클라우드, 빅데이터, 모바일은 IT를 강타한 핫이슈로, 보안업계에서도 이 세 분야의 보안 문제가 매우 심각한 상황이라고 경고하고 있다. 그러나 정보보안 담당자들은 모바일은 심각한 위협이 되지만 클라우드·빅데이터는 과장된 선전이라고 생각하는 것으로 나타났고, 클라우드·빅데이터는 아직 현실화되지 않은 트렌드라는 의견도 상당수에 이르는 것으로 드러났다. 본지가 지난해 12월 한달간 기업 및 기관의 정보보안 담당자를 대상으로 한 이번 설문조사에는 228명이 응답했으며, 통신·제조·서비스 분야 종사자가 각각 18%, 공공·금융 분야 각 17%, 기타 교육·물류·유통 분야 종사자 등이었다. 응답자의 33.9%가 보안업계에 10년 이상 근무했으며, 5년 이상 근무한 사람이 전체 응답자의 약 70%이다. <편집자>
국내 기업 및 기관 보안 담당자를 대상으로 설문조사를 실시한 결과, 지난해 가장 위협적인 정보보안 이슈로 개인정보 유출 56.6%, 내부정보 유출 52.6%로 나타났으며, 올해는 이 항목이 각각 47.4%, 39.5%로 다소 줄어들었다. 대신 모바일 취약성 공격은 지난해 21.1%에서 올해 52.6%로 2배 이상 뛰어 모바일 보안이 가장 심각한 보안 이슈로 떠오를 것으로 예상한 가운데 APT도 지난해 28.9%에서 올해 43.4%로 급증했다.
클라우드와 빅데이터 보안은 실제로 체감하는 위협수준보다 과장된 선전이라고 분석하는 의견이 많아 각각 36.8%, 27.6%의 응답을 보였다. APT 역시 23.7%의 응답을 받아 상당히 많은 보안 담당자들이 실제 위협은 보안벤더들의 주장과 거리가 있다고 생각하는 것으로 나타났다.
그 이유를 묻는 질문에 38.2%의 응답자가 ‘새로운 공격이 아니며, 보안벤더들이 신조어를 만들어 퍼뜨린 것’이라고 답했으며, 27.6%의 응답자는 ‘현재 IT 환경에서 발생 가능성이 극히 낮다’고 답했고, 23.7%는 ‘일시적으로 유행하는 것으로, 오래 지속되지 않을 것’이라고 밝혔다.
이와 반대로, 예상하는 위협보다 낮게 평가되는 위협으로 내부정보 유출(34.2%)을 꼽은 사람이 가장 많았으며, 개인정보유출이 22.4%로 그 뒤를 이었다. 그 이유로 응답자의 55.3%가 ‘기업의 신뢰가 떨어질 것’이라고 답했으며, 28.9%는 정보보안 조직의 신뢰가 하락해 보안조직이 피해를 입게 될 것‘이라고 우려했다. 기타 의견으로 상위 관리자의 보안 불감증이 가장 위협적인 보안 이슈라는 답이 있었다.
“정보보안 예산·인력 변화없다”
정보보안 예산을 묻는 질문에서, 지난해 보안 예산이 전년대비 1~10% 상승했다는 답이 37.5%, 전년과 동일하다는 답이 28.1%로 나타났으며, 가장 많은 예산을 쓴 것은 기존 시스템의 유지보수가 꼽혔다. 이어 ▲새로운 시스템 구축 ▲컨설팅 ▲관제·모니터링 ▲보안사고와 이를 수습하기 위한 비용 ▲소송 등의 순서로 나타났다.
올해 정보보안 예산은 전년과 동일하다는 응답이 32.8%를 차지했으며, 1~9% 상승할 것이라는 응답이 29.7%를 차지했다. 전년보다 감소했다는 응답이 10.9%를 차지해 보안예산 감소율도 비교적 높은 것으로 보인다. 2012년 예산이 전년보다 축소됐다는 응답은 3.1%에 불과했다.
올해 새롭게 구축할 보안 시스템은 지난해와 마찬가지로 개인정보보호, 내부정보 유출방지(각 46.9%)로 나타났으며, 무선네트워크 보안 28.1%, PC보안 26.6%, 모바일 보안 25.0% 순으로 나타났다. 전년대비 가장 높은 증가율을 보인 제품 역시 개인정보보호 42.2%, 내부정보유출방지 34.4%로 나타나 이 분야 사업이 가장 활발하게 나타날 것으로 예상된다.
한편 보안담당자로서 정보보안 예산 증가율은 어느 정도가 이상적인가 묻는 질문에 34.4%가 현재보다 10~20% 늘려야 한다고 답했으며, 20.3%가 20~30% 늘려야 한다고 답했다. 현재로 만족한다는 답도 23.4%를 차지했다. 기타 의견으로, 회사는 예산을 책정하고 있지만 그에 대한 지출이 쉽지 않은 구조라는 답이 나왔다.
