90% 미국 정부 기관 IT 보안 담당자, “데이터 보호에 취약함 느낀다”

보메트릭이 미국 연방 정부 기관의 보안 현황에 초점을 맞춘 2016년 데이터 위협 보고서의 확장판을 발간했다고 밝혔다.

보메트릭과 451리서치(451 Research)와 공동 발간한 보고서에는 미국 연방 정부 기관의 보안 전문가 100명을 포함한 전세계 대기업의 IT 보안 전문가 1100명을 대상으로 보안 위협에 대해 조사한 결과를 담고 있다.

올해로 4번째로 발간된 이 연례 보고서는 지난달 발표한 보메트릭 데이터 위협 보고서의 글로벌 판과 클라우드, 빅데이터, 사물인터넷 확장판의 주요 시사점을 미 연방 기관에 종사하는 IT 보안 담당자의 응답 내용을 바탕으로 확장한 보고서다. 이 보고서는 미 연방 정부 기관의 데이터 위협에 대한 인식, 데이터 침해 실패 비율, 데이터 보안에 대한 입장, IT 보안 예산 계획 등에 대해 상세히 다루고 있다.

이번 보고서에 따르면 90%의 응답자는 데이터 보호에 취약함을 느낀다고 답했고 61%의 응답자는 과거 데이터 침해를 경험했으며 이 가운데 거의 5분의 1은 작년에 데이터 침해를 경험했다고 답했다.

또 44%의 응답자는 데이터 보안 솔루션 도입에 장애가 되는 요인이 ‘기술 부족’이라고 답했으며 43%의 응답자는 ‘예산 부족’이라고 답했다.

이와 함께 언론에서는 국가의 지원을 받는 해커들로 인한 사이버 해킹 사건에 초점을 맞추고 있지만 실제 IT 보안 담당자들이 인식하는 위협적인 외부자 1위는 76%의 응답률을 얻은 사이버 범죄자였으며 국가 지원 해커는 47%를 기록하며 4위에 머물렀다.

긍정적인 부분은 58%의 응답자가 올해 데이터 위협에 대응하기 위한 예산을 증가하겠다고 답했으며 37%의 응답자는 저장 데이터 방어 예산을 늘리겠다고 답했다는 것이다.

가렛 베커 451리서치 기업 보안 수석 연구원은 “미국 연방 정부의 보안 현황에 대해 다룬 이번 보고서를 통해 미국 정부의 보안 담당자들이 구식 무기로 최신식의 전쟁을 치르는 장군과 같은 상황이라는 것을 알 수 있었다”며 “일례로 미 연방 정부 기관의 보안 예산 지출 계획을 살펴보면 보안 담당자들은 과거에 효과적이었으나 오늘날에 이뤄지는 다단계의 사이버 공격 방어에는 효과적이지 않은 네트워크 혹은 엔드포인트 보안 기술을 고집하는 경향이 드러나는데 이는 보안 예산에서 가장 많이 지출되는 부분과 민감 데이터를 안전하게 보호하기 위해 진정으로 필요한 부분 사이에 괴리가 있다는 것”이라고 말했다.

미 정부 기관의 IT 보안 전문가들이 향후 1년 안에 예산을 배정할 것이라고 응답한 보안 분야 1위는 네트워크 방어 솔루션으로 53%를 차지했으며 분석 및 상관관계 분석 도구가 46%로 그 뒤를 이었다.

또 60%의 응답자들은 네트워크 방어 솔루션이 데이터를 보호하는데 매우 효과적이라고 응답했으며 이는 다른 산업군과 미국의 평균인 53%를 상회하는 수치다.

이와 함께 저장 데이터 방어는 다른 솔루션이 보호하지 못하는 데이터를 보호할 수 있는 가장 효과적인 솔루션임에도 불구하고 미국 연방 정부 기관의 보안 예산 계획에서 가장 뒤로 밀렸다. 오직 37%만이 저장 데이터 방어에 예산을 늘리겠다고 응답했는데, 이는 미국 평균인 45% 보다 낮은 수치다.

느리게 변화하는 보안 규제는 오늘날의 다층적·다단계 공격을 방어하는데 도움이 되지 않고 있다. 보안 규제를 준수한 기업들이 겪은 일련의 데이터 유출사고를 통해 우리는 규제를 충족시키는 것이 결코 침해당하지 않고 민감 데이터가 유출되지 않을 것을 의미하는 것은 아니라는 것을 알 수 있었다. 그러나 57%의 미국 연방 정부 기관 IT 보안 담당자들은 보안 규제 준수 조치가 민감 데이터를 보호하는데 상당히 또는 매우 효과적이라고 답했다.

데이터 보안 솔루션을 보다 포괄적으로 도입하는데 가장 장애가 되는 요인은 51%를 기록한 ‘데이터 보안 솔루션의 복잡성’이었다. 이는 최근의 데이터 보안 솔루션들이 응답자들에게 익숙한 이전 솔루션이 가지고 있었던 구축 및 유지보수 문제를 해소했다는 점에서 오해라고 볼 수 있다.

