과도한 업무 부담·사고에 대한 스트레스 많아…보안조직 인력 확충 시급
클라우드·재택근무 위한 보안 솔루션 관심 많아…비현실적 망분리 개선해야
[데이터넷] 보안은 업무 만족도가 낮은 직무 중 하나로 꼽혀왔다. 권한은 낮고 책임은 과중하며, 임원으로 승진할 기회도 적다는 이유 때문이다. 그런데 최근 보안에 대한 관심이 높아지면서 보안 전문가 수요가 늘어나고, CISO를 이사 이상으로 선임해야 한다는 규제가 시행되면서 보안 담당자의 업무 만족도가 나아지고 있는 것으로 나타났다.
한국침해사고대응팀협의회(CONCERT)가 기업 보안 담당자를 대상으로 한 설문조사에서 다른 부서로 이동할 의사가 있는지 묻는 질문에 2013년 47%였는데, 2022년 22%로 감소했으며, 다른 업무로 이동할 기회가 있어도 보안업무를 계속하겠다는 응답이 2013년 53%에서 2022년 80%로 증가했다.
다른 업무로 이동을 희망한다는 응답자에게 그 이유를 물었는데, 2013년에는 ▲과도한 업무 25% ▲타 업무에 흥미를 느껴서 24% ▲사고에 대한 스트레스 19% ▲비전을 발견하지 못해서 16% ▲사내 부서의 낮은 위상 12% 순으로 답했다.
올해는 ‘비전을 발견하지 못해서’, ‘부서의 낮은 위상’을 꼽은 응답자가 없어 보안조직의 비전과 위상이 10년 전 보다 개선된 것으로 보인다. 다만 과도한 업무 50%, 사고에 대한 스트레스 33%로 2013년보다 높게 나와 보안조직의 인력 확충이 시급한 것으로 나타났다.
이 조사는 CONCERT의 연례 보고서 ‘2022년 기업 정보보호 이슈전망’에 실린 것으로, 1월14일부터 20여일간 CONCERT 회원을 대상으로 메일과 전화 인터뷰를 통해 진행한 것이다.
현장 상황 맞는 규제 개선 필요
이 보고서에서는 CISO 의무화에 대한 보안 현장의 의견도 전하고 있다. 지난해 12월 발표된 CISO 제도 시행령에서는 자산총액 5000억원 이상 기업은 이사급 임원으로 CISO를 지정해야 하고 다른 업무와 겸직할 수 없도록 했다. 이에 해당하지 않는 기업은 부장급이나 대표이사를 CISO로 선임할 수 있도록 해 중소기업의 부담을 줄일 수 있도록 했다.
이 제도 시행에 대한 CONCERT 회원의 의견은 ‘회사 규모가 아니라 보유하고 있는 개인정보 규모·서비스 성격에 따라 규제해야 한다’, ‘과태료 부과에 그칠 것이 아니라 실제 준수를 어떻게 적용할지 생각해야 한다’, ‘법률이 정확히 준수될 수 있도록 검토해야 한다’ 등이 개진됐다.
또 보안에 대한 높은 이해를 바탕으로 기업 비즈니스 계획 단계부터 투자 확대를 이끌어내며, 모든 임직원에게 보안의 중요성을 우선 피력할 수 있는 환경이 조성되어야 정보보호 역량이 강화될 수 있다는 의견도 있었다.
보고서에서 전한 회원 의견 중 망분리 개선에 대한 내용도 중요하게 살펴봐야 할 것으로 보인다. 회원들은 망분리 규제 완화 혹은 폐지를 주장하고 있는데, 오픈소스 기반 서비스 환경이 증가하면서 지속적인 패치가 요구되는데, 망분리로 인해 클라우드를 통한 자동 취약점 검색과 패치가 불가능해 수작업으로 패치를 진행해야 한다. 이는 보안조직의 업무를 과중시킬 뿐 아니라 보안 취약성을 심각하게 높이는 요인이기도 하다.
