IT 담당자 53% “보안 도구가 얼마나 잘 작동하는지 모른다”

홈 > 뉴스 > 뉴스 > 보안

IT 담당자 53% “보안 도구가 얼마나 잘 작동하는지 모른다”

소프트와이트가 국내 공급하는 어택아이큐 “미국 기업 매년 1840만달러 지출…보안 효과 확신 못해”

2019년 08월 13일 14:08:49

김선애 기자

iyamm@datanet.co.kr

[데이터넷] 기업은 매년 보안 투자를 늘리고 있지만, IT 팀은 보안 투자가 충분한 효과를 보이는지 확신하지 못하는 것으로 나타났다.

보안 검증 기업 어택아이큐(AttackIQ)가 포네몬인스티튜트가 미국 IT 보안 실무자 577명을 대상으로 진행한 설문조사에 따르면 기업은 사이버 보안에 평균 1840만 달러(약 224억원)를 지출하고 있으며, 58%의 기업이 내년 IT 보안 예산을 평균 14% 늘릴 계획이라고 답했다.

그러나 IT 전문가의 53%는 자신이 구축한 사이버 보안 도구가 얼마나 잘 작동하는지 모른다고 인정했으며, 응답자의 63%가 실제로 보안에 실패했을 때 공격을 차단했다고 보고하는 보안 컨트롤을 관찰했고, 39%만이 보안 투자로부터 최대 가치를 얻고 있다고 응답했다.

보고서에서는 기업은 많은 비용을 들여 여러 보안 솔루션을 도입하고 기술에 투자했으며, 직원과 업무 프로세스를 통해 보안 수준을 높이고 있지만, 이러한 노력이 데이터 유출 가능성을 줄일 수 있다고 확신하지 않고 있다고 분석했다.

기업은 평균 47개의 서로 다른 사이버 보안 솔루션 및 기술을 구축했으며, 조직의 현재 기술 및 직원에 대한 투자로 데이터 유출을 막을 수 있다고 확신하는 IT 전문가는 절반도 되지 않았다.

응답자의 56%가 데이터 유출이 여전히 발생하는 이유는 보안 프로그램 운영에 대한 가시성이 부족하기 때문이라고 답변했으며, 응답자의 41%만이 IT 보안 팀이 IT 보안 인프라의 격차를 파악하고 그 격차를 줄이는데 효과적이라고 응답했다. 응답자의 75%는 IT 보안 팀이 하루 안에 보안 사고에 대응할 수 없을 것이라고 예측했다.

침투 테스트, 보안 수준 제고 효과

IT 전문가들은 침투 테스트가 사이버 보안 격차를 해소하는데 효과적이라고 생각하지만, 많은 전문가들은 지속적으로 침투 테스트를 실시하지 않았다. 조사 결과 응답자의 57%가 IT 보안 팀이 침투 테스트를 수행하고 있으며, 65%는 침투 테스트가 보안 결함을 발견하는데 매우 효과적이라고 답변했다.

그러나 침투 테스트를 수행하는 기업의 33%는 침투 테스트 일정이 정해져 있지 않고, 그중 13%만이 매일 침투 테스트를 수행한다고 밝혔다. 전체 응답자의 48%만이 조직에서 보안 솔루션의 성능을 파악할 수 있는 지속적인 보안 검증(CSV) 플랫폼을 활용한다고 응답했고, 이들 중 68%는 CSV 플랫폼이 보안 격차를 해소하는데 효과적이라고 답변했다.

브렛 갤러웨이(Brett Galloway) 어택아이큐 CEO는 “기업은 너무 많은 돈을 사이버 보안 솔루션에 사용하고 있지만, 효과가 있는지 알지 못한다. 조사 대상 전문가 중 절반 이상이 자신이 보유한 기술이 얼마나 잘 작동하고 있는지 그리고 실제로 효과적인지에 대해 잘 알지 못한다고 인정하고 있다. 기업이 고객 데이터를 비롯한 민감한 정보를 보호하기 위해 이러한 기술에 의존하고 있다는 것을 고려하면 놀라운 사실”이라고 밝혔다.

이 보고서를 한국에 소개한 어택아이큐 한국 총판 소프트와이드시큐리티는 관계자는 “어택아이큐는 인프라 중단을 효과적으로 예방할 수 있어야 하는 보안 조치가 중요한 조직의 요구를 충족하기 위해 만들어진 지속적인 보안 검증이 가능한 BAS(Breach & Attack Simulation) 플랫폼”이라며 “업계 표준인 마이터 어택(MITER ATT&CK) 프레임워크를 운영하여 기업의 보안 프로그램의 유효성을 체계적으로 테스트하고 적용 범위 또는 구성의 차이를 식별해 엔드포인트와 현재의 사이버 보안 방어 체계를 강화할 수 있다”고 말했다.