2019.10.24

2019년 보안 우선순위, 컴플라이언스와 사이버보안 베스트 프랙티스…IDG 조사 보고서

Michael Nadeau | CSO
IDG의 보안 우선순위 연구(Security Priorities Study) 보고서에 따르면, 대부분 조직의 보안 노력은 컴플라이언스 요구사항과 사이버보안 베스트 프랙티스를 개선하려는 노력에 의해 추진된다는 것을 보여준다. 
 
ⓒ Getty Images Bank 

보안 환경은 절대 정적이지 않다. 점점 더 똑똑해지는 사이버 범죄자와 진화하는 악성코드, 더 많은 규제와 증가하는 재정 비용, 국가 규모의 보안 위험 등으로 인해 조직과 보안 팀은 우선순위를 지속적으로 조정해야 한다. 

2019년 7월 말, 발행된 IDG 2019 보안 우선순위 연구 보고서는 향후 12개월 동안 보안 우선순위가 어떻게 변하는 지 정의하는 데 도움이 된다. 이 조사는 전세계 528명의 보안 전문가를 대상으로 실시한 조사를 기반으로 하며 사이버보안 지출, 보고 구조, 기술 채택, 그리고 모든 요소의 추진 동력에 대해 다뤘다. 이 보고서의 주요 내용은 다음과 같다. 

- 보안 예산이 상승하고 있다
거의 모든 기업이 내년에 보안에 투자할 금액이 더 많아지거나 같을 것으로 예상하지만, 보안 전문가들이 가장 필요하다고 생각하는 것이 반드시 필요한 것이 아니다. 보안 전문가들은 새로운 개인 정보보호 및 보안 규정에 대해 감사히 생각할 수도 있다. 응답자의 2/3(66%)가 컴플라이언스 의무가 증가한 보안 예산의 원동력이라고 답했다. 그러나 일부 의견을 제출한 응답자(27%)는 컴플라이언스 의무가 전략적 이니셔티브에서 벗어나는 것으로 생각한다. 

응답자의 4%만이 보안 예산이 줄어들 것이라고 예상한 반면, 50%는 증가할 것이라 응답했고, 46%는 예산이 동결될 것이라고 예상했다. 보안 예산의 결정 요소는 베스트 프랙티스(73%), 조직의 보안 사고에 대한 대응(39%), 이사회의 지시 및 다른 조직 또는 협력 업체의 보안 사고에 대한 대응(55%)였다. 

이 보고서 저자들은 과거에는 퍼스트 아메리칸(First American Corporation)의 8억 8,800만 건 규모의 기록 침해와 같은 엄청난 보안 사건들이 보안 지출 증가를 주도해왔지만, 올해에 들어 이런 사건들이 보안 예산에 대한 영향을 덜 미친다고 분석했다. 연구진은 “대부분의 예산 결정 요소는 베스트 프랙티스와 컴플라이언스 의무다. 이 2가지 요소에 대해서는 종종 논쟁의 여지가 있다. 전문가들은 NIST와 COB에서 잘 구축된 베스트 프랙티스 프레임워크도 한계가 있으며 기업은 각각의 고유한 상황에서 지침을 구현하기 위해 최선을 다하고 있다고 말했다. 

- 최우선 보호 대상, 민감한 데이터  
EU의 GDPR은 2018년 5월에 발효됐다. 미국 CCPA(California Consumer Privacy Act)는 2020년 1월 1일부터 시행된다. 이런 기존 또는 향후 시행되는 개인 정보보호 규정은 조직의 개인 식별 정보(PII) 보호 의무를 강화했다. 응답자의 59%가 컴플라이언스 준수를 최우선 과제라고 말했다.  

그 다음 우선순위는 PII 및 기타 자산을 보호하는데 직접적으로 기여한다. 보안 인식 교육(44%)은 피싱 및 기타 소셜 엔지니어링 공격을 줄이는 효과적인 방법으로 널리 알려져 있다. 그 다음으로는 IT 및 데이터 보안을 업그레이드해 탄력성 향상(39%), 외부 위협에 대한 이해 향상(34%), 데이터 및 분석 활용률 향상(24%), IT 보안 인프라 복잡성 감소(22%) 등이다. 

- 최고의 보안 투자는 직원, 그러나 많지 않다   
이번 연구에 따르면, 보안 지출의 1/4이 숙련된 직원에게 제공될 것이라고 한다. 이는 보안 투자의 최고이긴 하지만 도구 및 기술(23%)과 인프라 및 장비(22%)와 비슷한 수준이다. 보안 지출의 11%만이 클라우드 서비스에, 12%는 아웃소싱 서비스를 선택했다. 
  
- SMB 조직의 절반에는 최고 보안 임원이 없다 
대기업의 88%가 최고 보안 임원을 보유하고 있는 반면, 중견중소기업은 51%밖에 되지 않는다. 최고 경영진의 대부분은 CISO 또는 CSO였다. 최고 보안 책임자는 일반적으로 CIO에게 보고한다(31%), 22%는 CEO에게 직접 보고하고 7%는 이사회에 직접 보고한다. 
 
ⓒ IDG Communications, Inc

- 제로 트러스트에는 뜨거운 관심을, 블록체인에는 관심이 적다 
응답자의 거의 절반이 제로 트러스트 기술을 적극적으로 연구하고 있거나 관심에 두고 있다고 답했다. 반면 블록체인의 경우 36%가 연구하고 있다고 말했지만, 50%는 관심이 없다고 응답했다. 이는 신기술에 대해 묻는 응답에서 가장 높은 “무관심”이었다. editor@itworld.co.kr 


2019.10.24

2019년 보안 우선순위, 컴플라이언스와 사이버보안 베스트 프랙티스…IDG 조사 보고서

Michael Nadeau | CSO
IDG의 보안 우선순위 연구(Security Priorities Study) 보고서에 따르면, 대부분 조직의 보안 노력은 컴플라이언스 요구사항과 사이버보안 베스트 프랙티스를 개선하려는 노력에 의해 추진된다는 것을 보여준다. 
 
