90% 미국 금융 기관 IT 보안 담당자, “데이터 보호에 취약함 느낀다”

탈레스의 자회사인 보메트릭이 미국 금융 기관의 보안 현황에 초점을 맞춘 2016년 데이터 위협 보고서의 확장판을 발간했다고 밝혔다.

보메트릭과 451리서치(451 Research)가 공동 발간한 보고서는 미국 금융 기관의 보안 전문가 100명을 포함한 전세계 대기업의 IT 보안 전문가 1100명을 대상으로 보안 위협에 대해 조사한 결과를 담고 있다.

올해로 4번째로 발간된 이 연례 보고서는 지난 3월 발표한 보메트릭 데이터 위협 보고서의 글로벌 판의 주요 시사점을 미 금융 기관에 종사하는 IT 보안 담당자의 응답을 바탕으로 확장한 보고서다. 이 보고서는 미 금융 기관의 IT 보안 예산 계획, 데이터 위협에 대한 인식, 데이터 침해 실패 비율, 데이터 보안 현황 등에 대해 상세히 다루고 있다.

451리서치 정보 보안 수석 연구원겸 보고서 저자 가렛 베커는 “데이터를 보호하기 위한 금융기관의 보안 계획은 합리적이지 않다”며 "금융기관은 아직도 다단계의 사이버 공격으로부터 데이터를 보호하는데 효과적이지 않은 분야에 보안 예산을 투자하고 있다. 실제로 65%의 응답자들은 네트워크 보안에, 58%의 응답자들은 엔드포인트 및 모바일 단말 보안 관련 예산을 늘리고 있고 이는 각 보안 분야 중 가장 높은 증가다. 사이버 공격이 외부적인 방어 보안 솔루션을 우회함에 따라 저장 데이터를 보호하는 보안 솔루션이 데이터 보호에 있어 가장 효과적임이 증명됐음에도 불구하고 저장 데이터 보안은 보안 분야 예산 증가 설문에서 48%로 가장 낮은 순위를 차지했다“고 말했다.

이번 보고서에 따르면 90%의 응답자는 데이터 보호에 취약함을 느낀다고 답했으며 44%의 응답자는 과거 데이터 침해를 경험했고 응답자 5명중 1명(19%)은 작년에 데이터 침해를 경험했다고 답했다.

또 56%의 응답자는 보안 규제 준수가 IT보안 예산 지출에 있어 최우선 고려순위라고 답했으며 50%를 기록한 데이터 유출 사고 방지, 성공 사례 적용이 그 뒤를 이었다

데이터 보안 솔루션을 보다 포괄적으로 도입하는데 장애가 되는 요인으로 68%의 응답자가 ‘복잡성’이라고 했으며 35%의 응답자는 ‘인력 부족’이라고 답했다.

긍정적인 부분은 70%의 응답자가 올해 데이터 위협에 대응하기 위한 보안 예산을 증액하겠다고 했으며 48%의 응답자가 올해 저장 데이터 방어 예산을 늘리겠다고 답했다는 것이다.

금융 서비스 기업들의 시스템은 전세계 금융 정보가 저장되거나 거쳐가는 공간이기에 언제나 사이버 범죄자들 혹은 내부자들의 주요 타깃이 되는 것이 사실이다. 이러한 상황을 고려할 때 가장 위협적인 외부자를 묻는 설문에서 42%의 응답자들이 가장 높은 순위로 사이버 범죄자를 선택하고 88%의 응답자들이 사이버 범죄자를 위협적인 외부자 상위 3위 안에 꼽은 것은 당연한 일이다.

한편 가장 위협적인 내부자를 묻는 설문에서는 시스템에 접근할 수 있는 권한 있는 사용자가 가장 높은 순위에 올랐으며 68%의 응답자들이 권한 있는 사용자를 가장 위협적인 내부자 상위 3위 안에 꼽았다. 권한 있는 사용자 계정은 추가적인 보안 통제가 없는 한 그들이 관리하는 모든 기업의 자원 및 시스템에 접근 할 수 있고 그들의 계정은 사이버 공격 시 피해 시스템 감염을 위한 주요 타깃이 된다.

