지난해 글로벌 정보보안 현황 조사(Global Information Security Survey)가 발표된 이후 최근 올해의 정보보안 상황 조사가 발표됐는데, 상황이 나아질 기미가 보이지 않는다. 오히려 우울할 정도다. 미국 대형 마트인 타깃과 홈디포를 강타한 지불카드 보안 위협은 그 규모가 실로 엄청났다. 피해자만 해도 수 억 명에 달했다.
데이터 위협은 또 어떠한가. 바람 잘 날 없다. 가장 최근만 해도 미국 샌드위치 체인인 지미 존스(Jimmy John’s)가 보안 틈새 알림을 발표했다. 지불카드만 위험에 노출된 게 아니다. 의료 서비스 기업인 커뮤니티 헬스 시스템즈(Community Health Systems Inc.)는 지난 여름 동안 450만 명의 환자 정보를 도난당했다고 밝혔다.
<CSO>의 보안팀도 심각한 결과를 초래할 수 있는 소프트웨어 결함과 씨름해야 했다. 최근에는 배쉬버그(Bash) 또는 셸쇼크(Shellshock)로 알려진 GNU 원격 코드 실행 취약점으로 많은 기업들이 긴장해야 했다.
배쉬를 사용하는 앱이나 기기가 많기 때문에 셸쇼크 취약점은 클라이언트와 서버 간 오픈SSL 암호화 데이터 트래픽에서 발견되던 하트블리드보다 더 심각한 보안 위협으로 간주되기도 한다. 커뮤니티 헬스 시스템즈를 공격한 것은 하트블리드로 밝혀졌다.
점점 더 보안위협이 늘고 있는 가운데 CSO와 프라이스워터하우스쿠퍼스(PwC)가 공동으로 제 12회 연간 글로벌 정보보안 현황 조사 2015를 실시했다.
결과 가운데 일부는 예상했던 대로였지만 일부는 놀라운 것들도 있었다. 예를 들어, 이런 일련의 공격 및 고위험군 취약점들에도 장점이 있다면 기업 이사회에서 점점 더 IT보안에 많은 관심을 갖게 해주었다는 것이다. 이건 그다지 놀라운 사실은 아니다.
진짜 놀라운 것은 그런데도 올해 IT보안 지출이 4%가량 축소됐다는 점이다.
응답자들은 지난해보다 올해 보안 위협이 증가한 것 같다고 말했다. 설문에 참여한 9,700명 이상의 IT, 보안, 비즈니스 전문가들에 따르면, 올해 보안 위협과 관련된 사건은 4,280만 건으로 작년 대비 48% 증가한 수치다. 보고서 저자들에 따르면 지난 6년 간 감지된 연간 보안 위협 사건은 66%가량 증가했다고 한다.
이러한 보안 위협으로 야기되는 재정적 손실도 (대부분) 증가했고 회사의 규모에 따라 그 정도가 달랐다. 소규모 기업들의 경우 보안 관련 사건에 들어가는 비용이 37% 줄어들었다고 답했다. 중견 기업들의 경우 25% 가량의 증가했고, 대기업은 보안 관련 사건으로 인한 비용이 53% 가량 증가해 가장 큰 폭으로 올랐다.
IT보안 시장 조사 기업인 시큐로시스(Securosis)의 애널리스트 마이크 로스먼은 “큰 기업일수록 데이터 보안 위협과 관련한 규정도 많고 비용도 많이 든다. 또 관리해야 할 기록도 많다. 이런 이유 때문에 기업마다 차이가 있는 것으로 보인다”고 분석했다.
데이터는 ↑ 예산은 ↓
보안 예산은 전반적으로 줄어들었지만 보안 분석에 대한 관심은 오히려 늘었다. 응답자의 64% 가량이 보안 프로그램의 일환으로 빅 데이터 분석을 사용한다고 밝혔다. 또 보안 데이터 분석을 사용하는 이들 중 55%는 이것이 보안 위협을 탐지해 내는데 도움이 된다고 답했다.
그러나 애널리스트들은 그 효과가 과연 어느 정도인지 아직 확신하지 못하고 있다. 451 그룹(451 Group)의 보안 애널리스트 자바드 말릭은 기업들이 투자한 것에 비해 소득이 크지 않다고 말한다.
“아직은 대부분 기업들이 시작 단계다. 보안 정보 및 사건 관리자들은 하루에도 수천 건의 보안 위협 경고를 받는다. 중요한 건 이러한 개별적인 위협들에서 의미를 찾아내는 것이다. 빅 데이터 플랫폼의 도움을 받을 수도 있다. 그렇지만 현재로서는 대부분 CSO들이 보안업체들을 찾아가 어떻게 하면 기존의 데이터 툴을 잘 활용할 수 있겠느냐고 묻고 있다”고 말릭은 말했다.
“사실 빅 데이터 보안 분석이라는 말은 다양한 것을 뜻할 수 있다. 전통적인 로그 매니지먼트와 쿼리에서부터 하둡, 클라우드 서비스까지 말이다. 많은 기업들이 보안과 분석을 개선하려 하지만 실제로 실효성 있게 개선하는 기업은 많지 않다. 또 빅 데이터 보안 분석이 없었더라면 발견하지 못했을 위협 요소까지 발견해 내는 기업들은 더욱 적다”라고 로스먼은 전했다.
전문가들의 말이 맞는다면, 보안 분석은 분명 전도유망한 툴이긴 하지만 아직 실질적 결과물을 기대하긴 어려운 단계라 볼 수 있다. 그러니 보안 데이터 분석도 보안 예산에서 큰 비중을 차지하지 않는 것이다.
사실 지금처럼 온갖 위협과 취약점들이 드러나고 보안 위협이나 공격이 매일같이 뉴스를 장식하는 때에 보안 예산이 올랐으면 올랐지 깎일 것이라 생각하는 사람은 많지 않을 것이다.
그렇지만 설문조사 결과는 그렇지 않았다. 소규모 기업들에서는 예산이 20% 삭감됐고, 중견 기업과 대기업들의 경우 사실상 동결이라 할 수 있는 5% 인상에 그쳤다.
대체 왜일까? 어쩌면 클라우드 컴퓨팅 전략이 굳게 뿌리를 내리면서 정보보안 예산이 다른 예산들과 합쳐지기 때문일지도 모른다.
아일랜드 더블린에 위치한 BH 컨설팅의 CEO 브라이언 호난은 “기업 애플리케이션 및 프로젝트의 클라우드 컴퓨팅 도입이 늘었다는 것이 첫 번째 이유일 것이다. 실제로 많은 대규모 IT 프로젝트들은 IT 예산에만 기대지 않고, 다른 현업 부서들에서 일부 지원받고 있다. 또 지난해는 세계 경제가 회복하기 시작하면서 기업들이 IT에 유달리 투자를 많이 했던 해이기도 하다”라고 말했다.
그리고 실제 숫자를 살펴봐도 이 말이 맞는 듯 하다. 2013년을 기준으로 한 지난 해 조사 결과에 따르면, IT투자가 40% 가량 증가했으며 정보보안 지출도 51% 증가라는 경이로운 증가추세를 보였다. 경기 회복이 아니면 설명하기 어려운 숫자다. 불행히도 올해는 데이터 보안 위협이나 그에 따른 비용에 작년만큼의 성적을 기대하기는 어려울 듯 하다. 그렇지만 누가 아나, 내년에는 상황에 더 나아질지 말이다.
*George V. Hulme은 미네소타 주 마니아폴리스에 거주하며 보안과 IT에 대해 기고문을 쓰고 있다. ciokr@idg.co.kr