[정보보안 담당자 설문①] 꽁꽁 묶인 보안 예산

지능형 공격 증가할 것으로 예상…정보보안 예산 늘지 않아 보안투자 어려움 이어질 것

2016년에도 정보보안 시장은 한파가 이어질 것으로 보인다. <월간 네트워크타임즈>가 매년 실시하는 ‘정보보안 담당자 설문조사’에서 정보보안 담당자들은 사이버 공격은 더욱 지능화 될 것이라고 우려하면서도 2016년 보안 예산은 기존 시스템의 유지보수 수준에 그칠 것으로 예상했다. 2015년 12월 1일부터 18일까지 진행한 이 조사에는 공공·금융·기업 등의 정보보안 담당자 375명이 참여했다.<편집자>

보안 예산, 기존 시스템 유지보수에 투자

2015년 정보보안 기업들은 ‘사상 최악의 실적’을 경신했다. ‘보안시장 침체’에 대한 경고가 한두해 제기된 것은 아니지만, 2015년은 그 중에서도 가장 좋지 않은 실적을 기록한 것으로 분석된다. 정부·공공시장의 보안투자가 꽁꽁 묶인 상황에서, 기업 역시 보안 투자를 연일 미루고 있기 때문이다. 2016년에도 상황은 크게 달라질 것으로 보이지 않는다. 기업/기관의 보안투자 예산은 기존 시스템의 유지보수 수준에 머무를 것으로 예상된다.

<월간 네트워크타임즈>가 실시한 ‘2016 정보보안 담당자 대상 설문조사’ 결과에 따르면 2015년 투자된 정보보안 예산이 ‘전년과 같다’는 답이 39.4%로 가장 많았으며 ‘10% 이하 규모로 상승했다’는 답이 27.5%로 그 뒤를 이었다. 전년보다 줄었다는 응답도 5.5%에 이를만큼 2015년 정보보안에 대한 투자는 크게 줄어든 것으로 분석된다.

IT 시스템은 매년 10% 내외 비용을 기존 시스템의 유지보수로 사용하기 때문에 신규 시스템 투자나 기존 시스템의 업그레이드를 계획한다면 전년대비 10% 이상 투자가 진행돼야 한다. 설문 응답자 중 2015년 정보보안 예산이 전년대비 10~20% 늘었다는 응답은 18.3%, 20% 이상 상승했다는 응답은 7.3%로 25.6%만이 보안예산이 증가했다는 것으로 해석될 수 있다.

실제로 2015년 투자된 보안예산 중 가장 많은 비중을 차지한 것은 기존 시스템의 유지보수인 것으로 나타났다. 2015년 지출한 정보보안 예산 중 가장 많은 비중을 차지한 것부터 순서대로 밝혀달라는 문항에서, 기존 시스템의 유지보수를 1순위로 꼽은 응답이 42.3%에 이르렀으며, 새로운 시스템 구축을 1순위로 꼽은 응답은 40.7%로 그 뒤를 차지했다. 새로운 시스템 구축을 두번째로 많은 투자 예산으로 꼽은 응답은 32%, 기존 시스템 유지보수와 관제·모니터링 예산이 각각 26%의 응답을 얻었다.

보안투자 장기 동결 … 지능형 공격 대응 시스템 시급

이러한 경향은 2014년에도 동일하게 나타난 바 있었으며, 2016년에도 크게 달라지지 않을 것으로 보인다. 2014년 실시한 설문조사에서도 2014년 지출한 정보보안 예산이 ‘전년대비 10% 이하 규모로 상승했다’는 응답이 31%, 전년과 동일하다는 답이 26.2%를 차지했다. 10~20% 상승은 1%, 20% 이상 상승했다는 답이 15.5%였다. 가장 많은 예산을 투입한 것은 기존 시스템의 유지보수로, 23%의 응답자가 이 항목을 1순위로 꼽았다. 새로운 시스템 구축을 1순위로 꼽은 응답자는 18%였다.

