2021.11.02

자회사 많은 기업일수록 사이버 보안 위협에 취약

Shweta Sharma | CSO
오스터만 리서치 보고서에 따르면, 여러 개의 자회사를 보유한 글로벌 기업이 자회사가 더 적거나 없는 기업에 비해 사이버 보안 위협에 더 많이 노출되고 위험 관리에 어려움을 겪고 있다.
 
ⓒ Getty Images Bank

이번 연구는 최소 10곳의 자회사 및 3,000명의 직원을 보유하거나 연간 수익이 10억 달러인 기업201곳을 대상으로 시행됐다.

응답 기업의 약 67%가 효과적인 자회사 리스크 관리 운영에 대해 매우 자신만만해 하지만, 자회사를 겨냥한 사이버 공격을 당했거나 이런 위협 가능성을 배제할 수 있는 능력이나 정보가 부족하다고 답했다.

설문 응답자의 절반 가량은 내일 당장 사이버 해킹이 발생해도 놀라지 않을 것이라고 인정했다. 응답자는 사이버 보안 및 규정 준수 또는 위험 관리 직무를 담당했다. 조사 대상에 포함된 모든 기업은 자회사 리스크를 모니터링하는 전담 인력을 보유하고 있었다.

오스터만 리서치 선임 애널리스트 미셸 삼손은 "기업이 막 인수한 자회사보다 업력이 수년 이상 되는 자회사를 보유한 기업이 직면한 위협과 리스크를 파악하고자 했다. 또한, 사이버 보안 문제와 리스크가 계속 변하고 있다는 점을 고려하면 기업이 사이버 공격이 없는, 깨끗한 환경을 유지해도 새로운 취약점이 발견되거나 부각되면 시간이 지남에 따라 또다시 상황은 악화될 것이라고 확신한다”라고 말했다.

삼손은 자회사가 알지 못하는, 혹은 모회사에게 알리지 않은 자산과 데이터 소스가 노출될 경우, 취약점이 간과돼 추후 중대한 문제로 번질 수 있다고 경고했다.
 

다양한 사이버 보안 위협에 직면한 자회사

보고서는 보안을 어기는 컴플라이언스와 복잡한 온보딩 프로세스, 뜸하고 긴 리스크 관리 프로세스, 수동 툴 남용, 수정 및 결과 지연에 중점을 두는 관행이 자회사 리스크 관리를 방해하는 주요 장애물로 강조했다.

보고서에 따르면, 기업을 둘러싼 거시적 트렌드와 환경이 실제 보안 운영에 영향을 미치고 있다. 예컨대 자회사의 가장 중요한 관심사에 대해 팬데믹으로 인한 디지털 트렌스포메이션이라고 답한 응답자는 69%, 최근 세간의 이목을 끄는, 전 세계 공급망 해킹이라고 말한 응답자는 56%였다.

삼손은 "사이버 보안을 중요한 문제로 인식하고 지난 5년간 매우 잘 알려진 특정 사이버 보안 위협이 있다는 사실을 잘 아는 기업이 점점 늘어나고 있는 것으로 보인다. 공급망 랜섬웨어와 비즈니스 이메일 해킹을 통한 금전 요구가 가장 대표적일 것이다”라고 말했다.

보고서는 기업이 보안보다 자회사 리스크 모니터링 측면의 컴플라이언스에 더욱 중점을 두고 있으며, 이는 자회사 온보딩 및 관리에 격차를 형성해 공격이 더 많이 발생할 수 있다고 경고했다.

자회사 온보딩은 그 자체로 복잡한 작업이다. 응답자의 약 5% 만이 새로운 사업 단위를 원활하게 통합할 수 있는, 수준 높은 프로세스를 갖추고 있다고 대답했다. 다른 응답자는 모기업과 자회사 모두 막대한 워크로드를 떠안고 있는 것에 불만을 토로했다.

응답자에 따르면 수집된 데이터는 특정 시점에만 해당되는 것으로, 단편적인 정보만 제공해 의미가 없다. 즉, 현재 자회사 관리 관행이 제대로 이루어지지 않고 있는 것과 다름없다. 또한, 응답자의 대다수는 현재 프로세스가 기업을 겨냥한 공격 가능성을 충분히 해결하지 못해 취약점을 간과하고 시간 소모가 큰 긍정 오류만 대거 양산한다고 말했다.
 

