안 규제의 문제점, 데이터에 대한 위협 비율, 데이터 보안 현황, IT 보안 지출 계획 등에 대해 조사했다.

이번 보고서에서 주요 시사점은 보안 규제를 충족시킨 기관들에서 데이터 유출 사건이 속출함에도 불구하고 아직까지 기업들은 보안 규제만 준수하면 데이터 보안이 충분하다고 믿고 있으며 데이터 보안과 규제 충족을 동일시한다는 것이다.

또한 기업들이 데이터 유출 방어에 효과적이지 않은 외부적인 방어 정책에만 집중하는 반면 사이버 공격은 점점 더 정교해짐에 따라 결국 기업들의 IT 보안 투자는 부적절하게 이뤄지고 있다는 점이다.

▲ 민감 데이터에 대한 내·외부 위협 체감 정도

가렛 베커 451리서치 기업 보안 수석 연구원겸 보고서 저자는 “규제 준수만으로 보안이 보장되는 것은 아니다”며 “보안 규제를 만족시켰던 기업들을 대상으로 발생한 데이터 유출 사고에서도 알 수 있듯이 규제를 충족한다는 것은 결코 침해당하지 않고 민감 데이터가 유출되지 않을 것을 의미하는 것은 아니지만 조사 결과 거의 2/3(64%)에 달하는 기업들이 보안 규제에 집중하는 것이 데이터 침해를 방지하는데 매우 효과적이라고 응답한 것을 볼 때 기업들은 아직 심각성을 인식하지 못하고 있는 것으로 보인다”고 밝혔다.

이번 보고서에 따르면 61%의 기업들이 과거에 침해를 경험해 봤다고 응답(작년에 22%, 재작년에는 39%)해 데이터 유출 비율의 증가한 것으로 조사됐다.

또 64%의 응답자들이 보안 규제 준수 조치가 데이터 침해 방지에 매우 효과적이라고 대답했다. 이는 58%였던 작년에 비해 증가한 수치다.

이와 함께 46%의 응답자들은 보안 규제 준수 조치가 IT 보안 예산 지출의 우선순위를 차지한다고 답했다. 보안 규제 충족에 대해 특히 중점을 두는 산업은 헬스케어(61%)와 금융 서비스 기관(56%)이었다.

가렛 베커 수석 연구원은 “기업들은 네트워크와 엔드포인트 보안과 같이 다단계 공격(multi-stage attacks)을 방어하는 데는 효과적이지 못한 보안 기술에 예산 지출을 증가시키는 등 데이터 침해를 방지를 위한 보안 예산을 비효율적으로 소요하고 있다”며 “데이터 보안을 위해 네트워크와 엔드포인트를 보호하는 방식으로는 부족하다”고 전했다.

조사 결과 78%의 응답자들은 네트워크 방어가 데이터 유출을 방어하기 위해 매우 효과적이라고 응답했고 62%의 응답자들은 엔드포인트와 모바일 방어가 데이터 유출 방어에 효과적이라고 답했다.

또 저장 데이터 방어에 예산을 늘린다는 응답은 39%로 예년의 47%에 비해 감소했으며 네트워크 보안(48%), 엔드포인트 혹은 모바일 보안(44%) 방식과 같이 데이터 유출 방지에는 효과적이지 않은 보안 솔루션에 대한 예산이 증가했다.

티나 스튜어트 보메트릭 글로벌 마케팅 부사장은 “기업들과 정부 기관들이 시민, 고객, 기업들의 기밀 정보를 제대로 보호하는지에 대한 우려가 있다”며 “기업들은 위험 요인을 무시한 채 오늘날의 다단계의 사이버 공격 방어에 효과적이지 않은 보안 솔루션에 의존하고 있고 암호화, 접근 제어, 토큰화, 데이터마스킹, 데이터 접근 모니터링과 같은 데이터 보안 기술은 정보유출의 위험을 최소화하면서 클라우드, 빅데이터, 사물인터넷과 같은 신기술들을 이용할 수 있도록 해줘 궁극적으로 기업들이 새로운 비즈니스 모델과 새로운 비용 구조를 도입할 수 있게 지원한다”고 말했다.

또한 보고서에 따르면 전세계적으로 데이터 보안 전략 수립에 영향을 미치는 요인이 상이했다.

이에 규제요건이 미국(54%)과 호주(51%) 그리고 독일(47%)에서 가장 큰 요인이었으며 일본에서는 비즈니스 파트너, 고객의 요구사항이 가장 큰 요인이었다.(50%)

또 기업 이미지 및 브랜드 이미지 보호가 영국(50%)과 멕시코(58%)에서 가장 큰 보안 예산 지출 요인이었다.

국가별 눈에 띄는 차이점 중 하나는 다단계 그리고 다층 사이버 공격을 방어하는데 효과적인 솔루션인 저장 데이터(데이터센터, 빅데이터, 사물인터넷 환경에 저장된 데이터) 방어에 대한 예산 배정 증가 비율이다.( 미국 45%, 멕시코 40%, 독일 37%, 영국 34%, 호주 29%, 일본 20%)

작년부터 클라우드와 내부자에 대한 위협 인식이 전 세계적으로 계속해서 증가하고 있다. 또한 기관들이 모바일 장비에 민감 데이터가 상대적으로 적다고 인식하기 시작하면서 모바일 장비로부터의 위협 인식은 줄어들고 있다. 이에 63%는 권한을 가진 사용자가 가장 위험한 내부자라고 인식했으며 이는 작년의 57%에 비해 증가한 수치다.

44%는 클라우드 환경이 민감 데이터 유출에 대한 리스크 중 상위 3위권에 든다고 응답했고 빅데이터 도입으로 인한 위협 인식은 20%로 25%였던 작년에 비해 감소했다.

사물인터넷은 신규 사업 분야이기에 소수의 응답자만이 IoT에 연결된 기기에서 수집된 개인 정보가 위협에 휩싸일 것이라는 인식을 가지고 있었다. 오직 17%의 응답자만이 IoT를 민감 데이터 유출 상위 3개 위협 중 하나로 꼽았다.

보고서를 종합해 보면 기업 및 조직들은 일반적인 IT 보안 툴에 계속 투자하는 것이 중요한 데이터를 보호하는데 더 이상 충분치 못하다는 것을 인식해야 한다. 민감 정보를 보호할 수 있는 포괄적인 보안 전략을 수립하기 위해서는 데이터 중심의 보안이 추가돼야 한다.

기업들이 보안과 관련해 즉시 개선해야 할 사항을 살펴보면 우선 암호화와 접근제어를 포괄적으로 이용하는 것을 저장 데이터(데이터센터, 빅데이터, 사물인터넷 환경에 저장된 데이터)에 대한 방어 전략의 최우선순위로 두고 ‘전면 암호화’ 전략을 고려해야 한다.

또 여러개의 데이터 보안 솔루션을 작동해 소요되는 비용과 복잡성을 줄일 수 있도록 다양한 적용사례와 이용편이성, 암호화 편의성, 기업용 키 관리, 접근제어, 보안 인텔리전스를 제공하는 데이터 보안 플랫폼을 선정해야 한다.

이와 함께 데이터 이용에 대한 위협 패턴을 파악하고 비허가된 접근에 따른 리스크를 줄이기 위해 보안 분석과 핀, 토큰, 생체인식 등의 멀티팩터인증(multi-factor authentication) 솔루션을 도입해야 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.