[아이티데일리] 전세계 IT 관리자 중 66%가 소속 기관의 사이버 보안 예산(인원 및 기술 포함)이 필요한 수준보다 낮다고 응답했다. 더불어 75%는 최신 보안 동향을 따라잡는 것 자체가 힘겨운 도전이라고 말했다.

26일 소포스(한국지사장 배수한)는 전세계 IT 관리자 3,100명 대상 설문조사 결과를 분석, ‘사이버 보안의 불가능한 퍼즐’ 보고서를 발표하며 이같이 밝혔다. 조사 결과에 따르면 IT 관리자들은 다각적인 사이버 공격의 홍수에 직면한 상황에서 보안 전문 지식, 예산, 최신 기술의 부족에도 불구하고 시스템 관리에 필사적으로 노력하고 있었다.

이번 조사는 사이버 공격 방법이 다양화되고 종종 다단계화돼 네트워크 방어의 어려움이 증가하는 실상을 보여줬다. 조사에 응한 IT 관리자의 5명 중 1명이 어떻게 침투당했는지도 알지 못하고 있었다. 또한 공격 방법이 다양하다는 것은 어떠한 방어 전략도 완벽한 대책이 될 수 없다는 것을 의미했다.

오늘날 사이버공격은 광범위한 다단계 전략과 규모를 통해 효과적으로 진행되고 있었다. 사이버공격 피해의 53%는 피싱 이메일로 인해 발생했고, 30%는 랜섬웨어로 나타났다. 41%는 데이터 유출로 인한 피해로 조사됐다.

IT 관리자들의 75%가 소프트웨어 익스플로잇 공격, 패치없는 취약점, 제로데이 위협을 최고 보안 위험으로 꼽았다. 50%는 피싱을 최고 보안 위험 요소라고 응답했다. 다만, IT 관리자의 16%만이 사이버범죄자들이 공격 벡터에 사용할 수 있는 취약점이 드러난 공급망을 최대 보안 위험으로 꼽은 점은 우려스러운 부분이다.

IT 관리자들은 IT팀이 근무시간의 평균 26%를 보안 관리에 할애하고 있다고 응답했다. 반면 IT 관리자 중 86%가 보안 지식이 개선돼야 한다고 답변했고, 80%는 보안사고 탐지, 조사, 대응하기 위해 보다 강력한 팀을 원한다고 말했다. 유능한 인재를 선발하는 것 자체도 문제여서 응답자의 79%가 사이버보안 기술 전문가를 뽑는 것이 쉽지 않은 일이라고 말했다.

예산에 관해서는 66%가 소속 기관의 사이버보안 예산이 필요한 수준보다 낮다고 강조했다. 현재 기술 수준을 유지하는 것은 또 다른 문제로, 75%가 사이버보안 기술의 최신 동향을 따라잡는 것 자체가 힘겨운 도전이라는데 동의했다. 소포스 측은 이 같은 보안 전문 지식과 예산, 최신 기술의 부족은 IT 관리자들이 예방적 차원의 보안 계획을 짜거나 미래 예측을 기반으로 사전 대책을 세우기보다 당장의 사이버공격 대응에 급급하다는 것을 의미한다고 강조했다.

체스터 위스니에우스키(Chester Wisniewski) 소포스 수석 연구원은 “사이버위협의 원천을 파악하는 것은 전문지식을 필요로 한다. 그러나 IT 관리자들은 유능한 인재를 찾는데 애를 먹거나, 공격에 신속하고 효율적으로 대응하는 적절한 보안 시스템을 갖추고 있지 않다”면서 “보안 제품들이 서로 정보를 공유하고 위협에 자동 대응하는 보안 시스템을 구축할 수 있다면, IT 보안팀은 기존 공격 방식을 따라잡는 함정에 빠지지 않고 새로운 위협에 더 효과적으로 방어할 수 있다. 이런 보안 ‘시스템’이 자리잡으면 보안 기술 격차를 완화할 수 있다. 사용이 간편하고 전사적으로 상호 조율 가능한 도구들을 활용하는 것이 시간과 비용을 절약하면서 기업의 보안 능력을 성숙시킬 수 있는 길”이라고 지적했다.

한편 ‘사이버보안의 불가능한 퍼즐’ 설문 조사는 2018년 12월과 2019년 1월, 밴슨 본(Vanson Bourne) 프리랜서 시장조사 전문가가 수행했다. 미국, 캐나다, 멕시코, 콜롬비아, 브라질, 영국, 프랑스, 독일, 호주, 일본, 인도, 남아공 등 6개 대륙 12개 국가에서 IT 정책결정자 3,100명을 인터뷰하는 방식으로 진행됐으며, 응답자들은 100명에서 5,000명 규모의 직원이 있는 기관에서 근무하고 있다.