또 기업·기관의 규모에 상관없이 적용된 공공·금융기관의 망분리 의무화로 인해 막대한 인프라 구축·운영비용과 업무 비효율성, 보안 취약성 등의 문제가 발생하고 있다. 보안을 강화하기 위해 도입된 망분리 의무화가 개발·혁신의 걸림돌이 되고 있으며, 이 같은 획일화된 보안 통제 방식은 개선되어야 한다고 주장했다.
제로 트러스트 보안 원칙 주목
이 보고서에서 보안 담당자들은 ‘제로 트러스트’ 보안 원칙을 살펴보고 있다고 답했다. 제로 트러스트는 핵심 자산에 대한 취약한 권한과 불필요하고 과도한 액세스 권한을 제거하는 것에 주안점을 둔 사이버 보안 개념으로, 원격·재택근무 증가로 인해 기존의 보안 경계가 무너지면서 새롭게 주목받게 됐다.
제로 트러스트가 보안의 정답인 것 처럼 얘기되고 있지만, 사실 제로트러스트 원칙을 도입하려면 기존 업무 프로세스와 네트워크, 인프라를 바꿔야 하며, 내부 정책 변경과 규제준수 사항 확인, 유지관리를 위한 지속적인 모니터링과 업데이트가 필요하다. 따라서 제로 트러스트 전략을 위한 장기적인 계획과 구체적인 실행 설계를 위한 논의를 시작할 필요가 있다.
보안 담당자들은 클라우드와 원격·재택근무 환경을 위한 보안 솔루션에 많은 관심을 갖고 있는 것으로 나타났다. CWPP, CSPM, CNSP·CNAPP, SECaaS 등 클라우드 보안 솔루션을 검토하고 있으며, 원격·재택근무를 위한 ZTNA·SDP 기술, 그리고 웹·이메일을 통한 위협 완화를 위한 RBI·CDR도 주목하고 있다.
랜섬웨어·데이터 유출 피해 심각
보안 담당자들이 주목하는 2022년 보안 이슈는 ‘랜섬웨어’였다. 지난해 CONCERT가 KISA와 함께 진행한 설문조사 결과, 설문 참여 682개 기업 중 40.3%가 랜섬웨어 피해를 입었으며, 7% 이상 기업이 복구 비용을 지불한 것으로 나타났다. 또 피해 기업의 85%가 중견·중소 기업이었다.
또 공격자들은 데이터를 유출해 공개하겠다고 협박하면서 랜섬웨어 공격을 펼치는 한편, 다크웹에 유출한 정보를 판매한다고 게시하고, 이 사실이 언론을 통해 공개되면서 피해기업은 몇 배 더 큰 고통을 받고 있다고 하소연한다. 유출된 정보의 규모나 중요도, 정보의 가치 등에 관계없이 언론에 공개돼 소비자 피해, 기업 신뢰도와 이미지 하락 등의 어려움을 겪고 있다고 밝히기도 했다.
EU GDPR 개인정보 적정성 결정이 채택되면서 EU 진출 기업의 규제준수 부담을 크게 덜 수 있게 됐으며, 마이데이터 서비스 시작 등으로 개인정보 활용이 자유로워졌는데, 이에 따른 개인정보 보호 문제가 심화되고 있다는 점도 보안 담당자의 걱정이다.
ISMS-P 인증을 통해 정보보호와 개인정보보호 관리체계 수립과 운영의 안정성을 인정받고 있지만, 인증업무에 너무 많은 시간을 사용해야 해 정작 중요한 내부 보안수준 개선으로 이어지지 못한다는 어려움을 털어놓았다. 또 획일화된 인증 항목으로 인해 다양한 내부 문제와 환경의 특수성이 반영되지 못하고, 매뉴얼 기반 요식행위에 불과한 인증으로 실제 보안 강화 효과를 보지 못한다는 지적도 나왔다. 또 인증심사원 자질에 대한 불만도 계속 이어지고 있다.
