이는 Black Hat Asia가 발표한 연구 보고서 ‘Cybersecurity Risk in Asia’에 자세히 기술되어 있다. 본 보고서는 전현직 Black Hat Asia 참석자 100여 명을 대상으로 한 서베이 결과를 담았으며, 아시아 지역 사이버 보안과 취약점 관련 중대 정보 보안 이슈에 대한 인사이트를 제공한다.
▲중요 인프라, 2020년경에 공격에 노출될 리스크 안고 있어
70%에 가까운 서베이 응답자들이 아시아 지역 여러 국가에서 1~2년 내에 중요 인프라에 타격을 입히는 공격이 일어날 것으로 예상했다. Black Hat Asia 소속 보안 전문가들은 Black Hat의 미국, 유럽 지역 서베이 결과와 마찬가지로 최근 역내에서 발생한 일련의 사건들이 중요 인프라에 대한 대규모 보안 유출 사고 발생을 암시하는 것으로 보고 우려를 나타냈다. 과거 중동과 아시아 지역에서 발생한 공격은 산업용 제어 시스템 손상, 보안용 데이터 절도, 아시아 내 중요 인프라 지원용 컴퓨터에 대한 해킹 등을 망라하고 있다.
▲정보 보안 전문가들이 꼽는 가장 큰 우려 사항
최근 몇 년 간 아시아 지역은 멀웨어를 통한 대규모 기회적 공격 외에 랜섬웨어를 이용해 데이터 절도나 탈취 등 특정 대상에 대한 고도로 표적화, 집중화된 공격도 발생했다. 이러한 트렌드로 인해 응답자의 60% 가량은 특히 러시아, 중국, 북한 내 해킹 조직에 의한 표적화된 공격을 가장 큰 우려 사항으로 꼽았다.
▲관련 인력과 리소스 부족이 중요 문제로 부각
응답자 가운데 30% 이상은 사이버 보안 전략이 아시아 지역에서 실패하고 있는 주된 요인으로 숙련된 전문가 부족을 들었다. 상당수 아시아 지역 보안 관련 기관들이 사이버 공격으로부터 중요 데이터를 보호하는 능력에 확신을 가지지 못하는 건 전문가들의 스킬과 더불어 관련 예산까지 부족하기 때문이다.
이와 함께 보고서는 아시아 지역 보안 전문가들의 경우 미국, 유럽 지역 전문가들에 비해 직업적 안정성이 떨어짐에도 중요 보안 우선사항에 대해 경영진들이 무관심하다는 점은 동일한 입장이었다. 아시아 지역 사이버 보안 전문가 가운데 절반 이상은 새로운 직장을 알아보고 있거나 그럴 의향이 있다고 답했다.
▲보안상의 약점
정보 보안 전문가들을 걱정하게 만드는 기타 보안 약점에 대해 약 40%의 응답자는 최종 사용자 보안 정책을 위반하거나 피싱, 사회공학적 스캠의 희생물이 되는 것이 소속 기업의 보안성을 취약하게 만드는 결과로 이어지게 한다고 밝혔다.
또한 응답자 가운데 약 30%는 컴플라이언스 관련 예산이 보안 분야 예산의 대부분을 차지하고 있는 것도 문제점으로 꼽았다. APEC 소속 27개 국가 내 기업들을 대상으로 프라이버시 가이드라인 준수를 요구하는 APEC 프라이버시 프레임워크 도입에도 불구하고 전문가들의 우려는 여전했다. 30%의 응답자들은 프레임워크 도입이 보안 관련 작업 증가로 이어질 것으로 내다봤으나 아직 소속 기업이 보안 강화 정책을 전혀 시행하지 않고 있다는 응답자도 14%를 차지했다.
한편 Black Hat은 사이버 보안 연구원과 엔터프라이즈 정보 보안 전문가들이 참석하는 컨퍼런스로 알려져 있다. 자체 보유한 전문가 커뮤니티를 활용하고 있으며 아시아 지역 CEO, CSO, CIO를 비롯한 기업별 경영진, 정보 기술 및 정보 보안 담당 팀장, 네트워크 관리자 및 보안 담당자들을 대상으로 인사이트를 도출해 낸다.
★정보보안 대표 미디어 데일리시큐!★
