Breaking
사이버 보안(Cybersecurity)
'사이버 보안'에 대한 이율배반적 태도…"중요성 알지만 예산 부족해"
2019-05-28 17:17:03
장희주
▲영국의 기업들이 사이버보안을 우선요소로 놓고 있다(사진=ⓒ셔터스톡)

[라이헨바흐=장희주 기자] 사이버 보안의 중요성 알지만 예산에는 반영하지 않는 이율배반적인 기업 행태 

기업들이 표면적으로는 사이버 보안을 강화하기 위해 노력하고 있으나, 정작 적절한 예산을 반영하지 않아 여전히 평행선이다. 

최근 일반정보보호규정(GDPR)와 네트워크 및 정보보안(NIS) 지침 등 제정된 사이버 요건과 곧 실시 될 개정지급결제산업지침(PSD2)으로 사이버 보안 강화에 대한 대책이 논의되고 있다.

그러나 기업들은 이와 같은 조치를 실행하겠다는 강력한 의지를 가지고 있지만, 그 기본원칙과 기업의 일상적 운영에 적용 가능성을 고려했을 때 상당히 모호한 측면이 있다.

따라서 회사가 필요로 하는 사이버 보안 조치가 실행 가능하고 실용적이며 예산 친화적인지는 숙고할 가치가 있는 문제다.

▲E&Y에 따르면, 영국 기업들은 사이버 보안 조치를 강화하는 데 예산을 들이고 있지 않다 (사진=ⓒ셔터스톡)

필요 자원 부족

언스트앤영(EY)의 최근 보고서에 따르면, 영국 내 대부분의 기업은 사이버보안에 충분한 예산을 할애하고 있지 않은 실정이다.

EY의 글로벌정보보안설문조사(GISS) 2018~2019에 따르면, 기업들이 사이버보안을 강화하는데 있어 대부분 서류 작업에 그칠 뿐 실질적으로 실행에 옮겨지지는 않고 있다. 그리고 이는 조치를 취할 예산이 부족하기 때문인 것으로 확인됐다.

조사에 참가한 기업의 87%는 사이버 보안과 회복력을 달성할 수준으로 예산을 가지고 있지 않기 때문에 데이터 침입에 취약한 상태라고 밝혔다. 그리고 컴퓨터 시스템과 네트워크를 데이터 침입으로부터 보호할 수 있는 사이버보안 프로토콜을 유지하고 있는 기업은 몇 되지 않았다. 또한, 77% 가랑은 사이버 보안과 회복능력이 제한적이라고 밝혔다.

이러한 기업들이 현재 사용하고 있는 보안 조치는 구식이기 때문에 현대의 사이버 공격자가 쉽게 조작할 수 있을 뿐만 아니라, 이 기업들이 심지어 자체 시스템에 존재하고 있는 치명적인 취약성을 알지 못하고 있다는 사실이 상황을 더욱 걱정스럽게 만들고 있다.

기업들이 사이버 보안 수준을 높이는데 저해하는 방해 요인은 예산만이 아니다. 기술 부족도 문제로 떠오르고 있다. 간단하게 말해서, 대부분의 산업 부문이 요구하고 있는 업무를 처리할 수 있는 인력이 많지 않다. 

심지어, 보안 전문가가 대부분을 장악하고 있는 부문에서도 인적 자원을 균일하게 사용하는 데 어려움을 겪고 있다. 이에 EY의 보고서에서는 향후 5년 내에 세계적으로 모든 산업 부문 전반에 걸쳐 180만 명의 보안 전문가가 부족한 사태가 벌어질 것이라고 전망하고 있다

EY의 사이버 보안 전문가인 제레미 피잘라는 "실력 있는 대학원 졸업생들은 특히 금융서비스 부문에서 일하기를 원하고 있지 않다"고 말했다.

문제를 고치려는 행동보다 말을 하는 것은 쉽다. 기업이 높은 수준의 사이버 보안을 유지하기 위해 전문가들이 필요로 하는 자원을 제공할 것이라고 상상하는 것은 쉬운 일이지만, 자세히 살펴보면 생각보다 문제는 뿌리 깊이 박혀있다.

EY 보고서에 따르면, 기업이 다룰 수도 없는 야심 찬 사이버 보안 청사진을 제시하기 전에 개별적으로 중점을 둘 필요가 있는 네 가지 핵심 요소가 있다. 바로 관리, 이해관계, 보호, 침입이 그것이다.

관리

첫 번째 요소, '관리'는 다음과 같은 질문을 던진다. 기업 전략에서 사이버 보안 부문이 존재하는가? 그리고 예산에 책정돼 있는가?

하지만 조사에 참여한 전체 기업에서 절반가량(55%)이 기업 전략에서 사이버 보호를 중요하게 다루고 있지 않았다. 대기업의 63%는 올해 사이버 보안 예산을 증가할 가능성이 있지만 소기업의 50% 가량은 전년과 동일할 것으로 보인다.

▲기업은 사이버 보안으로 취약한 시스템이 무엇인지 파악해야 한다(사진=ⓒ셔터스톡)

위태로운 부분

두 번째 요소는 회사의 운영 특성과 주기적으로 처리하고 있는 자산을 고려했을 때 회사가 직면할 수 있는 위협에 중점을 두는 것이다. 모든 기업은 각자 다른 위협에 직면하기 때문에 사이버 보안 프로토콜은 '한 가지로 모두를 맞출 수' 없는 것이다. 

따라서 보안 방어의 최전선을 제시하기 전에 기업이 가장 중요하게 여기는 것과 어떤 부류의 적이 위협을 가할 것이지 파악하는 것이 중요하다.

기업들이 직면하게 되는 가장 일반적인 사이버 위협에는 피싱과 악성 소프트웨어, 사이버 공격, 사기, 스팸, 내부 공격, 사이버 스파이 행위가 있다. 현재로서 피싱(22%)과 악성 소프트웨어(20%)가 성공적인 데이터 침입으로 기록돼 있다.

보호

세 번째 요소는 보호다. 기업이 직면할 수 있는 위협의 종류를 이미 알고 있다면 시스템이 어떻게 취약한지 파악해야 한다.

보고서에 따르면, 지난 몇 년간 드러난 취약점은 부주의하거나 문제를 제대로 인식하지 못하는 직원(34%), 구식 보안 시스템(26%), 비승인 접속(13%) 순이었다. 단지 소수의 기업(15%) 만이 사이버 범죄자를 막을 수 있는 기본적인 조치를 취할 뿐이었다.

침입

네 번째 요소는 기업의 데이터 침입 확인 방법과 발견 즉시 대응법을 조사하는 것이다. 이 같은 조치에는 데이터 침입 후 회복에 사용되는 비용 증가가 포함된다. 보고서를 통해 확인한 바로는 대부분의 기업(63%)가 문제에 휘말리면 이 같은 조치를 취하는 경향을 보였으며, 시스템 내의 침입 여부도 인식하지 못하고 있는 기업도 존재했다.

한편, 지난 몇 년간 발생했던 침입 사건을 통한 바로는 조사에 참여한 기업 중 3분의 1 미만이 보안 직원에 의해 사건을 감지했다고 털어놨다.

[라이헨바흐=장희주 기자]