정보시스템감사통제협회(ISACA)의 ‘2017년도 사이버보안 연구 현황(State of Cyber Security Study)’ 2편에 따르면 지속적으로 반복되는 재원 문제와 더불어 새롭게 진화하고 있는 위협이 사이버 침입을 방어할 수 있는 기업의 능력을 저하시키고 있는 것으로 나타났다.

연구에 참여한 보안 담당 임원들 중 80%가 자신들의 기업이 올해 사이버공격을 받을 수 있다고 확신하지만, 다수의 기업들은 위협이 되는 환경을 따라잡기 위해 고군분투하고 있다.

응답자의 반 이상(53%)이 2016년에 비해 사이버공격이 늘어났다고 했는데 이는 위협의 진입지점(entry point)과 유형이 모두 바뀌고 있음을 나타낸다.

97%의 기업에서 사물인터넷(IoT) 사용이 늘어남에 따라 IoT가 모바일보다 사이버 방어의 가장 우선적인 중점사항이 되었다. 조직 내에서 IoT가 점점 더 널리 이용됨에 따라 사이버보안 전문가들은 새로운 위협 진입지점을 안전하게 지키기 위한 프로토콜을 시행할 필요가 있다.

응답자의 62%가 2016년에 랜섬웨어를 경험했지만 단지 53%만 랜섬웨어를 해결하기 위한 공식적인 절차를 시행하고 있다고 응답했는데 이는 최근의 워너크라이(WannaCry) 랜섬웨어 공격이 세계적으로 엄청난 파장을 일으키고 있음을 감안할 때 우려스러운 수치이다.

기업 운영이나 사용자 데이터를 손상시킬 수 있는 악의적인 공격의 위험이 여전히 높다(기업의 78%가 공격을 받았다고 응답).

더욱이 기업 셋 중 하나 이하(31%)에서만 보안 관리를 규칙적으로 테스트하고 있고 13%는 테스트를 전혀 하지 않고 있다고 답했다. 16%는 사고대응계획이 없다고 응답했다.

CISA, CISM 및 ISACA 위원회 회장이자 INTRALOT 의 정보보안 단장인 크리스토스 디미트리아디스(Christos Dimitriadis)는 “기업들이 직면하고 있는 위협과 이러한 위협을 적시에 혹은 효율적인 방법으로 처리할 수 있는 준비태세 간에는 상당한 공백이 있어 매우 우려스럽다”며 “사이버 보안 전문가들은 기업의 인프라를 보호해야 하는 무거운 요구에 직면하고 있고 사이버보안 팀은 적절히 훈련 받고 자원을 제공받으며 준비태세를 갖추어야 한다”고 말했다.

사이버 보안 재원 문제

조사에 응한 응답자들은 기업 지도자들은 사이버보안에 최우선순위를 두고 있지만 사이버보안 전문가들은 여전히 장애요인에 직면하고 있다고 지적했다.

좋은 소식은 지금은 그 어느 때보다 많은 기업들이 정보보안책임자를 고용하고 있는데 2016년 50%에서 65%로 늘어났다는 점이다. 그러나 금년도 사이버보안 현황 보고서 1부에서 지적한 바와 같이 보안 책임자들은 사이버보안 담당자들의 빈자리를 채우는데 늘 어려움을 겪고 있으며 거의 반 정도(48%)의 응답자들이 단순한 사이버 보안 문제를 넘어서는 무언가를 해결할 수 있는 자사 사이버 팀의 역량에 대해 안심하지 못한다고 답했다. 더욱이 응답자의 절반 이상이 사이버보안 전문가들이 기업을 이해하는 능력이 부족하다고 전했다.

이러한 기술 부족 문제를 해결하기 위해서는 반드시 훈련이 필요하지만 기업 넷 중 하나만 사이버보안 팀 구성원 1인 당 1000달러 미만의 훈련 예산을 확보하고 있었다. 전체적인 사이버보안 예산은 괜찮은 편이었지만 올해 사이버보안 예산을 증액한 기업은 줄어들었다. 응답자의 약 절반이 예산을 늘렸는데, 이는 2016년의 61%보다 낮아진 것이다.

디미트리아디스는 “기업 내에서 최고정보보호책임자(CISO)가 많아지고 있는 것은 기업을 안전하게 보호하기 위한 지도자급 인사의 투입이 늘어나고 있음을 보여주는데 이는 아주 고무적인 신호지만 이것이 대응의 전부는 아니다”며 “악의적인 공격이 늘어나고 있지만 기업들은 재원 부족 문제를 감당할 수 없다”고 말했다. 이어 “여전히 상당수의 응답자들이 자사 팀들의 복합적인 문제 해결 능력을 확신할 수 없다고 했지만, 우리는 모든 기업들이 직면하고 있는 시급한 사이버 보안 과제를 해결하기 위해 취해야 할 더 많은 것이 있는 것으로 알고 있다”고 덧붙였다.

ISACA의 2017 사이버보안 연구 현황(State of Cyber Security Study)은 웹사이트 www.isaca.org/state-of-cyber-security-2017. 에서 무료로 다운로드 할 수 있다. 제1부는 노동력 문제를 담고 있으며, 제2부는 위협의 현황을 다루고 있다. 이 보고서는 ISACA 사이버보안 넥서스(CSX: Cybersecurity Nexus)의 최근 자료로, CSX는 지식과 기술기반의 훈련 및 성과에 근거한 인증을 제공하고, 사이버보안 전문가 및 사이버보안 기술을 구축하고자 하는 이들에게 경력을 유도해주고 있다

출처: ISACA-Newswire