보안 담당자의 24%만이 자사 보안 시스템이 사이버 위협을 탐지하고 조사할 수 있는 역량을 갖췄다고 판단하고 있으며, 위협을 신속하게 탐지하거나 조사할 수 있다고 판단하는 담당자는 8%와 11%에 불과한 것으로 나타났다.
이는 EMC RSA가 14일 발표한 ‘위협 탐지 효과 보고서’ 보고서에 따른 것으로, 이 보고서는 전세계 160명 이상 기업 내 보안 담당자를 대상으로 기업들이 현재 사이버 위협에 대비하고 있는 추세와 이와 관련한 향후 계획 등에 대해 조사한 것이다.
“기업 대부분, 위협 탐지·조사 역량 낮아”
응답자들의 자가 평가를 기반으로 한 이번 조사에서 응답자 대부분은 현재 자사가 갖추고 있는 위협 탐지 및 조사 역량이 충분치 않다고 답했다. 24%의 응답자만이 소속 기업의 위협을 탐지하고 조사하는 능력에 만족하는 것으로 나타났다.
특히 위협을 신속하게 탐지하거나 조사할 수 있다고 응답한 비율은 각각 8%와 11%에 불과했다. 이는 위협 탐지 및 조사의 신속성이 사이버 공격 피해를 최소화할 수 있는 핵심 요인으로 꼽힌다는 점에서 대부분의 기업에서 사이버 위협이 발생했을 때 피해가 막대해질 수 있음을 시사한다.
위협을 탐지하기 위해 데이터를 수집하는 경로나 출처도 편중된 것으로 밝혀졌다. 경계 보안 장비로부터 데이터를 수집하는 비율은 88%에 달했으나 최근 부각되고 있는 모던 IT 인프라로부터의 데이터 수집은 상대적으로 낮았다. 이외에 계정 접근 및 관리 관련 데이터 수집 비율은 55%, 엔드포인트 59%, 네트워크 패킷 49%로 나타났으며 클라우드 기반 인프라 및 애플리케이션으로부터의 수집률은 27%에 그쳤다.
“25% 위협 데이터 통합안해 가시성 떨어져”
수집한 데이터의 통합 또한 문제점으로 나타났다. 응답자의 4분의 1은 수집된 데이터를 통합하지 않는 것으로 밝혀졌으며, 수집 데이터를 통합해 단일 소스로 접근, 분석할 수 있는 기업은 21%에 그쳤다.
여러 데이터 소스를 넘나들며 사이버 위협과 공격을 파악하는 능력을 충분히 갖췄다고 평가한 기업은 10%뿐 이었다. 수집된 데이터들을 통합, 연계하지 않으면 데이터 소스 사이의 연관성을 찾아내기 어려워 분석을 속도가 저하되는 것은 물론, 공격 전체 범위를 파악하는 것도 쉽지 않다는 점에서 보안 상의 문제점이 드러났다.
현재 사용되고 있는 보안 기술 또한 진화하는 사이버 위협에 대응하기에는 부족한 부분이 많은 것으로 나타났다.
SIEM(은 응답자의 2/3 이상이 사용하고 있었으나, SIEM을 보완하기 위해 부각되고 있는 네트워크 패킷 캡처나 엔드포인트 포렌식, 사용자 패턴 분석 등의 툴을 채택한 곳은 많지 않았다.
다만 1년 내 도입 계획을 묻는 질문을 통해 기존 방식을 보완하기 위한 기업들의 노력을 엿볼 수 있었다. 이용자 행동 분석 툴의 경우 현재 도입 기업은 30%에 불과했으나, 1년 내 도입 계획인 비율은 32%에 달했다.
김경진 한국EMC 사장은 “이번 조사는 대부분의 기업들이 꼭 필요한 데이터를 수집하지 않거나 수집한 데이터를 통합하지 않고, 과거 방식에 의존하는 등 사이버 위협의 사각지대에 놓여있음을 보여준다”며 “사이버 위협이 진화하는 만큼, 기업들의 관련 탐지 및 분석에 있어 더 빠른 대처 능력을 갖추고 가시성을 확대하도록 시급한 변화가 필요하다”고 말했다.
