“개인/내부 정보 유출·APT 공격, 가장 위협적”
상태바
“개인/내부 정보 유출·APT 공격, 가장 위협적”
  • 김선애 기자
  • 승인 2014.01.28 10:06
  • 댓글 0
이 기사를 공유합니다
클라우드 컴퓨팅 보안 취약점 공격 ‘과대포장’

본지가 기업과 기관의 정보보안 담당자를 대상으로 실시한 설문조사에 의하면 2014년 정보보안 시장의 가장 핫 이슈는 지능형 지속위협(APT)이 될 것으로 보이며, 모바일 보안 취약점 공격도 내년에 가장 위험한 보안위협으로 부상할 것으로 예상된다. 또한 국내에서 시행되고 있는 정보보안 규제는 중복되고 복잡하며 불필요하게 세밀한 반면, 거시적인 관점에서의 보안전략 수립에 한계가 있어 개선이 시급한 것으로 나타났다. 실제 현장에서 느끼는 사이버 공격과 대응방안에 대한 보안 담당자의 의견을 3회에 걸쳐 살핀다. <편집자>

응답자들이 종사하고 있는 기업/기관에 2013년 실제로 위협이 된 정보보안 이슈는 내부정보 유출(45.7%)과 개인정보 유출(38.8%)이었으며, APT도 26.4%로 상당한 위협이 되는 것으로 나타났다.

2014년 가장 위협적인 정보보안 이슈는 모바일 기기와 애플리케이션 취약점 공격으로, 절반에 가까운 45.7%의 응답자가 꼽았다. APT를 꼽은 응답자는 37.2%, 개인정보 유출 24.8%, 내부정보 유출 18.6%의 순이었다.

실제 체감하는 위협수준보다 과장된 선전이라고 여겨지는 보안 이슈로 절반에 가까운 44.5%의 응답자가 클라우드 컴퓨팅 보안 취약점 공격이라고 답해 주목된다. 다음으로 APT를 꼽은 응답자가 18.8%, 모바일 기기·애플리케이션 취약성 공격 18%의 순을 차지했다.

이와같이 응답한 이유를 묻는 질문에 38.6%의 응답자가 ‘새로운 공격이 아니며, 보안 벤더에서 신조어를 만들어 퍼뜨린 것’이라고 답했다. ‘현재 IT 환경에서는 발생 가능성이 낮다’고 답한 응답자가 26.3%, ‘공격 당했을 때 피해 규모가 미미하다’는 답이 14.9%였다.


클라우드 컴퓨팅 보안위협 대해 과장된 위협이라고 느끼는 것은 클라우드 컴퓨팅이 제대로 활용되지 않고 있다는 사실을 방증한다. 기업의 중요 업무 시스템도 클라우드로 전환하고 있는 선진국과 비교할 때 우리나라 기업들은 클라우드에 소극적일 뿐 아니라 부정적인 인식도 갖고 있다. 특히 많은 기업/기관들이 보안위협을 이유로 클라우드 도입에 제약을 두고 있으며, 클라우드가 일상적으로 사용되지 않는 환경 때문에 클라우드 보안 위협이 실제로 체감되지 않고 있다.

이번 설문조사에 흥미로운 답변이 있어 눈길을 끈다. 실제로 체감되는 위협보다 과장된 공격에 대해 ‘개인정보 유출’을 꼽은 답변이 9.3%에 이르렀는데, 그 이유로 대부분의 개인정보가 유출됐기 때문에 새롭게 개인정보를 유출하고자 하는 시도는 그리 많지 않다는 설명을 덧붙였다. 따라서 개인정보 보호를 위해서는 기존에 유출된 개인정보가 금융사고에 이용되지 않도록 대비할 수 있는 방법이 시급하다는 답변이 있었다.

