미국 정부 기관의 IT 보안 담당자들도 기관의 데이터 보호가 취약하다고 느끼는 것으로 나타났다. 보메트릭이 451리서치가 공동조사한 ‘2016 데이터 위협 보고서 확장판’에 따르면 미국 연방정부 기관 보안 전문가 100명 중 90%가 데이터 보호 취약하다고 답했으며, 61%는 과거에 데이터 침해를 당했다고 답했다. 이 보고서는 올해 초 발표한 보고서의 확장판 중 하나이다.
보고서에 따르면 데이터 침해를 경험했다고 응답한 사람의 20%는 작년에 사고가 발생했다고 답했으며, 44%의 응답자는 데이터 보안 솔루션 도입에 장애가 되는 요인이 ‘기술 부족’이라고 답했으며, 43%의 응답자는 ‘예산 부족’이라고 답했다.
언론에서는 국가의 지원을 받는 해커들로 인한 사이버 해킹 사건에 초점을 맞추고 있지만, 실제 IT 보안 담당자들이 인식하는 위협적인 외부자 1위는 76%의 응답률을 얻은 사이버 범죄자였으며, 국가 지원 해커는 47%를 기록하며 4위에 머물렀다.
긍정적인 부분은58%의 응답자가 올해 데이터 위협에 대응하기 위한 예산을 증가하겠다고 답했으며, 37%의 응답자는 저장 데이터 방어 예산을 늘리겠다고 답했다는 것이다.
사이버 전쟁을 위한 방어 도구 준비
미 정부 기관의 IT 보안 전문가들이 향후 1년 안에 예산을 배정할 것이라고 응답한 보안 분야1위는 네트워크 방어 솔루션으로 53%를 차지했으며, 분석 및 상관관계 분석 도구가 46%로 그 뒤를 이었다.
60%의 응답자들은 네트워크 방어 솔루션이 데이터를 보호하는데 매우 효과적이라고 응답했으며 이는 다른 산업군과 미국의 평균인 53%를 상회하는 수치다.
저장 데이터 방어는 다른 솔루션이 보호하지 못하는 데이터를 보호할 수 있는 가장 효과적인 솔루션임에도 불구하고 미국 연방 정부 기관의 보안 예산 계획에서 가장 뒤로 밀렸다. 오직 37%만이 저장 데이터 방어에 예산을 늘리겠다고 응답했는데, 이는 미국 평균인 45% 보다 낮은 수치다.
보안 규제 긍정적…규제만으로 부족하다
느리게 변화하는 보안 규제는 오늘날의 다층적·다단계 공격을 방어하는데 도움이 되지 않고 있다. 보안 규제를 준수한 기업들이 겪은 일련의 데이터 유출사고를 통해 우리는 규제를 충족시키는 것이 결코 침해당하지 않고, 민감 데이터가 유출되지 않을 것을 의미하는 것은 아니라는 것을 알 수 있었다. 그러나 57%의 미국 연방 정부 기관 IT 보안 담당자들은 보안 규제 준수 조치가 민감 데이터를 보호하는데 상당히 또는 매우 효과적이라고 답했다.
데이터 보안 솔루션을 포괄적으로 도입하는데 가장 장애가 되는 요인은 51%를 기록한 ‘데이터 보안 솔루션의 복잡성’이었다. 이는 최근의 데이터 보안 솔루션들이 응답자들에게 익숙한 이전 솔루션이 가지고 있었던 구축 및 유지보수 문제를 해소했다는 점에서 오해라고 볼 수 있다.
복잡한 구축 과정은 일반적으로 많은 인력을 요구한다. 데이터 보안 솔루션의 포괄적 도입에 장애가 되는 두 번째 요인은 ‘관리 인원 부족’으로 44%의 응답률을 기록했다. 한편, 미 연방 정부 기관들에게 있어 데이터 보안 솔루션 구축 시 가장 큰 장애물은 43%를 기록한 예산 부족이었다. 이는 금융 서비스와 같은 예산이 풍족한 산업이 기록한 26%를 월등히 상회하는 수치다.
응답자들이 인식한 가장 위협적인 내부자는 권한을 가진 사용자로 64%를 기록했다. 그들은 암호화 솔루션과 접근 제어 기능이 제한하지 않는 한, 업무 상 일반적으로 관리하는 시스템과 어플리케이션 관련 모든 데이터에 대한 접근 권한을 가지고 있다. 2위로 꼽힌 하청 업체 계정은 43%로 1위와는 다소 차이가 있었다.
언론에서는 미국 국세청(IRS) 및 연방 주 기관과 같은 미국 연방 정부 기관을 타깃으로 한 북한, 중국, 이란의 사이버 공격 관련 소식이 연이어 보도 되고 있지만, 정작 미 연방 정부의 보안 담당자들이 응답한 위협적인 외부자 순위에서 국가 지원 해커는 4위(47%)에 그쳤으며, 사이버 범죄자들을 76%로 가장 위협적인 외부자였다.
클라우드·빅데이터·IoT, 미 연방 정부 기관도 중요 과제
클라우드: 클라우드 보안 관련 가장 우려되는 요소는 클라우드 서비스 제공업체의 데이터 유출 사고, 클라우드 제공업체 대상의 사이버 공격, 공유된 인프라로 인한 증가된 취약점 등이며 각각 70%의 응답률을 기록했다.
그럼에도 불구하고 84%의 미 연방 정부 기관의 응답자들은 향후 12개월 이내 민감 데이터를 퍼블릭 클라우드 형태의 환경(IaaS, PaaS, SaaS)에 저장할 계획이라고 답했다. 또한, 47%의 응답자는 데이터 암호화 조치와 암호 키 제어 권한을 제공하는 것이 퍼블릭 클라우드 사용 의향을 증가시킨다고 답했다.
56%의 응답자들이 빅데이터 환경에 민감 데이터를 저장할 것이라고 응답했지만 몇 몇만이 이에 대한 우려를 가지고 있었다. 오직 15%만이 빅데이터 이용을 민감한 정보 유출의 상위 3개 위험 요소 중 하나로 꼽았다.
보안 문제가 IoT 도입에 있어 우려 요소인 것으로 보인다. 35%의 응답자들은 IoT 기기에서 생성된 민감 데이터가 주요 보안 우려 요소라고 답했으며, IoT 기기의 유출 및 도난에 대한 우려가 29%로 그 뒤를 이었다.
또한 58%의 응답자는 민감 데이터를 보호하기 위한 예산을 늘리고 있다고 답했으며, 37%의 응답자는 올해 저장 데이터 방어에 대해 투자할 것이라고 응답했다. 48%의 응답자는 업계 성공 사례를 따라 데이터 보안을 실행할 예정이다.
많은 응답자들은 다른 방어 솔루션이 공격 당함에 따라 데이터 보안에 더 효과적인 새로운 보안 솔루션을 도입할 계획이라고 답했다. 새로운 보안 솔루션에는 클라우드 시큐리티 게이트웨이(40%), 어플리케이션 인크립션(34%), 데이터마스킹(31%), 토큰화(27%) 등이 포함된다.