ⓒ Getty Images Bank 

보안 환경은 절대 정적이지 않다. 점점 더 똑똑해지는 사이버 범죄자와 진화하는 악성코드, 더 많은 규제와 증가하는 재정 비용, 국가 규모의 보안 위험 등으로 인해 조직과 보안 팀은 우선순위를 지속적으로 조정해야 한다. 

2019년 7월 말, 발행된 IDG 2019 보안 우선순위 연구 보고서는 향후 12개월 동안 보안 우선순위가 어떻게 변하는 지 정의하는 데 도움이 된다. 이 조사는 전세계 528명의 보안 전문가를 대상으로 실시한 조사를 기반으로 하며 사이버보안 지출, 보고 구조, 기술 채택, 그리고 모든 요소의 추진 동력에 대해 다뤘다. 이 보고서의 주요 내용은 다음과 같다. 

- 보안 예산이 상승하고 있다
거의 모든 기업이 내년에 보안에 투자할 금액이 더 많아지거나 같을 것으로 예상하지만, 보안 전문가들이 가장 필요하다고 생각하는 것이 반드시 필요한 것이 아니다. 보안 전문가들은 새로운 개인 정보보호 및 보안 규정에 대해 감사히 생각할 수도 있다. 응답자의 2/3(66%)가 컴플라이언스 의무가 증가한 보안 예산의 원동력이라고 답했다. 그러나 일부 의견을 제출한 응답자(27%)는 컴플라이언스 의무가 전략적 이니셔티브에서 벗어나는 것으로 생각한다. 

응답자의 4%만이 보안 예산이 줄어들 것이라고 예상한 반면, 50%는 증가할 것이라 응답했고, 46%는 예산이 동결될 것이라고 예상했다. 보안 예산의 결정 요소는 베스트 프랙티스(73%), 조직의 보안 사고에 대한 대응(39%), 이사회의 지시 및 다른 조직 또는 협력 업체의 보안 사고에 대한 대응(55%)였다. 

이 보고서 저자들은 과거에는 퍼스트 아메리칸(First American Corporation)의 8억 8,800만 건 규모의 기록 침해와 같은 엄청난 보안 사건들이 보안 지출 증가를 주도해왔지만, 올해에 들어 이런 사건들이 보안 예산에 대한 영향을 덜 미친다고 분석했다. 연구진은 “대부분의 예산 결정 요소는 베스트 프랙티스와 컴플라이언스 의무다. 이 2가지 요소에 대해서는 종종 논쟁의 여지가 있다. 전문가들은 NIST와 COB에서 잘 구축된 베스트 프랙티스 프레임워크도 한계가 있으며 기업은 각각의 고유한 상황에서 지침을 구현하기 위해 최선을 다하고 있다고 말했다. 

- 최우선 보호 대상, 민감한 데이터  
EU의 GDPR은 2018년 5월에 발효됐다. 미국 CCPA(California Consumer Privacy Act)는 2020년 1월 1일부터 시행된다. 이런 기존 또는 향후 시행되는 개인 정보보호 규정은 조직의 개인 식별 정보(PII) 보호 의무를 강화했다. 응답자의 59%가 컴플라이언스 준수를 최우선 과제라고 말했다.  

그 다음 우선순위는 PII 및 기타 자산을 보호하는데 직접적으로 기여한다. 보안 인식 교육(44%)은 피싱 및 기타 소셜 엔지니어링 공격을 줄이는 효과적인 방법으로 널리 알려져 있다. 그 다음으로는 IT 및 데이터 보안을 업그레이드해 탄력성 향상(39%), 외부 위협에 대한 이해 향상(34%), 데이터 및 분석 활용률 향상(24%), IT 보안 인프라 복잡성 감소(22%) 등이다. 

- 최고의 보안 투자는 직원, 그러나 많지 않다   
이번 연구에 따르면, 보안 지출의 1/4이 숙련된 직원에게 제공될 것이라고 한다. 이는 보안 투자의 최고이긴 하지만 도구 및 기술(23%)과 인프라 및 장비(22%)와 비슷한 수준이다. 보안 지출의 11%만이 클라우드 서비스에, 12%는 아웃소싱 서비스를 선택했다. 
  
- SMB 조직의 절반에는 최고 보안 임원이 없다 
대기업의 88%가 최고 보안 임원을 보유하고 있는 반면, 중견중소기업은 51%밖에 되지 않는다. 최고 경영진의 대부분은 CISO 또는 CSO였다. 최고 보안 책임자는 일반적으로 CIO에게 보고한다(31%), 22%는 CEO에게 직접 보고하고 7%는 이사회에 직접 보고한다. 
 
ⓒ IDG Communications, Inc

- 제로 트러스트에는 뜨거운 관심을, 블록체인에는 관심이 적다 
응답자의 거의 절반이 제로 트러스트 기술을 적극적으로 연구하고 있거나 관심에 두고 있다고 답했다. 반면 블록체인의 경우 36%가 연구하고 있다고 말했지만, 50%는 관심이 없다고 응답했다. 이는 신기술에 대해 묻는 응답에서 가장 높은 “무관심”이었다. editor@itworld.co.kr 


X