"기업 3곳 중 1곳, 모바일 기기 통한 데이터 유출 경험"

CSO
모바일 기기를 악용한 보안 사고가 매년 증가하고 있지만, 기업의 모바일 자산 보안은 다른 시스템보다 더 취약한 것으로 나타났다.

© Getty Images Bank

버라이즌(Verizon)이 기업 내에서 모바일 기기를 조달, 관리하는 담당자 671명을 설문 조사한 '모바일 시큐리티 인덱스 2019(Mobile Security Index 2019)' 보고서에 따르면, 기업 3곳 중 1곳이 모바일 기기로 인한 보안 사고를 경험했다. 2018년 비슷한 조사보다 5%P 늘어났다.

보고서는 모바일 기기가 다른 기기만큼 많은 사이버 공격을 받는 경향이 있다고 분석했다. 피싱 공격과 악의적인 코드가 포함된 웹사이트 대부분이 모바일 기기를 노리고 있고, 모바일 사용자는 더 쉽게 이런 공격에 피해를 볼 수 있다는 것이다. 악의적인 앱과 핫스팟 등 처음부터 모바일에 특화된 공격도 있다.

최소한의 모바일 보안 기준도 안 지켜
보고서에 따르면, 올해도 이런 경향이 이어져 많은 기업이 모바일 기기 보안에 실패했다. 보고서는 "모바일 보안에 있어서 지키기 거의 불가능한 수준에서 평가한 것이 아니다. 기본적인 수준에도 미치지 못하는 기업이 많았다"라고 지적했다. 이는 단순히 기업의 인식이 부족해서가 아니다. 조사 결과를 보면, 응답자의 80% 이상이 모바일 보안이 위험하다다고 답했고, 69%는 이런 위험이 매년 계속 증가하고 있다고 봤다. 응답자의 2/3 이상은 기업 내 다른 시스템과 비교했을 때 모바일 기기에 대한 인식이 부족하다고 답했다.

또한, 거의 절반에 가까운 응답자가 자신이 속한 기업이 업무를 더 빠르게 처리하기 위해 모바일 보안을 희생하고 있다고 답했다. 그리고 이렇게 보안을 간소화한 기업 중 절반은 모바일 관련 보안 위험을 경험한 것으로 나타났다. 반면 업무 속도와 매출을 위해 보안을 희생하지 않은 응답자 중 모바일 관련 보안 위험을 겪은 비율은 채 25%가 되지 않았다. 이렇게 발생한 보안 사고의 60% 정도는 중대한 수준이었고, 40%는 현재도 그 사고의 영향을 받고 있다고 답했다. 절반 이상은 데이터가 유출됐고 58%는 다른 기기로까지 해킹이 확산했다. 

모바일 보안 인식과 현실의 불일치
보고서에 따르면, 기업의 80% 이상이 자사의 모바일 보안 사전 조치가 효과적이거나 매우 효과적이라고 믿는 것으로 나타났다. 그러나 퍼블릭 네트워크에서의 데이터 암호화, 기본 패스워드 변경, 보안 시스템에 대한 정기적인 테스트, 데이터에 대한 접근 제어 등 기본적인 보안 방안 4가지를 모두 적용한 기업은 12%도 되지 않았다.

또한, 기업 10곳 중 8곳이 보안 문제에 신속하게 대응해 왔다고 생각하는 것으로 나타났지만, 실제 발생한 보안 사고의 63%가 해당 기업이 아니라 사용자와 파트너, 사법당국 등 제3자를 통해 확인됐다. 사실 이는 놀라운 결과가 아니다. 보안 사고를 탐지하는 솔루션을 하나 이상 도입한 기업이 기업 3곳 중 2곳에 불과하기 때문이다. 이런 솔루션에는 모바일 엔드포인트 시큐리티, 데이터 유출 방지, SIEM(security information and event management) 등이 있다.

한편 모바일 보안 솔루션을 앞으로 1년 이내에 도입할 계획이라는 응답이 지난 1년 사이에 도입했다는 응답보다 훨씬 많았다. 보고서는 "이는 방어 체계를 개선해야 함을 깨닫고 실제 조처를 하는 기업이 늘어나고 있다는 것을 의미한다. 그러나 지난해 같은 조사 결과와 비교하면 '기업의 자만'으로도 해석할 수 있다. 많은 기업이 추가 보안을 도입하는 것을 고려하거나 심지어 계획까지 세웠지만 상당수는 결국 이 계획을 완수하지 못할 것으로 보인다"라고 분석했다.

이번 설문에서, 기업은 모바일 관련 위협의 제1 요인으로 현재 직원 혹은 퇴사한 직원을 꼽았다. 이어 전문적인 해커 그룹, 핵티비스트, 정부 조직 혹은 파트너사 순이었다. 그러나 모바일 기기 사용을 포함한 종합적인 AUP(acceptable use policies)를 가진 기업은 20%가 채 되지 않았다. 이번 보고서에는 기업이 모바일 기기 보안을 강화하는 데 도움이 되는 권고안도 들어 있다. 평가, 보호, 감지, 대응 같은 조치의 형태에 따라, 그리고 기본, 추천, 최상 등 복잡성의 수준에 따라 구분해 상세하게 서술했다. ciokr@idg.co.kr