복잡한 구축 과정은 일반적으로 많은 인력을 요구한다. 데이터 보안 솔루션의 포괄적 도입에 장애가 되는 두 번째 요인은 ‘관리 인원 부족’으로 44%의 응답률을 기록했다. 한편 미 연방 정부 기관들에게 있어 데이터 보안 솔루션 구축시 가장 큰 장애물은 43%를 기록한 예산 부족이었다. 이는 금융 서비스와 같은 예산이 풍족한 산업이 기록한 26%를 월등히 상회하는 수치다.

응답자들이 인식한 가장 위협적인 내부자는 권한을 가진 사용자로 64%를 기록했다. 그들은 암호화 솔루션과 접근 제어 기능이 제한하지 않는 한 업무상 일반적으로 관리하는 시스템과 애플리케이션 관련 모든 데이터에 대한 접근 권한을 가지고 있다. 2위로 꼽힌 하청 업체 계정은 43%로 1위와는 다소 차이가 있었다.

놀랍게도 언론에서는 미국 국세청(IRS) 및 연방 주 기관과 같은 미국 연방 정부 기관을 타깃으로 한 북한, 중국, 이란의 사이버 공격 관련 소식이 연이어 보도 되고 있지만 정작 미 연방 정부의 보안 담당자들이 응답한 위협적인 외부자 순위에서 국가 지원 해커는 4위(47%)에 그쳤으며 사이버 범죄자들을 76%로 가장 위협적인 외부자였다.

클라우드 보안 관련 가장 우려되는 요소는 클라우드 서비스 제공업체의 데이터 유출 사고, 클라우드 제공업체 대상의 사이버 공격, 공유된 인프라로 인한 증가된 취약점 등이며 각각 70%의 응답률을 기록했다.

그럼에도 불구하고 84%의 미 연방 정부 기관의 응답자들은 향후 12개월 이내 민감 데이터를 퍼블릭 클라우드 형태의 환경(IaaS, PaaS, SaaS)에 저장할 계획이라고 답했다. 또한 47%의 응답자는 데이터 암호화 조치와 암호 키 제어 권한을 제공하는 것이 퍼블릭 클라우드 사용 의향을 증가시킨다고 답했다.

56%의 응답자들이 빅데이터 환경에 민감 데이터를 저장할 것이라고 응답했지만 몇 몇만이 이에 대한 우려를 가지고 있었다. 오직 15%만이 빅데이터 이용을 민감한 정보 유출의 상위 3개 위험 요소 중 하나로 꼽았다.

보안 문제가 IoT 도입에 있어 우려 요소인 것으로 보인다. 35%의 응답자들은 IoT 기기에서 생성된 민감 데이터가 주요 보안 우려 요소라고 답했으며 IoT 기기의 유출 및 도난에 대한 우려가 29%로 그 뒤를 이었다.

이번 조사에서 발견한 긍정적인 결과는 미국 연방 조직들이 문제를 인식하고 해결하기 위해 ▲58%의 응답자는 민감 데이터를 보호하기 위한 예산을 늘리고 있다 ▲37%의 응답자는 올해 저장 데이터 방어에 대해 투자할 것이라고 응답했다 ▲48%의 응답자는 업계 성공 사례를 따라 데이터 보안을 실행할 예정이다 ▲ 많은 응답자들은 다른 방어 솔루션이 공격당함에 따라 데이터 보안에 더 효과적인 새로운 보안 솔루션을 도입할 계획이라고 답했다. 새로운 보안 솔루션에는 클라우드 시큐리티 게이트웨이(40%), 애플리케이션 인크립션(34%), 데이터마스킹(31%), 토큰화(27%) 등이 포함된다 등의 필요한 조치들을 취해 나가고 있다는 것이다.

티나 스튜어트 보메트릭 글로벌 마케팅 부사장은 “어제와 똑같이 살면서 다른 미래를 기대하는 것은 비이성적 증세라는 알버트 아인슈타인의 명언이 현재 미국 연방 정부의 보안 상황과 들어맞는다. 미국 연방 정부 기관의 IT 보안 담당자들은 미국의 중요한 자산을 위험에 내몰고 있다”며 “미 공공기관 종사자들은 과거에 실패한 솔루션을 고집하는 것이 데이터 보안 향상에 도움이 되지 않는 다는 것을 깨달아야 한다. 외부적인 방어 보안 솔루션으로 데이터를 보호하는데 잇달아 실패하는 시점에서 주요 정보를 보호할 수 있는 기술에 주목해야 한다. 암호화, 접근 제어, 토큰화, 데이터 접근 패턴 모니터링과 같은 저장 데이터 관리 솔루션이 데이터 보호의 최적의 방법 중의 하나”고 말했다.