개발자 / 보안

보안 전문가들이 밤잠을 설치게 만드는 8가지

Sarah K. White | CIO 2016.03.08
보안 유출, 사소한 소비자 데이터의 특성, 데이터 재난 방지 등 누구나 보안을 생각한다. 보안 전문가들은 데이터를 보호하고 데이터 유출을 방지하며 비즈니스 시스템의 보안 결함을 해결할 책임이 있다. 최근 위협 취약성 및 준수성 관리 서비스를 제공하는 정보 보안 기업 트러스트웨이브(Trustwave)가 진행한 연구에서 스스로를 "조직 내의 보안 의사 결정자 또는 보안 영향 행사자"로 밝힌 전 세계 1,414명의 정규직 IT 근로자들을 대상으로 설문조사를 실시하여 그런 압박의 존재를 확인했다. 해당 연구를 통해 발견된 가장 놀라운 사실은 응답자의 63%가 2015년에 전 해보다 보안에 대한 더 큰 압박을 느꼈다고 답했으며 65%는 이런 압박이 다음 해에는 더욱 증가할 것으로 예상된다고 말했다는 점이다.

트러스트웨이브의 기업 마케팅 및 커뮤니케이션 부사장 카스 퍼디는 "전망이 점점 우울해지는 이유는 보안 역량의 부족, 자원 제약, 새로운 기술, 최고 수준의 보안을 기대하면서도 IT 팀들이 보안이 준비되지 않은 프로젝트를 개시하도록 압박하는 임원진과 이사회 등이 원인이다"고 말했다.

오늘은 트러스트웨이브의 연구에 따라 IT 및 보안 전문가들이 비현실적인 보안 기대치를 충족하는데 있어서 압박을 느낀다고 말하는 가장 큰 8가지 이유에 대해 알아보도록 하자.

역량 공백
기술 산업은 학교에서 자격을 갖춘 지원자들을 제공할 수 있는 것보다 빠른 속도로 성장하면서 많은 IT 부서들이 인력 부족과 필요한 역량의 부재를 겪게 되었다. 해당 연구에서는 보안 전문가들의 역량 공백이 IT 부서들의 가장 큰 8가지 문제 중 3번째로 큰 문제로 성장했다. 응답자 중 76%는 "보안 역량 부재 상황에서 더욱 뛰어나야 한다는 압박을 느끼는가?"라는 질문에 "예"라고 대답했다.

그 결과 퍼디는 IT 부서들이 보안 압박을 해결하는데 도움을 얻고자 외부 자원으로 눈을 돌리고 있다고 말했다. "내부 보안 전문가들과 그들의 대표팀들은 결과적으로 비즈니스 상부에 영향을 끼치는 IT 프로젝트를 더욱 신속히 처리하는 보안을 더욱 빠르게 배치하고 유지할 수 있는 능력 등 MSSP(Managed Security Service Providers)와 협력할 때의 추가적인 이점을 고려하고 있다."

이사회
IT 전문가들이 보안 기대치의 충족과 초과 압박을 느끼는 또 다른 영역은 이사회에서 시작된다. 해당 설문조사에서 응답자의 40%는 이사회 직전 또는 직후 보안에 대해 가장 큰 압박을 느낀다고 답했다. 그리고 이 수치는 실제로 주요 공공 데이터 유출 직후에 느낀다고 밝힌 압박보다 1% 높은 수치이다.

퍼디는 "이는 보안이 서버실에서와 마찬가지로 이사회실에서도 중요해지고 있다는 뜻이다. 오늘날의 보안 전문가들은 자신의 역할의 기술적인 측면을 비즈니스의 수요에 맞추고 있으며, 이로 인해 많은 사람들이 보안 프로그램 관리를 위해 외부의 지원을 찾고 있다"고 분석했다.

감지 vs. 예방
해당 설문조사에서 보안 전문가들의 54%는 "취약성, 악성코드, 악성 활동, 유출 등이 가장 큰 압박을 유발하는 보안 책무"라고 답했다. 그들은 해커들이 침투할 수 있는 백도어를 발견하고 범죄자들이 민감한 데이터에 손대기 전에 이를 차단하는 방법을 찾는데 집중하고 있다.

궁극적으로 이런 수준의 예방으로 보안 유출이 발생한 뒤에 사후처리를 하는 것보다 더 많은 돈을 절약할 수 있지만 역량 공백으로 인해 많은 보안 전문가들이 보안의 이런 측면을 처리하기 위한 자체적인 자원과 역량이 없다고 말했다. 이런 역량과 자원의 부재로 인해 보안 전문가들은 더욱 외부의 자원을 찾게 되고 86%는 MSSP와 이미 협력하고 있거나 협력할 계획이라고 밝혔다.

조기 공개
응답자 중 77%는 IT 프로젝트가 준비되기 전에 공개해야 한다는 압박을 느끼고 있다고 말했다. 이런 프로젝트의 대부분은 완전히 안전하지 않으며 공격을 유발할 수 있는 취약성이 있기 때문에 문제를 악화시킬 뿐이다. 이런 압박은 미국에서 가장 큰 것으로 나타났으며 보안 전문가들의 83%는 새로운 프로젝트가 안전하기 전에 조기에 공개했다고 답했고 영국에서는 그 수치가 70%로 이는 전 해의 연구에서 같은 답변을 제공한 78%보다 낮아진 수치이다.

