데이터 유출 건수가 증가하고 있는 가운데 지난해 도난 혹은 손실된 데이터는 14억 개에 달했다(출처: Breach Level Index). 하지만 대다수 IT 전문가들은 비인가 사용자를 네트워크에서 몰아내는 데 기존의 경계보안 방식이 여전히 유효한 것으로 여기며 비즈니스 보호를 위한 투자에는 인색한 것으로 디지털 보안의 세계적 선두업체 젬알토가 발표한 연례 보고서 ‘데이터 보안 신뢰지수’를 통해 드러났다.

전세계 IT분야 의사 결정자 1,050명을 대상으로 조사한 결과 4% 기업들은 경계보안 시스템이 비인가 사용자를 회사 네트워크에서 몰아내는 데 매우 효과적 방식으로 생각하고 있었다. 응답자의 69%는 만약 경계보안이 뚫릴 경우 데이터의 보안성을 장담할 수 없다고 답했다. 또한 기업 59%는 내부의 민감한 데이터가 모두 안전하게 보호 중인 것으로 판단하고 있었다.

경계보안에 역점 두는 기업들, 기술과 데이터 보안에는 이해 부족 

조사 결과에 따르면 기업들은 경계보안을 우선시하지만 이것이 정교한 사이버 공격에 별다른 효과가 없다는 사실은 인식하지 못했다. 응답자 가운데 76%는 소속 기업이 외부 공격에 대한 보호 차원에서 경계보안 기술(방화벽, IDPS, 안티 바이러스, 콘텐츠 필터링, 이상 감지)에 대한 투자를 늘렸다고 밝혔다. 그러나 비인가 사용자의 네트워크 액세스를 허용해 경계보안이 무용지물이 되었다는 응답자도 68%에 달했다.

이 같은 조사 결과는 기업들이 사용하는 솔루션의 신뢰성이 부족하다는 것을 의미한다. 조사 대상자 가운데 28%는 지난 1년 사이에 소속 기업이 경계보안 유출을 경험한 것으로 나타났다. 특히 유출된 데이터 가운데 암호화가 된 경우는 8% 밖에 되지 않아  실제로 기업들이 겪는 피해는 더욱 심각할 수 있음을 보였다.

응답자 55%는 소속 기업의 민감한 데이터가 어디에 저장되어 있는지 모른다고 답해 보안에 대한 기업들의 신뢰성이 더욱 낮은 수준인 것으로 밝혀졌다. 결제(32%)나 고객 데이터(35%) 등 고급 정보의 경우 제대로 암호화하지 않고 있었다. 이는 데이터가 유출될 경우 해커들이 모든 정보 범위에 액세스가 가능하며 신원 도용, 금융 사기, 랜섬웨어 침투 등의 범죄에 이를 이용될 수 있다는 의미다 

젬알토의 제이슨 하트(Jason Hart) 부사장 겸 최고기술자(데이터 보안)는 “경계보안에 대한 기업들의 인식과 현실 사이에 격차가 있다는 점이 분명하다. 기업들은 보유 데이터가 안전하게 보호되고 있다고 여기며 정작 보안에 필요한 대책을 우선적으로 강구하지 않고 있다. 해커들이 회사의 가장 중요한 자산인 데이터를 노리고 있다는 사실을 기업들이 인식할 필요가 있다. 데이터를 보호하지 못할 경우 기업들은 필연적으로 어려운 처지에 놓이게 될 것이다”고 말혔다.

대부분의 기업들, 개인정보보호법 발효에 대비 않는다

EU의 개인정보보호법(GDPR)이 2018년 5월부터 적용되면 기업들은 보유한 개인 데이터를 확실하게 보호해야 과징금 부과와 이미지 손상의 위험에서 벗어날 수 있다. 하지만 응답자의 53%는 GDPR을 완전한 수준으로 준수할 수 있을지 불투명하다는 입장이다. 이제 1년도 채 남지 않은 현재 기업들은 암호화, 이중인증, 키관리 전략 확립 등 정확한 보안 프로토콜을 도입해 GDPR를 준수해야 한다.

하트 부사장은 “지난 1년 간 기업들이 사이버 보안에 대한 투자를 계속 증가시키고 있다. 하지만 가장 중요하고 가치가 높은 데이터를 정확한 방식으로 보호하고 있거나 저장 장소에 대대 충분히 이해하고 있는 경우는 소수에 불과하다. 이는 GDPR 준수에 걸림돌로 작용하고 있으며, 사이버 보안 역량을 향상시키지 못한 기업은 머지않은 장래에 법적, 재정적, 사회적으로 심각한 타격을 입게 될 것이다”고 말했다.

출처 : Gemalto-컴퓨터정보보호원