“IT 예산 중 보안 예산 5% 미만
[데이터넷] 지난해 코로나19 상황에서도 많은 대기업들이 역대 최대 실적을 내고 있지만, 보안 투자는 좀처럼 늘지 않고 있다. 기업·기관은 코로나19가 장기화 될 조짐을 보이면서 새롭게 다가오는 환경에서 새로운 비즈니스를 고민하는데 집중하고 있지만, 보안을 함께 고민하는 사례를 흔히 찾아보기 어렵다.
<네트워크타임즈>와 <데이터넷>이 진행한 <2021 보안 담당자 설문조사>에서 올해 보안 예산이 지난해에 비해 어느 정도 수준으로 책정 됐는지 묻는 질문에 35%가 전년대비 5~9% 증가, 32.5%가 5% 미만 증가라고 답했다. 지난해 집행된 IT 예산 중 보안 예산의 비중도 5% 미만이라고 답한 사람이 36.2%로 가장 많았으며, IT 예산의 5~9%라고 답한 사람은 32.5%였다.
올해 가장 많은 예산이 투입되는 보안 사업은 네트워크 보안으로 37.4%의 응답자가 이같이 답했다. 다음으로 엔드포인트 보안(20.9%), 데이터 보안(14.1%)의 순이었으며, 클 라우드 보안은 9.8%로 기대보다 낮은 응답률을 보였다.
보안 솔루션 제대로 작동하는지 모니터링 안해
주니퍼네트웍스는 2020년 갑작스러운 원격·재택근무 돌입으로 이를 지원하기 위한 네트워크·보안 인프라 확충에 많은 보안 예산이 사용됐으며, 2020년 보안 예산은 예년에 비해 대폭 증가된 것으로 분석했다. 또한 지난해 대규모 예산 편성을 한 만큼 올해는 대폭 축소될 것으로 예상했다.
그러나 우리나라에서는 지난해 보안 예산 투자가 크게 늘지 않았다. 또한 올해도 다르지 않을 것으로 보인다. 매년 진행 하는 이 설문에서, 이 항목에 대한 답은 언제나 ‘보안 예산은 매우 적은 수준’이었다.
한 번도 경험하지 못한 사이버 팬데믹 상황에서, 지능화되고 고도화된 공격이 많은 피해를 입힐 것으로 예상되는데도 불구하고 보안 예산이 늘지 않는다는 것은 심각하게 받아들여야 할 일이다. 기업·기관은 이미 많은 보안 솔루션을 구입해 운영하고 있지만 구입한 모든 보안 솔루션이 제대로 작동하는지 확인조차 하지 않고 있다.
보안 솔루션들이 완벽하게 통합돼 유기적으로 연동하면서 보안 이벤트를 연계 분석하면서 정교하게 위협을 추적해 나가 야 점점 더 진화하는 공격을 찾아낼 수 있다. 이를 위해서는 첨단 보안 솔루션도 필요하고 프로세스의 표준화·자동화도 준비돼야 하며, 무엇보다 위협에 대한 높은 통찰력을 갖고 대 응할 수 있는 전문가가 필요하다.
그런데 우리 기업·기관은 여전히 규제준수만을 위한 저렴한 솔루션을 찾고, 보안 인력의 전문성 향상을 위해 투자하지 않으면서 ‘보안에 아무리 많은 투자를 해도 공격을 막을 수 없다’고 변명한다.
사이버 위협은 지속적으로 관리하면서 공격면을 줄이고 리 스크 수준을 낮춰가야 한다. 코로나19를 계기로 비즈니스 환 경이 격변하고 있는 이때, 지금처럼 사이버 보안에 안이하게 대처해서는 차별화된 경쟁력을 갖지 못하게 될 것이다.
한편 이 조사는 <네트워크타임즈>와 <데이터넷>이 기업· 기관 보안 담당자들이 실제로 체감하는 보안 현황을 알아보 기 위해 매년 진행하는 것으로,올해는 2020년 12월 1일부터 2021년 1월 20일까지 이메일을 통해 진행했다.
한편 설문 총 응답자는 244명이었으며 종사하는 산업군은 ▲공공/NGO 19.6% ▲금융18.5% ▲제조/건설 19% ▲통 신/게임/엔터테인먼트/미디어 13.2% ▲의료/교육 11.6% ▲ 유통/서비스 9.5% ▲IT·IT서비스 8.5%였다. 보안분야 근무 연수는 ▲5년 이하 18% ▲6~10년 31.4% ▲11~15년 21.5% ▲16~20년 20.9% ▲21년 이상 8.1%였다
