클라우드·IoT·AI 등 4차 산업혁명을 이끌 ICT 기술의 실생활 적용 속도가 빨라지면서 새로운 보안위협의 등장도 예고되고 있다. 그러나 기업/기관의 대비는 매우 미흡하다. 본지가 매년 정보보안 담당자를 대상으로 실시한 설문조사 결과 높아지는 보안 위협과 제자리 걸음인 보안 수준이 가장 큰 문제로 지적됐다.<편집자>
사이버 공격 양상이 이전과 다른 형태로 진화하고 있으며, 클라우드, IoT, AI 등 새로운 ICT 기술의 확산으로 인한 새로운 위협이 등장할 것으로 보이고 있다. 그러나 기업/기관의 보안 투자는 여전히 기존 보안 정책을 재정비하는 수준에 머무르고 있다.
‘진화하는 공격에 대응하기 위해 어떠한 대응책을 마련했나’라는 질문에 가장 많은 34.7%가 기존 보안 시스템과 솔루션을 재정비하고 업그레이드한다고 답했다. 이 응답의 절반도 안 되는 16%가 임직원 보안 교육을 강화한다고 답했으며, 15.3%는 신규 보안 시스템과 솔루션을 구입한다고 답했고, 12.5%는 정보보안 컨설팅 수행으로 보안 취약점을 파악한다고 응답했다. 이어 11.1%의 응답자가 ISO, ISMS 등 국내외 권위 있는 인증 획득으로 정보보안 관리체계를 재정비한다고 답했다.
진화하는 공격에 대응하기 위한 중요한 대응책 중 하나가 보안 전문성을 높이고 보안 조직의 권한을 확충하는 것이지만, 실제로 기업/기관은 이러한 대책을 마련하는데 소홀한 것으로 보인다.
공격 대응책으로 ‘보안 조직과 인력 확대 및 전문성 제고’를 꼽은 응답자는 9.7%에 불과했으며, ‘현재 직면한 보안 이슈를 해결하는데 가장 걸림돌이 되는 것’을 묻는 질문에 40.7%의 응답자가 ‘정보보안 인력과 예산, 정보보안 조직의 권한이 부족하다’는 점을 지적했다. 또한 ‘보안 이슈 해결의 걸림돌’을 묻는 질문에 26%의 응답자가 ‘정보보안에 대한 경영진의 낮은 인식과 보안정책을 따르지 않는 임직원’을 들었다.
보안 투자 주저하는 기업
보안 시장이 장기적으로 침체된 이유로 보안 기업들은 기업/기관이 보안에 충분히 투자하지 않는다는 점을 지적하고 있는데, 이러한 내용이 이번 설문조사에서도 일부 반영됐다. 응답자의 15.4%는 현재 기술로 막기 어려운 지능화된 공격으로 인해 조직이 직면한 보안 이슈를 해결하는데 어려움이 있다고 답했으며, 현재 보안 시스템과 솔루션으로는 새로운 공격을 효과적으로 방어하지 못한다고 답한 사람이 13%였다.
기타 의견으로 새로운 기술과 동향을 파악하고 습득할 수 잇는 리소스가 부족하다는 것이 있었으며, 정부이 현실적이지 않은 규제와 지원 정책을 지적한 의견이 있었다.
한편 올해 새롭게 도입하거나 업그레이드 할 시스템으로 가장 많은 응답자가 ‘침해 탐지 및 대응과 모니터링 시스템’(29.4%)을 꼽았다. 매년 높은 응답을 받은 엔드포인트 보안 솔루션은 26.2%로 그 뒤를 이었으며, 개인정보·내부정보 보호 솔루션이 24.6%, 유무선 네트워크 보안 솔루션이 20.6%, 웹·애플리케이션 보안이 19.8%였다.
한편 이번 설문 응답자는 229명이었으며 종사하는 산업군은 ▲공공 15.9% ▲금융 17.7% ▲통신, 방송, 미디어 9.7% ▲제조 22.1% ▲유통 5.3% ▲의료·교육 9.7% ▲IT·인터넷·서비스 17% ▲기타 3%였다. 정보보안 관련 근무 년수는 ▲5년 이하 11.1% ▲10년 이하 19.8% ▲15년 이하 22.2% ▲20년 이하 19.8% ▲21년 이상 6.3%였다.
