포티넷에서 실시한 이번 설문조사는 스마트폰, 태블릿PC등 개인용 스마트기기를 보유하고 있는 21~32세 (Y세대)에 해당하는 정규 직원들을 대상으로 전세계 20여 개국에서 실시했으며 총 응답자 3,200명(한국에서는 150명)이 참여했다.
특히 올해 조사에서 ‘개인 스마트기기 사용에 따른 회사의 방침을 위반할 생각이 있는가’라는 질문에 ‘그렇다’라고 응답한 비율이 지난해 실시한 ‘포티넷 BYOD 설문조사 2012’와 비교하여 전세계적으로는 42% 증가했으며 특히 한국은 90%나 증가한 수치를 보였다.
이와 더불어 개인용 스마트기기 사용으로 인해 Y세대들이 사이버 공격을 받고 있는 상황과 사이버 위협에 대한 이들의 교육 수준, 그리고 개인 클라우드에 기업 문서를 저장하는 경우가 점차 늘어나고 있는 현상에 대해서도 조사했다.
◇회사 BYOD 정책 위반하는 직원 늘어=기업에서 BYOD 정책을 시행하는 것에는 긍정적으로 생각한다는 입장에도 불구하고 전체 응답자의 45%(한국은 36%)가 이러한 기기 사용에는 개인에게 ‘자율권’을 주어야 한다고 밝혔다. 또한 전체 응답자 중 51%(한국 57%)는 개인용 스마트기기를 회사에서 개인적 혹은 업무용도로 사용하는 행위를 금지하는 회사 정책을 위반할 생각이 있는 것으로 답했다.
이처럼 회사와 직원의 보안을 위한 정해놓은 규정을 무시하는 다소 위험한 성향은 다른 개인 용도의 IT 서비스를 사용하는 상황에서도 나타났다. 앞서 개인용 클라우드 (예를 들어 DropBox 등)를 업무 용도로 사용한다고 답한 응답자 중 36%(한국 39%)는 만약 회사에서 이러한 행위를 못하게 막는다면 관련 규정도 위반할 것이라고 답했다. 이와 더불어 절반 가량(전세계 48%, 한국 55%)은 만약 향후 회사에서 ‘구글 글래스(Google Glass)’나 스마트 시계와 같이 최근 등장한 웨어러블(Wearable) 기기 사용을 금지할 경우에 회사 정책을 위반할 계획이 있다고 밝혔다.
◇기업 내 웨어러블 기기 사용 증가할 것=스마트시계나 구글 글래스와 같이 일명 ‘웨어러블’ 기술로 불리는 휴대용 기기가 언제쯤 업무용으로 보편화될 지에 대한 질문에 대하여, 응답자 중 16%(한국9%)는 ‘곧’ 상용화될 것 같다고 밝혔으며, 33%(한국 47%)는 일정 시기가 지나고 가격이 내려가면 보편화 될 것이라 답했다. 반면, 매우 적은 수치인 8%(한국 5%)만이 웨어러블 기기가 보편화 되지 않을 것 같다고 답했다.
◇중요한 기업 데이터조차 개인용 클라우드에 보관=전체 응답자 중 89%(한국 87%)는 최소 하나 이상의 클라우드 서비스를 이용하고 있는 것으로 나타났다. 이 중 70%(한국 65%)가 해당 클라우드를 업무 용도로 사용하고 있었다.
특히 클라우드 저장소를 업무 용도로 사용하는 직원 중 12%(한국4%)는 업무 관련 내부 비밀번호까지 보관하고 있다고 시인했다. 이밖에 16%(한국11%)는 내부 금융 관련 정보를, 22%(23%)는 계약서나 기획안과 같은 중요한 개인 문서를 보관하고 있었으며 33%(18%)는 고객 정보를 저장해 놓은 것으로 나타났다.
전체 클라우드 사용자 중 무려 32%(한국 24%)가 클라우드 서비스를 무조건 신뢰하고 있는 것으로 나타난 반면, 6%(한국 3%)만 믿을 수 없다고 밝혔다.
◇사이버 공격에 대한 보안 교육이 필요해=본인이 소유하고 있는 스마트 기기가 외부의 공격을 당했거나 이로 인해 피해를 입었던 적이 있었는지에 대한 물음에 55%(한국 49%)의 응답자는 가신의 PC나 노트북 컴퓨터가 공격을 당한 적 있다고 답했으며 이중 절반 정도는 개인 및 기업 데이터 생산성 저하 및 데이터 손실을 경험했다고 밝혔다.
