대형 보안사고가 잇달아 발생해도 기업/기관의 보안 투자는 좀처럼 늘지 않고 있다. 본지가 지난 3월 9일 개최한 ‘차세대 보안 비전 2017’ 참가자를 대상으로 진행한 설문조사 결과, 지난 5년간 IT 전체 예산 중 보안에 투자한 평균 예산 규모를 묻는 질문에 5% 이하라고 답한 응답자가 43.5%를 차지했다. 10% 이하 투자한다는 답은 30.6%였다.
올해 예산 규모를 묻는 질문에도 41.5%가 5% 이하라고 답했으며, 10% 이하는 26.4%였다. 이 중에는 1% 미만이라고 응답한 사람도 각각 5명씩 있어 보안투자 예산이 극히 낮은 것으로 나타났다.
50% 이상 보안에 투자했다고 응답한 사람도 소수 있었는데, 차세대 시스템 구축 등 대규모 사업을 추진할 때 보안 시스템을 대거 구입하면서 보안 투자가 일시적으로 늘어났다고 답했다.
보안투자가 많은 편에 속한 응답자 중 지난 5년간 평균보안예산이 15% 이하라는 응답이 18.5%, 그 이상이라는 응답이 7.3%였다. 올해 보안예산은 15% 이상이 23.6%, 15% 이하가 8.5%였다. 15% 이상 보안에 투자한다고 응답한 사람들은 대부분 금융·통신산업 종사자들로, 이 산업군에서는 보안투자가 꾸준히 늘어나고 있는 것으로 분석된다.
보안 예산이 업계 다른 기업/기관과 비교했을 때 어느 정도 수준인지 묻는 질문에 45.1%가 비슷한 편이라고 답했으며, 22.6%는 낮은 편, 11%는 낮다고 답했다. 높은 편이라는 응답은 17.1%, 높다는 응답은 4.3%에 불과했다.
“데이터·엔드포인트 보안 투자 늘 것”
이번 설문조사에서 가장 눈에 띄는 점은 올해 정보보안 투자 예산 중 데이터 보안과 엔드포인트 보안 투자가 가장 중요하게 인식되고 있다는 점이며, 가장 많은 예산을 투입 할 분야는 어플라이언스 가격이 비싼 네트워크 보안 솔루션이다.
올해 정보보안 투자 계획 중 가장 중요한 것을 꼽아달라는 질문에 61.4%가 데이터 보안, 60.1%가 엔드포인트 보안을 꼽았다. 43%가 유선 네트워크 보안, 36.3%가 무선 네트워크 보안이라고 답했으며, 내부시스템 모니터링이라고 답한 사람은 22.4%, 보안관제가 20.2%를 차지했다.
올해 가장 심각한 위협이 될 것으로 예상되는 정보보호 이슈는 지난해와 변함없이 APT가 43.9%의 응답을 받았으며, 랜섬웨어가 39.5%로 그 뒤를 이었다. 이러한 위협에 대비하기 위한 전략은 전문 방어 솔루션 도입 34.1%, 정보보호 체계 정비 33.2%로 정보보호 시스템의 신규 도입 수요가 상당수 발생할 것으로 예상된다.
특이한 점은 APT 방어 솔루션과 랜섬웨어 방어 솔루션을 신규 도입한다는 응답은 예상외로 적다는 점이다. 올해 계획된 신규 솔루션 구입사업으로 네트워크 보안 시스템 도입이 36.3%로 가장 많은 응답을 차지했으며, 그 뒤를 이어 통합 엔드포인트 보안 시스템이 17.0%의 응답을 받았다. 또한 머신러닝 기술이 주목을 받으면서 이를 적용한 모니터링시스템 도입이 구체화되고 있는 것으로도 나타났다.
반면 APT 방어 솔루션을 신규도입한다는 답은 11.7%였으며, 랜섬웨어 방어 솔루션은 겨우 2.2%에 불과했다.
한편 보안 솔루션을 도입할 대 미래 공격에 대한 대응능력을 검토해 보안 솔루션을 구입한다는 답이 36.3%에 달했으며, 31.8%는 벤더의 기술지원 및 유지보수, 침해사고 대응 능력을 고려한다고응답했다.
현재 기업/기관의 IT/보안조직이 운영할 수 있는 솔루션인지를 중요하게 생각한다는 응답이 14.3%, 기존 시스템과의 통합과 향후 확장성을 고려한다는 응답이 12.6%를 차지했다.
예산 부족으로 보안 투자 미뤄져
지난해 계획한 보안 사업 중 중단되거나 올해 이후로 미뤄진 사업으로는 이상트래픽 탐지 시스템, NAC가 가장 많은 응답을 받았다. 보안투자가 미뤄진 이유는 예산부족이 가장 많은 응답을 얻었으며, 현실성 없는 기술, 기존 시스템과 호환되지 않았기 때문이라는 응답도 다수 나왔다.
보안 조직은 장기적이고 미래지향적인 투자를 단행하고자 하지만, 여전히 보안예산 투자가 저조한 이유는 경영진의 인식부족이다. 36.8%의 응답자는 의사결정권자의 보안투자의 지가 낮다고 지적했으며, 27.9%는 임직원이 보안 경각심이 낮기 때문이라고 답했다.
경영악화로 투자가 축소됐다는 응답도 16.2%에 달했다. 13명의 응답자는 보안조직의 문제를 지적하기도 했는데, 보안조직이 기존 방어 솔루션을 정비하는데만 치중하고 새로운 투자에는 소극적이라고 답했다. 소수이지만 공격을 당한적이 없어서 보안투자 예산이 늘어나지 않는다는 응답자도 있었다.
한편 설문조사에 응답한 사람은 223명이며 산업군별로 ▲금융 17.2% ▲통신·인터넷·미디어·게임 22.0% ▲제조 18.3% ▲공공 7.5% ▲유통 7.0% ▲의료·교육·서비스 6.5% ▲IT 21.5%였다. 정보보안 업계 근무년수는 ▲5년이하 33.7% ▲10년이하 29.7% ▲15년 이하 19.2% ▲20년 이하 13.4% ▲20년 이상 4.1%였다.