매우 긴 리스크 측정 시간

자회사 관련 리스크를 측정하는 데 걸리는 시간도 주요 관심사다. 기업의 71%가 리스크 측정 시간을 하루 이내로 줄이려고 하고 있지만, 현재 평균적으로 1주일에서 3개월 정도 소요되는 기업의 비율은 54%이다.

또한, 조사 응답자는 보안 격차의 감지와 해결 간의 지연을 지적했다. 응답자의 약 73%가 일주일에서 한 달 정도 걸린다고 답했다. 이런 지연이 발생하면 공격이 가해질 수 있는 위험한 환경이 조성될 수 있다. 뿐만 아니라 보안 위험을 관리하는 데 필요한 툴이 너무 많아 총 프로세스 시간이 늘어날 뿐이다.

보고서에 의하면, 많은 자회사를 보유한 기업은 자회사 수가 적은 기업에 비해 탐지된 보안 격차를 해결하는 데 한 달 이상 걸릴 가능성이 50% 더 높다. 17곳 이상의 자회사를 보유한 모회사의 경우, 자회사가 더 적은 기업보다 자회사가 사이버 공격망에 연루됐다고 답할 가능성이 2배 더 높았다.

사이버 보안 기업 사이코그니토(CyCognito) CEO 롭 구르제프는 "자회사 리스크 관리에 있어 가장 큰 문제는 자회사가 다양한 국가에 포진해 있고, 각각 완전히 다른 기술 스택과 프로세스, 커뮤니케이션 방식과 문화를 사용하고 있다는 것이다. 예를 들어 대기업의 CSO는 다른 기업의 자산을 아예 볼 수 없을 것이고, 어떤 유형의 위험을 알게 되더라도 맥락은 알 수 없을 것이다”라고 말했다.

1990년대 후반에는 취약점 관리 및 침투 테스트가 인터넷에 연결된 몇 개의 회사 서버로 제한되는 경우가 많았지만, 지난 수십 년간 클라우드로의 전환은 수천 명의 엔지니어와 업체, 협력업체, 서드파티에 시스템 프레임워크를 공개했다. 구르제프는 이미 확장된 네트워크 아키텍처에 자회사를 추가하면 공격 영역만 추가될 뿐이며, 기존보다 이를 더욱 효율적으로 처리해야 한다고 강조했다. editor@itworld.co.kr


2021.11.02

자회사 많은 기업일수록 사이버 보안 위협에 취약

Shweta Sharma | CSO
오스터만 리서치 보고서에 따르면, 여러 개의 자회사를 보유한 글로벌 기업이 자회사가 더 적거나 없는 기업에 비해 사이버 보안 위협에 더 많이 노출되고 위험 관리에 어려움을 겪고 있다.
 
ⓒ Getty Images Bank

이번 연구는 최소 10곳의 자회사 및 3,000명의 직원을 보유하거나 연간 수익이 10억 달러인 기업201곳을 대상으로 시행됐다.

응답 기업의 약 67%가 효과적인 자회사 리스크 관리 운영에 대해 매우 자신만만해 하지만, 자회사를 겨냥한 사이버 공격을 당했거나 이런 위협 가능성을 배제할 수 있는 능력이나 정보가 부족하다고 답했다.

설문 응답자의 절반 가량은 내일 당장 사이버 해킹이 발생해도 놀라지 않을 것이라고 인정했다. 응답자는 사이버 보안 및 규정 준수 또는 위험 관리 직무를 담당했다. 조사 대상에 포함된 모든 기업은 자회사 리스크를 모니터링하는 전담 인력을 보유하고 있었다.

오스터만 리서치 선임 애널리스트 미셸 삼손은 "기업이 막 인수한 자회사보다 업력이 수년 이상 되는 자회사를 보유한 기업이 직면한 위협과 리스크를 파악하고자 했다. 또한, 사이버 보안 문제와 리스크가 계속 변하고 있다는 점을 고려하면 기업이 사이버 공격이 없는, 깨끗한 환경을 유지해도 새로운 취약점이 발견되거나 부각되면 시간이 지남에 따라 또다시 상황은 악화될 것이라고 확신한다”라고 말했다.

삼손은 자회사가 알지 못하는, 혹은 모회사에게 알리지 않은 자산과 데이터 소스가 노출될 경우, 취약점이 간과돼 추후 중대한 문제로 번질 수 있다고 경고했다.
 

다양한 사이버 보안 위협에 직면한 자회사

보고서는 보안을 어기는 컴플라이언스와 복잡한 온보딩 프로세스, 뜸하고 긴 리스크 관리 프로세스, 수동 툴 남용, 수정 및 결과 지연에 중점을 두는 관행이 자회사 리스크 관리를 방해하는 주요 장애물로 강조했다.

