[Security News] 침해 사고가 만연해지는 때, 가장 시급히 강화해야 할 보안 영역은?

무려 63%의 기업들이 지난 1년 사이 최소 한 번 이상의 침해 사고를 경험했습니다. 평균 피해액은 크게 두 개로 구분되는데, 하나는 240만 달러, 다른 하나는 300만 달러입니다. 이 차이를 만드는 건 다름이 아니라 준비도입니다.

지난 12개월 동안 63%의 기업들이 최소 한 번 이상의 침해 사고를 경험했습니다. 침해 사고로 인해 발생하는 피해액은 전 세계 평균이 240만 달러라고 합니다. 침해 사고에 대응할 준비를 미리 갖춰놓지 않은 경우, 피해액은 300만 달러로 치솟는다는 것도 조사됐습니다. 시장 조사 전문 업체인 포레스터 리서치(Forrester Research)가 발표한 내용입니다.

[이미지 = freepik]

이번 조사를 통해 보안 준비도라는 것이 보안 사고 비용과 얼마나 깊은 관계를 가지고 있는지가 드러났다고 포레스터 측은 결론을 내리고 있습니다. “대비가 되어 있는 기업과 그렇지 않은 기업 사이에 가장 극명한 차이가 나타난 건 북미 지역에서였습니다. 피해가 발생한 상황에서 위협 요인을 식별하고 삭제하고 정상 복구하는 데 걸리는 시간은 일반 조직의 경우 평균 38일이었습니다. 하지만 준비를 제대로 하지 못한 기업의 경우 평균 62일 걸렸습니다.”

이렇게 평균 일수에 차이가 나니 당연히 비용에서도 차이가 났습니다. 북미 지역 기업들의 평균 피해액은 300만 달러였는데, 준비가 되지 않은 기업의 경우는 400만 달러로 집계된 것입니다. “예상과 현실의 간극을 메우는 게 매우 중요해 보이는 결과입니다. ‘이 정도면 충분하겠지’라는 기업, 즉 예상만 한 기업은 확실하게 평가하고 대책을 마련한 기업들보다 100만 달러를 더 손해를 보니까요. 미국이 아니라 전 세계적으로 조사했을 때 준비가 안 된 기업들은 평균 60만 달러를 더 지출하는 것으로 집계됐습니다.”

재미있는 건 아태 지역과 유럽의 조직들은 준비도에 따라 피해액이 크게 차이가 나지 않았다는 것입니다. 포레스터 측은 “이 두 지역의 보안 관련 규제들이 엄격하기 때문”이라고 분석합니다. 규정의 수위가 높기 때문에 보안 사고에 대처하지 않는 기업들이라고 해도 어느 정도 수준은 갖추고 있다는 것입니다. “그럼에도 이 지역 내 기업들의 가장 큰 문제는 사건 대응 팀을 갖추지 못하고 있다는 것이었습니다. 기업이 보안을 잘 한다기보다 정부가 많은 부분 애를 쓰고 있다고도 볼 수 있습니다.”

위협들은 밖에서만 오는 것이 아니다

이번 조사를 통해 기업들이 외부에서 들어오는 위협에 훨씬 더 집중하고 있다는 사실 역시 드러났습니다. 하지만 위협의 출처는 총 네 가지였습니다. 외부 공격자, 내부자, 서드파티 및 공급망, 분실 및 도난 장비가 바로 그것이었습니다. 네 가지 위협 요인들은 크게 우열을 가리기 힘들 정도로 비슷한 비율을 차지하고 있었습니다. 그런데 47%의 기업들이 외부 위협을 가장 주요한 위험 요소로 간주하고 있었습니다.

“내부자나 파트너사들을 통해 들어온 위협이나 보안 사고에 대해서는 대부분 크게 걱정하지 않고 있다는 것을 알 수 있었습니다. 외부인의 침투에 대해서는 엄청나게 경계하면서 말이죠. 어느 경로를 통해 들어오든 보안 침해 사고는 공평하게 피해액을 발생시킵니다. 한 가지에만 집중할 필요가 없는 것입니다. 공격자 입장에서는 한 쪽이 막히면 다른 쪽으로 돌아 들어가면 그만이거든요.” 포레스터 측의 설명입니다.

한편 모든 기업들이 분실 및 도난 당한 장비로부터 시작되는 위험에 대해서는 특별히 더 무관심한 것으로 조사됐습니다. 이번 조사에서 분실 및 도난 장비가 기업을 크게 위협할 것이라고 대답한 응답자는 5% 이하였습니다. 이러한 성향은 모든 지역에서 고루 발견됐습니다.

포레스터는 “기업들은 사건 대응 및 사후 관리 체계를 갖추는 데 집중해야 할 것”이라고 권고하고 있다. “그게 가장 직접적으로 사고 피해액을 낮추는 방법이거든요. 그렇다는 건 가장 효과와 효율이 좋다는 뜻이 되죠. 가장 빠르고 직접적으로 보안 강화의 효과를 볼 수 있는 분야가 지금으로서는 사건 대응이라고 결론을 내릴 수 있습니다.”

하지만 사건 대응 전략을 강화하는 데 있어서 세부 내용은 지역적으로 조금씩 다를 수 있다고 포레스터는 덧붙였습니다. “지역과 산업마다 규정이 다르고, 자주 일어나는 사고의 유형이 다릅니다. 복구의 방법이나 순서, 유관 기관과의 협조 체계 역시 조금씩 달라지죠. 그러므로 이런 다양한 변수들을 고려해서 맞춤형으로 사건 대응 시스템을 갖추는 것이 필요합니다.”

출처 : 보안뉴스 정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 취약점, 시큐어코딩, 취약점진단, 취약점점검, 스패로우, sparrow, vada, 시스템취약점진단