• 최종편집 2024-03-28(목)
 
시스코사진2.png▲ '보안역량 벤치마크 연구'가 실려 있는 Cisco 2018 연례 사이버 보안 보고서의 표지
 
총 26개국 기업의 최고 정보보안 책임자와 보안운영 관리자 3,600명이 참여한 설문 분석

모바일 기기 보호 애로, 숙련된 보안인력 부족, 보안제품 혼용 역효과, 경보관리 어려워

보안기술에 과도한 의존 지양하고, 사람·정책·기술 등 3가지 노력이 함께 모아져 해결해야

한국군, 레드 팀 운영 및 버그바운티 제도 도입 통해 보안 취약점 발굴 후 보완 노력 절실

(안보팩트=김한경 총괄 에디터)

글로벌 네트워크 장비 업체인 시스코(Cisco)는 해마다 ‘연례 사이버 보안 보고서’를 내놓는다. 기업의 비즈니스 전략과 홍보의 일환이지만, 이 보고서를 통해 사이버안보에 도움이 되는 새로운 사실들을 알 수 있다.

2018년에는 기업의 사이버 보안 상황을 파악하기 위해 ‘보안역량 벤치마크 연구’를 실시한 내용이 ‘방어 동향’ 부분에 수록되었다. 이 연구는 기업의 보안 상태에 대한 보안 팀의 인식을 알아보기 위해 총 26개 국가의 기업에 근무하는 최고 정보보안 책임자(CISO)와 보안운영 관리자 3,600명이 참여한 설문을 분석한 것이다.

이 내용 중 사이버안보와 직접적인 관련이 있는 사실을 살펴보면 다음과 같다. 첫째, 기업의 보안 팀이 보호하기 가장 어려운 분야는 모바일 기기, 퍼블릭 클라우드의 데이터, 사용자 행동 패턴 순으로 나타났다. 한국은 아직 퍼블릭 클라우드를 사용하지 않으며, 모바일 기기 사용도 극히 제한하고 있다. 하지만 향후 모바일 기기를 업무에 사용하지 않을 수 없어 이에 대한 대안 마련에 관심을 기울여야 한다.

둘째, 보안 관리의 최대 걸림돌은 예산의 제약, 기존 시스템과의 호환성, 숙련된 인력의 부족 순으로 파악되었다. 예산 제약은 2015년 39%에서 2017년 34%로 비중이 낮아지는 추세이나, 숙련된 보안인력이 부족한 현상은 2015년 22%에서 2017년 27%로 갈수록 증가하고 있다. 즉 보안의 중요성이 인식되면서 예산은 점차 증액되지만 전문 인력 양성은 시간이 필요함으로 숙련된 인력 보강에 어려움을 겪고 있는 것이다.

한국의 경우 숙련된 보안인력도 부족하지만 활용에도 문제가 많다. 일례로 국방 분야의 사이버 인력 양성을 위해 고려대에 사이버국방학과를 만들었고, 매년 30명의 졸업생이 배출된다. 하지만 국방 정책결정자들의 사이버안보에 대한 인식 부족으로 이들이 제대로 활용되지 못하는 상황이다. 현재 어느 부서에서 얼마나 필요한지, 향후 인력 운용과 관리를 어떻게 해야 할지 검토되지 않았기 때문이다.

셋째, 보안솔루션 혼용으로 야기되는 복잡성이 조직의 방어능력에 여러 가지 역효과(유출위험 증가 등)를 유발함을 알게 되었다. 그럼에도 11∼20개 업체의 보안제품을 사용한다고 답한 응답자는 2016년 18%에서 2017년 25%로 증가했고, 21∼50개 업체의 보안제품을 사용한다고 답한 응답자도 2016년 7%에서 2017년 16%로 증가했다.

수많은 제품을 혼용하는 이유는 보안 팀이 각각의 보안 요건에 가장 적합한 솔루션을 사용하는 것이 최선이라고 믿기 때문이다. 하지만 보안솔루션을 많이 사용할수록 위협이 파고들 허점도 증가해 사고 발생 가능성이 높아지는 것으로 밝혀졌다. 즉 보안솔루션을 통합하는 것이 더 효율적이란 사실이 드러난 것이다.

