“기업에서 사용하는 보안 툴, 너무 많으면 역효과”

포네몬 연구소 설문 결과, 50가지 이상 보안 툴 사용시 탐지 능력과 공격 대응 능력 저조해

IBM 시큐리티는 최근 포네몬 연구소를 통해 진행한 글로벌 기업 설문 조사 결과, 지난 5년간 기업의 사이버 공격에 대한 대비, 탐지 및 대응 능력은 향상되었으나, 공격 억제 능력은 오히려 13% 감소했다고 발표했다.

그리고 지나치게 많은 보안 툴의 사용과 주요 공격 유형에 대한 구체적인 실행 계획 부재가 기업 보안 대응 활동을 저해하는 것으로 나타났다.

아직도 다수(74%)의 조직은 보안 대응 계획 자체가 없거나, 있어도 임시방편에 머무르거나 일관성 없이 적용되고 있는 상황이다. 보안 대응 계획의 부재는 보안 사고시 큰 경제적 피해를 야기할 수 있다. 실제로, 사고 대응팀을 두고 사고 대응 계획을 광범위하게 테스트하는 기업은 이를 하지 않는 기업에 비해 데이터 유출 시 평균 120만 달러(한화 약 14억 4천만원) 더 적게 쓰는 것으로 확인되었다.

이번 연구 결과의 주요 내용은 다음과 같다.

▲지난 5년간 더 많은 기업에서 전사적 차원의 보안 대응 계획을 마련했다. 2015년에는 응답 기업 중 보안 대응 계획을 가진 기업은 18%였지만, 올해는 26%로 44% 증가했다. 제대로 된 보안 대응 계획을 전사적으로 적용하는 기업은 사이버 공격으로 인해 심각한 장애를 겪을 가능성이 훨씬 더 적었다.

▲기업에서 사용 중인 보안 툴의 수가 많을수록 부정적인 효과를 나타냈다. 기업들이 스스로 평가한 결과에 따르면, 보안 툴이 50개가 넘는 그룹은 더 적은 수의 툴을 사용하는 그룹에 비해 탐지 능력이 8% 더 저조했고 공격 대응 능력도 7% 더 저조했다.

▲공식 보안 대응 계획을 수립한 기업에서도 주요 공격 유형에 대한 구체적인 실행 계획을 마련한 곳은 1/3에 불과했다(전체 응답자 중에서는 17%). 랜섬웨어와 같은 새로운 공격 방식에 대한 대비는 훨씬 더 저조했다.

IBM X-Force 위협 정보부(Threat Intelligence)의 웬디 휘트모어(Wendi Whitmore) 부사장은 "본격적으로 사고 대응 계획을 마련하는 기업이 늘었지만, 사이버 공격 대비는 한번에 완벽하게 마칠 수 있는 활동이 아니다"라며 "정기적으로 대응 계획을 테스트, 연습, 재평가하는 데에도 주력해야 한다. 또한 상호 운용 가능한 기술 및 자동화를 활용하면 복잡성 문제를 극복하고 더 신속하게 보안 사고를 억제할 수 있다”고 말했다.

이번 설문 조사 결과, 참여자들은 평균적으로 45가지 이상의 보안 툴을 사용하는 중이고, 실제로 보안 사고에 대처할 때마다 약 19가지 툴을 추가해야 했다고 밝혔다. 그러나 이번 연구 결과, 지나치게 많은 툴이 난립할 경우 공격 대응에 불리하게 작용할 수 있는 것으로 나타났다.

이번 조사에서 기업들이 스스로 평가한 바에 따르면, 50개가 넘는 툴을 사용하는 그룹은 공격 탐지 능력이 8% 더 저조했고(5.83/10 대 6.66/10) 공격 대응 능력도 7% 더 저조했다(5.95/10 대 6.72/10). 이는 툴이 많다고 해서 보안 대응 활동의 실효성이 커진다고 장담할 수 없으며, 오히려 역효과가 날 수도 있음을 의미한다.

공격 유형 마다 그에 맞는 대응 기술이 필요하므로, 미리 체계적인 실행 계획을 마련한 기업은 일관성 있고 반복 적용 가능한 실행 계획을 통해 자주 발생하는 공격에 대처할 수 있다. 이번 조사에 따르면, 공식적인 사이버 보안 사고 대응 계획(CSIRP)을 보유한 기업 중에서도 구체적인 공격 유형에 대한 실행 계획을 세운 곳은 1/3인 33%에 불과했다.

구체적인 공격별 실행 계획을 운영하는 소수 그룹에서는 DDoS 공격(64%) 및 멀웨어(57%)에 대한 대응 계획이 가장 많았다. 지금까지는 이러한 공격 유형이 기업의 최대 골칫거리였지만, 랜섬웨어와 같은 새로운 공격 유형도 증가하는 추세이다. 최근 몇 년 새 랜섬웨어 공격이 70% 가까이 급증했음에도 불구하고, 이번 설문조사에서 실행 계획을 사용 중인 그룹 중 랜섬웨어 공격에 대한 계획을 마련한 곳은 45%에 불과했다.

한편 보안 대응 계획은 있지만 해당 계획을 검토한 적이 없거나 검토/테스트 기간을 따로 정하지 않은 곳이 절반 이상(52%)이었다. 이는 원격 근무 증가로 인해 비즈니스 운영 환경이 빠르게 바뀌고 새로운 공격 수법이 끊임없이 등장하는 현실에 비추어 볼 때, 최신 위협 및 비즈니스 환경을 반영하지 않은 낡은 대응 계획에 의존하는 기업이 여전히 많다는 것을 보여주는 결과이다.

공격에 잘 대응하는데 중요한 요인 중에서는 보안 인력의 전문성이 선두를 차지했다. 설문 응답자의 61%는 실력 있는 직원을 채용한 덕분에 보안 탄력성을 강화할 수 있었다고 답했다. 보안 탄력성이 향상되지 않았다는 응답자 중에서 41%는 숙련된 인력의 부재를 가장 큰 원인으로 꼽았다.

기술 역시 사이버 보안 탄력성을 강화하는 차별화 요인이었는데, 특히 복잡성을 해결하는 툴이 좋은 평가를 받았다. 상대적으로 더 우수한 사이버 보안 탄력성을 갖춘 기업들은 애플리케이션과 데이터에 대한 가시성(57%) 및 자동화 툴(55%)이 큰 역할을 한다고 밝혔다. 이 기업들의 63%는 개방성과 상호 운용성을 갖춘 플랫폼 및 자동화 기술을 을 사용한 덕분에 더 효과적으로 사이버 공격에 대응할 수 있다고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

길민권 기자 다른기사 보기