응답자 전체적으로 PC 및 노트북을 보유하고 있는 비율보다 스마트폰을 보유하고 있는 비율이 높았음에도 불구하고 전세계적으로 PC, 노트북, 스마트폰 모두에서 비슷한 수준의 업무 생산성 저하 및 데이터 손실 경험이 있는 것으로 나타났다. 반면, 한국에서는 스마트폰보다 PC 및 노트북에서 더 많은 업무 차질을 경험했다고 밝혔다.
태블릿PC 또한 비슷한 수준으로 조사되었지만, 이 중 61%(한국 57%)가 매우 위험한 공격이었다는 점에서 태블릿PC가 보안 위협에 가장 노출된 것으로 나타났다.
무엇보다도 응답자의 14%(한국 14%)가 자신의 개인용 스마트 기기가 사이버 공격을 당했다고 할지라도 회사에 알리지 않겠다고 답해 기업 보안에 매우 우려가 되는 것으로 나타났다.
더불어 보안 위협에 대한 응답자들의 ‘교육 수준’을 조사해 본 결과 27%(한국 29%)가 사이버 위협에 대해 ‘어느 정도 알고 있다’고 밝혔고, 이를 사이에 두고 ‘전혀 모른다’와 ‘잘 알고 있다’는 집단이 극명하게 나뉘었다.
APT(지능형지속위협) 및 디도스(DDoS), 봇넷, 파밍 등 최근 사이버 위협에 대해 알고 있는지에 대한 질문에 응답자 중 무려 52%(한국 41%)가 이러한 위협에 대한 교육 자체를 받아본 적이 없다고 답했다. 결과적으로 기업의 IT 담당 부서에는 최근 사이버 위협 동향과 위험성에 대해 더 많은 교육을 실시해야 할 필요가 있는 것으로 나타났다.
이와 더불어 BYOD 사용률과 위협 교육 사이에 직접적인 상관 관계가 있음이 이번 설문조사를 통해 밝혀졌다. 예를 들어 BYOD에 더 익숙할수록 사이버 위협에 대해 이해도는 더 높았다. 결과적으로 위협 교육 시행과 더불어 보안 정책을 도입하려는 기업에서는 본 결과를 통해 교육 시행을 긍정적으로 고려해 볼 필요가 있는 것으로 나타났다.
포티넷 마케팅 부서의 존 메디슨(John Maddison) 부사장은 “이번 연구를 통해서, 기업에서 BYOD 혹은 클라우드 사용 및 새로운 스마트기기와 관련된 내부 정책을 도입하는데 있어 경험하게 될 문제점들이 속속 드러났다”라며, “내부 데이터가 어디에 저장되어 있고 어떤 방식으로 접근이 이루어지고 있는지 기업의 IT 담당자가 파악하는 일이 얼마나 중요한 지가 이번 조사를 통해 밝혀졌으며, 이를 위해서는 기기 별, 사용중인 애플리케이션 별 혹은 접속 위치에 따라 사용자 행위를 제어할 수 있도록 네트워크 수준에서 보안 전략을 시행하는 것이 매우 중요하다”라고 밝혔다.
그는 이어, “보안 정책을 위반하겠다는 수치가 매우 높았고 또한 빠르게 증가하고 있는 것으로 나타나 우려된다”라며, “하지만 응답자중 88%(한국 84%)가 개인용 스마트 기기를 사용하는 것이 보안 위협을 초래할 수도 있다는 사실을 알고 있다는 점은 매우 긍정적인 결과다”라고 밝혔다.
그는 마지막으로 “직원들에게 사이버 위협에 관련된 교육을 실시하고 이러한 교육이 얼마나 중요한 일인지 알려주는 것 또한 내부 네트워크 보안을 유지하는데 매우 중요하다”라고 말했다.
이번 ‘포티넷 인터넷 보안 설문조사 2013’은 지난 10월 7일부터 13일 동안 포티넷을 대행하여 영국의 전문 조사기업인 비전 크리티컬(Vision Critical)에서 실시했다. 이번 설문조사에는 정규직원으로 근무하며 스마트폰, 태블릿PC등 개인용 스마트기기를 보유하고 있는 21~32세(Y세대)를 대상으로 전세계 20여 개국에서 총 3,200명의 응답자가 참여했으며 한국에서는 150명이 참여했다.
20개 조사 대상 국가는 네덜란드, 대한민국, 독일, 러시아, 멕시코, 미국, 스페인, 브라질, 영국(UK), 이탈리아, 인도, 일본, 중국, 칠레, 캐나다, 콜롬비아, 타이완, 폴란드, 프랑스, 홍콩 등이다.
데일리시큐 호애진 기자 ajho@dailysecu.com
