북미 중요정보유출, 응답자 73% ‘경험’ 있으나 대응책 ‘미비’
상태바
북미 중요정보유출, 응답자 73% ‘경험’ 있으나 대응책 ‘미비’
  • 김혜진 기자
  • 승인 2016.06.14 13:17
  • 댓글 0
이 기사를 공유합니다
데이터 중심 보안·중요 데이터 위치 파악· 통제 정책 필요

파수닷컴이 정보보호 관련 전문시장조사기관인 포네몬연구소(이하 포네몬) 후원을 통해 ‘위험에 처한 기업들: 내부 임직원들에 의한 중요 정보의 유출 위험(Risky Business: How Company Insiders Put High Value Information at Risk)’이라는 주제로 실시한 리서치 결과를 발표했다.

설문조사는 미국 내 다양한 산업분야의 기업 및 기관에 근무하는 IT 보안 실무자 637명을 대상으로 실시됐다.

설문조사 결과 데이터 유출의 대부분이 내부자의 악의적인 행위 또는 실수 등에 의해 발생하는 것으로 조사됐다. 이에 반해 설문에 참여한 72%의 기업들이 중요 데이터에 대한 내부 직원들의 접근 통제와 관리에 대한 확신이 없다고 답하며 대다수의 기업 및 기관들이 잠재적인 정보유출 사고의 피해자가 될 수 있음을 암시했다.

이번 조사를 진행한 포네몬 회장 래리 포네몬은 “대부분의 믿음과 달리 데이터 유출의 상당수가 외부에서의 의도된 공격보다는 내부자의 악의적인 행위 또는 부주의로 발생하는 것으로 조사된 만큼 이번 설문조사 결과가 기업의 데이터 보안 방안을 새롭게 검토하는 계기가 될 것”이라며 “기업 내 보안을 강화하기 위해서는 중요 정보에 접근권한을 가진 임직원 관리는 물론 기업의 주요 자산이 되는 중요 정보에 대한 접근 통제 및 관리가 반드시 함께 이뤄져야 한다”고 밝혔다.

조사 결과에 따르면 응답자의 대부분이 정보 유출 경험이 있다고 답한 데 반해 적절한 대응책이 없거나 보호해야 하는 중요 정보가 어디에 있는지 파악도 못하는 경우가 대부분인 것으로 조사됐다.

▲ 기업들은 자신들이 높은 가지의 정보에 유출을 막을 수 있다고 믿고 있는가? : 전적으로 동의 및 결합 반응 동의

응답자의 70%는 중요 정보의 위치를 모르며 60% 이상이 어떤 문서들을 공유했는지 파악하지 못하고 있다고 답했다. 또 기업의 80%이상이 중요 데이터에 대한 적절한 권한 및 보안 레벨을 결정하는 것에 고민하고 있다고 대답한 반면 중요 정보에 대해 효과적으로 접근 통제를 진행하고 있는 기업은 오직 15%밖에 되지 않은 것으로 조사됐다.

조규곤 파수닷컴 대표는 “가장 심각한 문제는 C-레벨의 경영진들이 기업의 중요 정보들이 어디에 저장돼 있는지, 누가·언제·어디서·어떤 데이터에 접근해 사용하는지를 전혀 인지하지 못하고 있다는 점”이라며 “기업이 보유한 모든 정보의 위치 파악과 함께 중요 정보에 대한 접근권한 제어 및 통제가 지속적으로 이뤄질 수 있도록 DRM 적용을 데이터 보안의 기본으로 고려해야 하고 이러한 보안 대책은 내부자에 의한 위협뿐만 아니라 해킹 등 외부 공격에 대해서도 동일하게 필요 할 것”이라고 밝혔다.

한편 정보 유출 주요 원인으로 임직원의 부주의(56%)가 꼽혔으며 디바이스 유실 및 도난(37%), 시스템 문제(28%)가 그 뒤를 이었다.

또 중요 정보의 위치에 대해서는 응답자의 약 70%가 중요 정보에 대한 위치 파악을 못하고 있으며 60% 이상은 임직원들의 문서 사용 및 공유 현황에 대한 가시성이 확보돼 있지 않다고 답했다.

▲ 이러한 데이터 유출의 가능성이 가장 높은 원인은 무엇인가? : 하나의 허용된 선택 이상

이와 함께 정보유출 발생 경로 및 예방의 경우 응답자의 73%는 지난 12개월 동안 중요 정보가 유출된 적이 있다고 했고 그 중 절반은 외부의 공격이나 해커들을 막는 것이 정보 유출을 효과적으로 방지할 수 있다고 답했으며 내부자의 부주의를 예방하는 것이 정보 유출을 막을 수 있다고 응답한 비율은 50% 이하로 나타났다.

더불어 정보유출 위협이 높은 부서는 정형 데이터의 69%, 비정형 데이터의 59%를 보유한 영업 부서로 조사됐으며 비정형 데이터를 50% 이상 보유한 C-레벨 경영진과 인사팀(79%), 정형 데이터를 더 많이 가지고 있는 인사, 재무, 회계 부서(71%)가 그 뒤를 이었다.

뿐만 아니라 적절한 권한 설정과 통제에 대해서는 기업의 80% 이상이 중요 데이터에 대한 적절한 권한 및 보안 레벨을 결정하는 것에 고민하고 있다고 답했고 일반적으로 기업들은 보안 수준을 데이터 유형(71%), 정책(65%) 또는 데이터 사용(59%)에 의해 판단하고 있으며 응답자의 13%만이 문서에 접속하는 자 또는 콘텐트 매니지먼트 시스템(16%)에 의해 결정하는 것으로 조사됐다.

기업이 중요 정보에 대해 제대로 파악했다고 하더라, 중요 정보에 대해 효과적으로 접근 제한을 진행하고 있는 기업은 오직 15%로 나타났다.

저작권자 © CCTV뉴스 무단전재 및 재배포 금지
김혜진 기자
김혜진 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
로그인
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.