젬알토가 2015년 데이터 보안 신뢰지수를 15일 발표했다. 이 보고서는 전 세계 IT 관련 정책결정권자가 생각하고 있는 경계보안의 효과에 대한 인식과 현실 차이를 극명하게 보여준다. 이번 연구결과는 데이터 유출 사고가 기하급수적으로 늘어나고 있는데도, 데이터 자체에 대한 직접적인 보안 보다는 경계보안에 대한 투자만 계속 증가하고 있는 현실을 보여준다.
 
젬알토의 데이터 유출/침해 통계 보고서인 BLI(Breach Level Index)에 따르면, 지난해 1,500여 건의 데이터 유출 사고로 10억 건 이상의 데이터가 외부로 유출되는 등 전 세계적으로 데이터 유출 사고가 증가하고 있으며, 2013년보다 데이터 유출 사고는 49%, 분실 혹은 손상된 데이터 기록 건수도 78% 늘어난 것으로 조사됐다.

 
이와 같은 상황에도 불구하고 DSCI 조사결과에 따르면 10명 중 약 9명(87%)의 IT 정책결정권자는 기업의 경계보안이 무단 침입자로부터 데이터를 효과적으로 보호할 수 있다고 생각하고 있다. 또한 64%는 12개월 안에 경계보안에 대한 투자를 계획하는 등 이 부문에 대한 투자를 고려하고 있다. 그러나 유출된 데이터가 암호화되어 보호되는 비율은 8%에 지나지 않아 좀더 탄탄한 데이터 보호 정책의 필요성이 강조되고 있다.
 
하지만 응답자의 33%는 무단 사용자가 기업의 네트워크에 침입할 수 있을 것이라고 생각하고 있으며, 34%는 데이터 유출 사고 발생 시 기업의 데이터 안전에는 자신이 없는 것으로 조사됐다.
 
사실, 이번 DSCI 조사결과에 따르면, 최근의 잘 알려진 데이터 유출 사고 후 71%의 기업이 보안에 관한 전략을 조정했지만, 여전히 경계보안에 초점을 두고 있다. 또한 IT 정책결정권자 중 약 72%가 최근 5년 동안 경계보안에 대한 투자가 증가했다고 응답해, 보안에 관한 접근법을 바꿀 필요가 있는 것으로 나타났다. 최근의 데이터 유출 사고로 기업의 71%가 보안 관련 정책을 조정했지만, 62%는 최근에 생겨난 보안 위협을 탐지하고 방지할 수 있는 보안 업계의 능력이 지난해와 별반 다르지 않아 보안에 대해 자신하지 못한다고 답했다.
 
지온 고넨 젬알토 개인정보 및 데이터 보안 전략 총괄 부사장은 “정교한 데이터 유출 사고가 증가하고 있기 때문에, 경계보안에만 의존하는 것은 더 이상 충분치 않으며, 방화벽 및 안티바이러스와 같은 전통적인 보안방식보다는 좀 더 큰 틀의 보안 전략이 필요하다”며 “IT 정책결정권자는 누군가 네트워크에 침입할 마음을 먹는다면 아무리 잘 보호되고 있더라도 네트워크는 뚫릴 수 있다는 것을 고려할 필요가 있다”고 밝혔다.
 
이러한 사이버 공격에 따라, 기업의 90%는 제품 및 서비스 전개 지연(31%), 직원의 생산성 감소(30%), 고객 신뢰도 하락(28%), 부정적 언론(24%) 등을 포함한 부정적인 비즈니스 손실을 입은 것으로 나타났다. 이는 데이터 유출이 낳는 심각한 결과를 보여주는 것으로, 기업의 평판과 실적뿐만 아니라 업계 전반에 걸쳐 고객의 신뢰도를 떨어뜨리는 결과를 낳는다.
 
젬알토 고넨 부사장은 “경계보안이 효과적이지 않다는 것이 입증되고 있지만, 기업은 여전히 경계보안을 너무나 강조하고 있다”며 “정책 결정권자는 고객 데이터의 중요성에 더 큰 방점을 두고, 침입으로 인한 경계 방어가 무너진 후 유출된 데이터의 안전에 초점을 두는 ‘유출 후 보안’ 정책을 도입해야 할 필요가 있다. 이는 멀티팩터 인증 및 데이터 암호화뿐만 아니라 암호키의 안전한 관리를 통해 데이터 자체를 직접적으로 보호할 필요가 있다는 것을 의미한다. 이러한 방법을 사용하여 보호된 데이터는 분실되더라도 침입자에게 소용없는 물건이 될 것이다”고 덧붙였다.
 
업계별, 원인별, 유형별, 지역별 데이터 유출사고 요약본 전문은 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com