2016년 정보보안 예산의 증가폭 역시 2014년, 2015년과 마찬가지로 크게 늘어나지 않을 것으로 보인다. ‘2016 정보보안 담당자 설문조사’에서 2016년 예정된 정보보안 예산은 ‘2015년과 동일하다’는 답이 30.6%, ‘10% 이하 상승’이라는 답이 29.7%를 차지했다. 10~20% 상승할 것이라는 답은 18%, 20% 이상 상승은 9.9%였으며, 2015년보다 줄어들 것이라는 답이 10.8%를 차지했다.

이처럼 보안 예산이 증가하지 않고 있거나, 결과적으로 축소되는 것은 경기불황으로 기업이 보안에 투자하지 않는다는 사실을 보여주는 단적인 예로 꼽을 수 있으나, 다른 측면에서는 기업들이 직면해있는 보안위협에 대비할 수 있는 시스템을 찾지 못하고 있기 때문이라는 해석도 가능하다.

2015년 보안예산 투자 규모를 묻는 질문에서 기타의견으로 보안위협을 막을 수 있는 보안 장비가 없어서 투자에 어려움을 겪었다는 답이 다수 있었다.

공격 고도화되는데 보안에 대한 인식 낮아

최근 보안위협은 알려진 기법 뿐 아니라 알려지지 않은 기법을 사용해 공격이 진행되며, 기존 보안시스템에 탐지되지 않도록 다양한 우회공격을 시도한다. APT 방어 솔루션으로 가장 많이 사용되는 샌드박스의 경우, 악성코드가 가상환경을 인식해 가상환경에서는 동작하지 않도록 하거나, 실행 후 일정시간 이상 지난 다음 공격을 진행하도록 해 샌드박스에서 분석하는 시간 동안에는 탐지되지 않도록 하는 방법으로 쉽게 우회한다.

최근 많이 발견되는 공격은 샌드박스에서 쉽게 탐지되는 악성코드를 무차별적으로 보내 샌드박스에 부하를 일으키면서 실제 공격에 사용되는 악성코드를 유입시켜 관리자가 실제 공격과 위장 공격을 구분하지 못하도록 한다.

기존 보안 시스템을 우회하는 공격을 차단하기 위해서는 경계보안 뿐만 아니라 내부 시스템에서도 관리·모니터링을 통해 외부로의 이상한 통신을 차단하거나 포렌식 기술을 이용해 침입흔적을 찾아내는 기술을 도입해야 한다.

이러한 장비는 고가이거나 이제 막 출시된 제품으로 레퍼런스가 충분히 확보되지 않은 경우, 혹은 운영이 어려워 보안 전문가를 확보해야 운영할 수 있는 경우 등 현실적인 문제에 부딪혀 있는 상황이다. 따라서 2016년 발생할 공격에 대응하기 위해서는 다양한 공격위협을 지능적으로 방어할 수 있는 시스템을 도입하고, 전문인력, 서비스를 통해 보안위협을 상시적으로 감시해야 한다.

그러나 기업/기관의 보안 인식은 여전히 매우 낮은 편이며, 보안에 대한 투자도 매우 소극적이다. 실제로 정보보안 담당자들은 인력과 예산 부족, 정보보안 조직의 권한 부족으로 인해 직면해 있는 보안위협을 해결하는데 어려움을 겪는다고 말한다.

‘2016 설문조사’에서 정보보안 담당자의 34.1%가 ‘정보보안 인력·예산 부족, 정보보안 조직의 권한 부족’이 직면한 정보보안 이슈를 해결하는데 가장 걸림돌이 된다고 답했다. 또한 ‘정보보안에 대한 경영진의 낮은 인식과 보안정책을 따르지 않는 임직원’을 꼽은 응답이 26.4%를 차지했다. ‘현재 기술로 막기 어려운 지능화된 공격’이라는 응답은 20.9%를 차지했다.

김선애 기자 다른기사 보기