퍼디는 "보안 전문가들의 74%가 이런 문제를 해결하기 위해 최신 솔루션을 구매해야 한다는 압박을 받고 있지만 69%만이 실제로 이런 새로운 기술을 이행하고 관리하기 위한 적절한 자원을 보유하고 있다고 답했다"고 말했다. 그리고 그는 그 결과 보안 전문가들이 새로운 소프트웨어나 하드웨어가 공개되기 전에 보안 조치를 제대로 취하지 않으면 기업들이 최신 기술을 완전히 활용할 수 없다고 말했다.

사물 인터넷
44%는 클라우드 기술을 "보안 전문가들이 가장 큰 도입 및 배치 압박을 느끼는 신규 기술"이라 답했지만 사물인터넷도 이에 못지 않다. 지난 해의 설문조사에서 IoT는 선택지에도 오르지 못했지만 올 해는 17%가 이 신규 기술의 도입 및 통합 압박을 받고 있다고 답했다.

하지만 해당 연구에서는 보안 IT 종사자들이 IoT를 위험이 더 큰 기술 중 하나로 보고 있는 것으로 나타났으며 퍼디도 이에 동의했다. "무엇보다 흥미로운 점은 IoT가 현재 17%로 16%인 BYOD를 제치고 2위를 차지하고 있다는 점이다. 하지만 신규 기술 보안 전문가들은 배치 압박을 받으면서도 기업이 가장 큰 위험에 처하게 될 것이라고 느끼고 있다. 어떤 신규 기술이 가장 큰 위험을 유발하는지에 대한 질문에 응답자의 32%는 클라우드 기술이 가장 걱정스럽다고 답했으며 IoT는 BYOD와 마찬가지로 19%를 차지했다."

빅데이터
빅데이터가 기업들에게 가장 귀중한 자원 중 하나로 자리매김하면서 피하기가 불가능에 가깝게 되었다. 그리고 IT는 압박을 느끼고 있으며 "고객 데이터 도난 및 지적 재산 도난"이 데이터 유출 또는 공격 후 보안 전문가들이 가장 크게 걱정하는 2가지로 떠올랐다. 이미 공격을 경험한 적이 있는 보안 전문가들의 42%가 가장 걱정하는 것은 데이터 도난이며 지적 재산 도난이 그 뒤를 이었다. 그 외에도 보고된 우려로는 이미지 실추와 벌금 또는 법적 조치가 있었다.

그리고 많은 기업들이 이런 우려를 현실적인 것으로 보고 있으며 미국 내 IT 전문가의 53%는 자신이 속한 조직이 데이터 유출을 경험한 적이 있다고 답했다. 이런 수치는 모든 국가를 기준으로 46%에 달했으며 48%는 데이터 유출을 전혀 경험한 적이 없다고 답했으며 6%는 "확실하지 않다"고 답했다.

공급과 수요
해당 연구에서 IT 전문가를 위한 자원과 인력 증강 필요성뿐만이 아니라 더 큰 역량을 지닌 보안 전문가 확보에 대한 바람이 발견되었다. 해당 연구에 따르면 응답자의 87%는 현재 인력을 충원하고 싶어 했으며, 그 중 52%는 인력을 최소 2배로 확충하고 싶다고 밝힌 반면에 29%는 IT 및 보안 인력을 4배로 확충하고 싶다고 답했다. 인력 부재 외에 "램프의 요정"에게 무엇이든 요청할 수 있는 경우에 33%는 예산 증가를, 20%는 더 많은 보안 전문지식을 원했고 15%는 복잡한 기술과 제품의 감소를 원한다고 답했다.

퍼디는 "보안 프로그램에 대한 추가적인 재정 지출을 원하고 있긴 하지만 보안 전문가들이 제한된 자원으로 인한 비즈니스 압박 증가를 경험하면서 '양보다는 질'의 요소도 나타나고 있다"고 말했다.

일자리 안정성
유출 후, 보안 전문가들의 세 번째로 가장 큰 우려 또는 공포는 해고되는 것이다. 공격 후 일자리 안정성에 대한 공포를 표현한 응답자의 수는 지난 해 8%에서 올 해 11%로 증가했다. 이는 기업의 이미지 실추와 재정적 피해에 이어 3위를 차지했다. 해당 연구에서는 MSSP 활용으로 자체 IT 인력들이 더 큰 일자리 안정성을 느낄 수 있는 것으로 나타났다. 그 이유는 기업이 업무를 아웃소싱하고 있다고 느끼면서도 실제로는 보안 유출의 가능성이 낮아지기 때문에 IT 전문가들에 대한 압박 중 일부가 완화되기 때문이다.

보안 전문가들 사이에서 일자리 안정감이 존재하긴 하지만 흥미롭게도 일자리 산업에서 보안 전문가의 부재 덕분에 전반적으로 일자리 안정감을 느낀다고 답한 응답자도 24%나 되었다. 하지만 나머지 76%는 역량과 인력 부족으로 인해 처리해야 할 업무가 증가한 것으로 보았다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.