보고서에 따르면, 기업을 둘러싼 거시적 트렌드와 환경이 실제 보안 운영에 영향을 미치고 있다. 예컨대 자회사의 가장 중요한 관심사에 대해 팬데믹으로 인한 디지털 트렌스포메이션이라고 답한 응답자는 69%, 최근 세간의 이목을 끄는, 전 세계 공급망 해킹이라고 말한 응답자는 56%였다.

삼손은 "사이버 보안을 중요한 문제로 인식하고 지난 5년간 매우 잘 알려진 특정 사이버 보안 위협이 있다는 사실을 잘 아는 기업이 점점 늘어나고 있는 것으로 보인다. 공급망 랜섬웨어와 비즈니스 이메일 해킹을 통한 금전 요구가 가장 대표적일 것이다”라고 말했다.

보고서는 기업이 보안보다 자회사 리스크 모니터링 측면의 컴플라이언스에 더욱 중점을 두고 있으며, 이는 자회사 온보딩 및 관리에 격차를 형성해 공격이 더 많이 발생할 수 있다고 경고했다.

자회사 온보딩은 그 자체로 복잡한 작업이다. 응답자의 약 5% 만이 새로운 사업 단위를 원활하게 통합할 수 있는, 수준 높은 프로세스를 갖추고 있다고 대답했다. 다른 응답자는 모기업과 자회사 모두 막대한 워크로드를 떠안고 있는 것에 불만을 토로했다.

응답자에 따르면 수집된 데이터는 특정 시점에만 해당되는 것으로, 단편적인 정보만 제공해 의미가 없다. 즉, 현재 자회사 관리 관행이 제대로 이루어지지 않고 있는 것과 다름없다. 또한, 응답자의 대다수는 현재 프로세스가 기업을 겨냥한 공격 가능성을 충분히 해결하지 못해 취약점을 간과하고 시간 소모가 큰 긍정 오류만 대거 양산한다고 말했다.
 

매우 긴 리스크 측정 시간

자회사 관련 리스크를 측정하는 데 걸리는 시간도 주요 관심사다. 기업의 71%가 리스크 측정 시간을 하루 이내로 줄이려고 하고 있지만, 현재 평균적으로 1주일에서 3개월 정도 소요되는 기업의 비율은 54%이다.

또한, 조사 응답자는 보안 격차의 감지와 해결 간의 지연을 지적했다. 응답자의 약 73%가 일주일에서 한 달 정도 걸린다고 답했다. 이런 지연이 발생하면 공격이 가해질 수 있는 위험한 환경이 조성될 수 있다. 뿐만 아니라 보안 위험을 관리하는 데 필요한 툴이 너무 많아 총 프로세스 시간이 늘어날 뿐이다.

보고서에 의하면, 많은 자회사를 보유한 기업은 자회사 수가 적은 기업에 비해 탐지된 보안 격차를 해결하는 데 한 달 이상 걸릴 가능성이 50% 더 높다. 17곳 이상의 자회사를 보유한 모회사의 경우, 자회사가 더 적은 기업보다 자회사가 사이버 공격망에 연루됐다고 답할 가능성이 2배 더 높았다.

사이버 보안 기업 사이코그니토(CyCognito) CEO 롭 구르제프는 "자회사 리스크 관리에 있어 가장 큰 문제는 자회사가 다양한 국가에 포진해 있고, 각각 완전히 다른 기술 스택과 프로세스, 커뮤니케이션 방식과 문화를 사용하고 있다는 것이다. 예를 들어 대기업의 CSO는 다른 기업의 자산을 아예 볼 수 없을 것이고, 어떤 유형의 위험을 알게 되더라도 맥락은 알 수 없을 것이다”라고 말했다.

1990년대 후반에는 취약점 관리 및 침투 테스트가 인터넷에 연결된 몇 개의 회사 서버로 제한되는 경우가 많았지만, 지난 수십 년간 클라우드로의 전환은 수천 명의 엔지니어와 업체, 협력업체, 서드파티에 시스템 프레임워크를 공개했다. 구르제프는 이미 확장된 네트워크 아키텍처에 자회사를 추가하면 공격 영역만 추가될 뿐이며, 기존보다 이를 더욱 효율적으로 처리해야 한다고 강조했다. editor@itworld.co.kr


X