실제로 예상되는 위협보다 낮게 평가되는 공격을 묻는 질문에 ‘모바일 기기·애플리케이션 취약점 공격’이 33.3%로 가장 높은 응답률을 보였다. 내부정보 유출 24.8%, APT 20.9%, 개인정보 유출 17.8%가 그 뒤를 이었다.

이러한 공격으로 인한 피해로 가장 우려되는 점은 ‘기업의 신뢰도가 떨어질 것’이라는 답변이 47.3%로 나타났으며, ‘공격자로부터 막대한 금전적인 요구를 받게 될 것’이 20.9%의 응답을 보였다. 고객이나 파트너로부터 소송을 당하게 될 것, 정보보안 조직의 신뢰도 하락으로 피해를 입게 될 것, 운영시스템을 재구축해야 할 것이라는 응답이 17%를 차지했으며, 기타 응답으로 ‘주요 정보자산 유출로 경쟁력이 저하되지만, 내부정보 유출은 보안 담당자만이 고민하는 현실’이라는 지적이 제기됐다.

지능형 공격을 방어하기 위해 기업/기관에서 마련해야 할 대책 중 중요한 순서대로 나열하라는 질문에 ‘체계적인 보안전략 수립’을 1순위로 꼽은 응답자가 31.2% 였으며, 보안예산 투자 확대 26.4%, 보안전문인력 보강 25.6%의 순이었다. 2순위로 가장 많은 응답률을 보인 것이 ‘보안전문인력 보강(43.3%)’이었으며, ‘체계적인 보안전략 수립’이 25.6%로 그 뒤를 이었다.


2014년 정보보안 예산, 작년보다 성숙
2013년의 정보보안 예산은 경기불황과 정부출범 초기라는 점 때문에 크게 늘어나지 않은 것으로 보인다. 지난해 정보보안 예산이 전년과 같다는 응답이 35.9%, 10% 미만 상승이 23.9%, 10~20% 상승이 20.5%였다. 2013년 지출한 정보보안 예산 중 가장 많은 비중을 차지한 것은 기존 시스템의 유지보수(33.1%)였으며, 새로운 시스템 구축이 29.3%, 컨설팅 23.6%, 관제·모니터링 12.1%, 보안사고와 이를 수습하기 위한 비용 1.9%의 순으로 나타났다.

새롭게 구축하거나 업그레이드한 정보보안 시스템(복수응답)으로는 개인정보보호 46.5%, 내부정보 유출방지 45.7%로 정보유출 방지 솔루션이 가장 많은 비중을 차지했다. 이와 유사한 비율로 PC보안(44.2%)이 뒤를 이었으며, APT 방어 솔루션도 20.2%로 비교적 높은 비중을 차지했다.

지난해 3·20, 6·25 등 대규모 보안사고와 지능형 공격의 성행 등으로 인해 2014년 정보보안 예산은 다소 늘어날 것으로 보인다. 올해 전년보다 10~20% 상승됐다는 답이 25.5%로 가장 많은 응답을 보였으며, 10% 미만 상승이 24.5%로 그 뒤를 이었다. 그러나 지난해와 같다는 답과 전년보다 하락했다는 답이 각각 21.8%를 차지해 정보보안 시장을 낙관할 수 없을 것으로 보인다.

2014년 새롭게 구축하거나 업그레이드를 예상하고 있는 보안 솔루션으로 APT 방어 솔루션이 31%로 내부정보유출방지 솔루션과 함께 가장 높은 응답률을 보여 주목된다. 개인정보보호 솔루션이 27.%9%, PC 보안과 유선 네트워크 보안 솔루션이 각각 25.6%의 응답률을 보였다. 모바일 보안 솔루션과 무선 네트워크 보안 솔루션도 21.7%로 비교적 높은 순위에 올랐다.

2014년 예정된 정보보안 사업 중 전년대비 가장 높은 증가율을 예상하는 제품을 순서대로 3개를 들어달라는 질문에 가장 많은 응답자가 APT 방어 솔루션과 개인정보보호 솔루션(각 24.8%)을 들었다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사