응답기업의 47.6%는 CISO/CSO가 있으며, 20.6%는 해당 보직을 만들 계획이 없다고 답했고, 19.0%는 보직이 없지만 신설할 계획이라고 답했다. 보직이 있거나 만들 계획이 있는 기업 중 36.5%가 상무가 해당 보직을 맡게 된다고 답했으며, 이사·부장/차장이 17.5%를 차지했다. CISO/CSO가 없는 기업의 36.5%는 ‘보안조직의 규모가 작아서 CISO/CSO로 칭할만한 임원이 없다’고 답했다.
보안 전담인력 증감률은 변화없다는 답이 절대적으로 많아 2012년 61.9%, 2013년 54.0%였다. 보안담당자로서 정보보안 인력 증가율은 어느 정도 수준이 돼야 적당한가 묻는 질문에 27.0%가 현재보다 10% 늘려야 한다고 답했으며, 전담조직을 새롭게 구성해야 한다는 답과 현재보다 30% 이상 늘려야 한다는 응답이 22.2%로 같게 나왔다.
‘개인정보 암호화’ 가장 민감
정보보안 규제 중 가장 민감하게 여기는 부분은 개인정보암호화로 53.3%의 응답률을 보였다. 망분리가 31.7%, 정보보호 관리체계(ISMS)가 30.0%로 그 뒤를 이었다. 규제준수를 위한 노력 중 가장 주력하는 순서대로 답변해달라는 질문에 ▲전담인력/조직 구성 ▲전문기관의 컨설팅 ▲전문 솔루션 도입 ▲국내외 선진사례 벤치마크 ▲별도의 예산이나 사업을 배정하지 않고 기존 시스템/프로세스 상에서 개선점을 찾아보고 있다는 순의 응답이 나타났다.
정보보안 규제 중 구체적인 실행방법 등을 이해하기 어려운 부분을 순서대로 밝혀달라는 질문에는 ▲개인정보 암호화 ▲망분리 ▲ISMS ▲개인정보 영향평가 ▲시큐어코딩 순으로 답변했다. 이 문제를 해결하기 위해 선호하는 방법은 보안/컨설팅 벤더에 의뢰(73.3)가 꼽혔으며, 세미나 참가 46.7%, 관계부처에 의뢰 20.0%로 나타났다.
한편 국내 정보보안 규제 수준에 대해 ‘규제수준이 너무 높아 준수에 어려움이 있지만 언젠가는 해야 할 일’이라고 답한 사람이 36.7%, ‘규제수준이 높은 편이지만, 어느정도 노력하면 지킬 수 있다’는 응답이 23.3%로, 정보보안 규제에 대해 비교적 긍정적으로 보고 있는 것으로 나타났다.
기타 ‘업계 로비로 인한 것으로 추정되는 불필요한 규제가 지나치게 생성되고 있다’는 의견이 있었으며, ‘규제수준과 맞춰 관리감독 수준도 현실성을 반영해야 하는데 균형이 맞지 않다’고 비판한 의견도 있었다.
규제 중 개선돼야 할 점에 대해 ‘정부의 의지’를 꼽는 의견이 대다수를 차지했다. 규제 이행에 대한 강력한 의지가 있어야 법률 제정의 의의를 살릴 수 있다는 의견으로, 힘있는 감사체계가 병행돼야 한다는 의견도 상당수에 이르렀다. 한편 현실과 동떨어진 내용에 대한 개선과 구체적인 매뉴얼, 보안등급에 맞는 규제 등이 필요하다는 의견도 나왔다.
무선·모바일 환경 “보안 홀 더 많아질 것”
IT 시장의 핫 이슈 중 가장 심각한 보안위협이 될 수 있는 것으로 절반 이상의 응답자가 무선 및 모바일(55.2%)을 꼽았다. BYOD 37.9%, 클라우드 32.8%, 빅데이터 17.2%의 응답률을 보였다.
그 이유로 절반에 가까운 44.8%의 응답자가 ‘보안홀이 더 많아질 것’이라고 답했으며, 32.8%는 ‘이전과 다른 보안위협이 나타날 것’이라고 답했다. ‘방어를 위해 너무 많은 예산투입이 필요하다’는 응답이 25.9%, ‘위협 양상은 이전과 다르지 않지만, 더 심각한 피해를 입힐 것’이라는 답이 22.4%를 차지했다.
상기 이슈 중 보안위협이 과장돼 보고되는 것으로 클라우드 43.1%, 빅데이터 39.7%를 꼽았다. 이렇게 응답한 이유로 ‘아직 현실화되지 않은 트렌드로, 어떠한 보안위협이 나타날것이라고 예단하는 것은 성급하다’, ‘기존 IT 환경에서의 위협 양상과 다르지 않다’는 응답이 각 34.5%를 차지했으며, ‘트렌드 자체가 마케팅 용어일 뿐’이라고 생각하는 사람도 32.8%에 이르렀다.