넷째, 거래하는 보안 솔루션 업체가 증가할수록 경보 관리가 어려운 것으로 나타났다. 경보관리가 어렵다고 응답한 기업이 74%나 되었고, 매일 보안 경보를 수신하고도 확인하지 않는 기업이 44%나 되었다. 숙련된 보안 인력이 부족하여 경보 관리가 어렵고 필요한 조치도 제 때 이뤄지지 않아 방치되는 상황인 것이다. 

이와 관련, 사이버보안 전문업체인 사이버아크(CyberArk)가 실시한 설문에서도 약 46%의 응답자들이 사이버 공격을 당한 후에도 조직의 사이버보안 전략에 별다른 변화가 없었다고 답했다. 그만큼 조직의 정책결정자들이 보안에 무관심하고 전문 인력도 부족한 것이 현실이다.

다섯째, ‘Red Team’으로 불리는 외부 공격팀이 주도한 보안훈련을 평가한 결과, 핵심 방어체제는 사람, 정책, 기술 3가지로 규정됨이 드러났다. 기술만 사용한 기업은 레드 팀 공격 과정에서 발견된 보안 문제 중 26%만 해결할 수 있었고, 나머지 74%는 사람 및 정책으로 해결해야 했다. 결국 보안 문제를 제대로 해결하려면 제품이나 기술 보완에만 의존하는 태도는 지양되어야 한다.

보안훈련을 통해 합리적인 보안 정책과 이를 실현하는 사람들의 노력이 결부되어야 효과를 얻을 수 있다는 사실이 밝혀졌지만, 이와 같은 통찰을 얻을 수 있는 보안훈련을 정기적으로 실시하는 조직은 아직 많지 않다. 사이버아크(CyberArk) 설문에서도 사이버보안과 관련해 결정권을 가진 조직의 리더 가운데 8%만이 보안훈련을 정기적으로 실시한다고 답했다.  

한국군 또한 레드 팀을 운영하는 보안훈련은 하지 않는 것으로 알려져 있다. 그렇다고 미군처럼 보안 취약점을 보완하는 버그바운티 제도를 도입하지도 않았다. 기껏해야 을지연습 때 훈련참가 부대에 기초적인 해킹을 실시하여 보안 경각심을 고취시키는 정도다. 오로지 인터넷과 물리적으로 업무망을 분리하고, 일부 보안솔루션과 암호를 사용하는 것에만 의존하며, 사람과 정책으로 해결하려는 노력은 미약한 수준이다.
 
한 설문조사 응답자는 “세상에는 보안 사고를 겪은 조직과 보안 사고가 발생했지만 아직 그 사실을 모르고 있는 조직, 이렇게 두 가지 종류의 조직이 있다”고 말했다.  “모든 조직은 언제든지 보안 사고의 희생양이 되어 공개 조사를 받을 가능성이 있다”고 보안 전문가들은 얘기한다. 그만큼 사이버 방어가 어렵고 지속적으로 대비를 해야 한다는 것이다.

시스코의 보고서를 통해 알게 된 새로운 사실들을 토대로 한국의 사이버안보 태세를 새로이 점검해볼 필요가 있다. 실제로 레드 팀을 운영해 보안 문제를 정확히 파악하거나 버그바운티 제도를 도입하여 조직의 보안 취약점을 발굴한 후, 이에 대한 실질적인 보완 대책을 강구하는 노력이 절실히 필요한 때다. 

김한경200.png
 
안보팩트 방산/사이버 총괄 에디터 겸 연구소장
광운대 방위사업학과 외래교수 (공학박사)
광운대 방위사업연구소 초빙연구위원
한국안보협업연구소 사이버안보센터장
한국방위산업학회/사이버군협회 이사
前 美 조지타운대 비즈니스스쿨 객원연구원
김한경 방산/사이버 총괄 에디터 겸 연구소장 기자 khopes58@securityfact.co.kr 이 기자의 다른 기사 보기
태그

전체댓글 0

  • 47203
비밀번호 :
메일보내기닫기
기사제목
[사이버 투시경] ⑪ 시스코 ‘보안역량 벤치마크 연구’에서 알게 된 새로운 사실들
보내는 분 이메일
받는 분 이메일