비즈니스 운영을 위해 수많은 규제와 컴플라이언스 준수가 요구됨에 따라 금융 분야의 IT 보안 담당자들이 데이터 보안에 있어 규제 준수에 집중하는 것은 놀랄 일이 아니다. 민감 데이터를 보호해야 하는 이유로서 응답한 상위 3개는 ▲컴플라이언스(56%) ▲데이터 유출 사고(50%) ▲보안 성공 사례 적용(50%)이다.

문제는 미 금융 기관의 IT 보안 담당자 중 66%가 보안 규제 준수가 여전히 민감한 데이터를 보호하는데 매우 효과적인 방법이라고 인식한다는 것이다. 그러나 사실상 사이버 위협의 변화를 따라가지 못하는 보안 규제 기준은 오늘날의 다층적·다단계 공격을 방어하는데 도움이 되지 않고 있다.

금융 기관은 빅데이터 내 민감 데이터 이용에 대해서 가장 높은 응답률을 기록했다. 59%의 응답자는 빅데이터 환경에 민감 데이터를 저장할 계획이라고 답했다. 그러나 이러한 높은 이용률에도 불구하고 오직 33%만이 빅데이터 도입을 민감한 정보 유출의 상위 3개 위험 요소 중 하나로 꼽았다.

또 금융 서비스 기관들은 클라우드 이용에 대해 많은 우려를 갖고 있음에도 불구하고 91%의 응답자들은 클라우드 환경에 민감 데이터를 저장할 계획이라고 답했다. 그들이 클라우드 사용과 관련해 가지고 있는 가장 큰 우려 사항은 ▲클라우드 제공업체 단에서의 데이터 유출 사고(75%) ▲공유되는 인프라로 인한 보안 취약점 증가(72%) ▲데이터와 관련된 사생활 보호 정책 혹은 사생활 보호 관련 서비스 협약 부족(71%)이다.

이러한 우려에 불구하고 54%의 응답자는 향후 1년 안에 SaaS(Software as a Service) 환경을, 48%는 IaaS(Infrastructure as a Service)를, 48%는 PaaS(Platform as a Service) 환경을 이용할 것이라고 답했다.

51%의 응답자는 데이터 암호화 조치와 암호 키에 대해 자체적인 접근 통제 권한을 제공하는 것이 퍼블릭 클라우드 사용 의향을 증가시키는 요인이라고 답했다.

이번 조사에서 발견한 긍정적인 부분은 금융 기관들이 문제를 인식하고 이를 해결하기 위해 ▲70%의 응답자는 민감 데이터를 보호하기 위한 예산을 늘리고 있다 ▲48%의 응답자는 올해 저장 데이터 방어에 투자할 것이다 ▲62%의 응답자는 브랜드와 기업 이미지 보호를 위해 데이터 보안을 구축하려고 하고 있다 ▲많은 응답자들은 다른 방어 솔루션이 공격당함에 따라 데이터 보안에 더 효과적인 새로운 보안 솔루션을 도입할 계획이다(그들이 도입하려는 새로운 보안 솔루션에는 토큰화(42%), 애플리케이션 인크립션(33%), 보안 정보 및 이벤트 관리(Security Event and Information Management, SIEM) 시스템 (29%), 권한 있는 사용자 접근 통제 (29%) 등이 포함된다) 등의 필요한 조치들을 취해 나가고 있다는 것이다.

티나 스튜어트 보메트릭 글로벌 마케팅 부사장은 “금융 서비스 기관은 계속해서 사이버 공격자들로부터 위협을 받고 있다”며 “금융 기관 IT담당자들은 이러한 상황을 타개하기 위해 노력하지만 적절한 솔루션을 선택하는데 어려움을 겪고 있고 네트워크 및 시스템이 침입 당했을 때 시스템에 저장된 전 세계의 금융 정보를 보호하기 위한 가장 효과적인 방법은 데이터 보호에 투자를 강화하는 것”이라고 말했다.