전 세계 IT 분야 의사결정권자를 대상으로 한 설문조사에서 내년 5월 시행되는 EU의 개인정보보호법(GDPR) 대응할 준비가 돼 있지 않다는 응답이 절반 이상인 53%에 이르는 것으로 나타났다.
젬알토가 12일 발표한 ‘데이터 보안 신뢰지수’ 보고서에 따르면 IT 전문가 53%가 GDPR을 완전한 수준으로 준수할 수 있을지 불투명하다고 답했다. 이 조사는 전 세계 IT분야 의사 결정자 1050명을 대상으로 조사한 것으로, 젬알토는 암호화, 이중인증, 키관리 전략 확립 등 정확한 보안 프로토콜을 도입해 GDPR를 준수해야 한다고 강조했다.
보고서에서는 지난해 데이터 유출 사고로 손실을 입은 데이터가 14억개에 이르는 등 민감 데이터 유출 문제가 심각한 상황이지만, 데이터 암호화가 아니라 데이터 접근제어와 같은 경계보안으로 데이터 유출을 막을 수 있다고 여기는 것으로 나타나 심각성을 더하고 있다.
응답자의 94%가 경계보안 시스템을 통해 인가되지 않은 사용자를 회사 네트워크에서 차단할 수 있다고 답했다. 그러나 응답자의 69%는 경계보안이 뚫릴 경우 데이터의 보안성을 장담할 수 없다고 답했으며, 68%는 비인가 사용자의 네트워크 액세스가 허용될 수 있다고 답했다. 그럼에도 불구하고 기업 가운데 59%는 내부의 민감한 데이터가 모두 안전하게 보호 중인 것으로 판단하고 있었다.
비인가 사용자 네트워크 액세스 허용 68%
상당수 기업들은 경계보안을 우선시하고 있지만, 이것이 정교한 수준의 사이버 공격에 별다른 효과가 없다는 사실은 인지하지 못했다. 조사 결과에 따르면 응답자 가운데 76%는 소속 기업이 외부 공격에 대한 보호 차원에서 경계보안 기술(방화벽, IDPS, 안티 바이러스, 콘텐츠 필터링, 이상 감지)에 대한 투자를 늘렸다고 밝혔다. 그러나 비인가 사용자의 네트워크 액세스를 허용해 경계보안이 무용지물이 되었다는 응답자도 68%를 차지했다.
이 같은 결과는 기업들이 사용하는 솔루션의 신뢰성이 부족하다는 것을 의미한다. 조사 대상자 가운데 28%는 지난 1년 사이에 소속 기업이 경계보안 유출을 경험한 것으로 나타났다. 특히 유출된 데이터 가운데 암호화가 된 경우는 8%에 불과해 실제 기업들이 겪는 피해는 더욱 심각할 수 있음을 시사했다.
응답자 가운데 55%는 소속 기업의 민감한 데이터가 어디에 저장되어 있는지 알지 못한다고 밝혀 보안에 대한 기업들의 신뢰성이 더욱 낮은 수준인 것으로 드러났다. 또한 결제(32%)나 고객 데이터(35%) 등 고급 정보의 경우 제대로 암호화를 하지 않고 있었다. 이는 데이터가 유출될 경우 해커들이 모든 정보 범위에 액세스가 가능하며 신원 도용, 금융 사기, 랜섬웨어 침투 등의 범죄에 이를 이용될 수 있음을 의미한다.
젬알토의 제이슨 하트(Jason Hart) 부사장 겸 최고기술자(데이터 보안)는 “경계보안에 대한 기업들의 인식과 현실 사이에 격차가 있다는 점이 분명해 보인다”면서 “기업들은 보유 데이터가 이미 안전하게 보호되고 있다고 여기면서 정작 보안에 필요한 대책을 우선적으로 강구하지 못하고 있다. 해커들이 회사의 가장 중요한 자산인 데이터를 노리고 있다는 것을 기업들이 인지할 필요가 있다. 데이터를 보호하지 못할 경우 기업들은 필연적으로 난처한 입장에 처하게 될 것이다”고 밝혔다.
