Home > 전체기사
각종 보안예산, 밑 빠진 독에 물 붓기 상태
  |  입력 : 2015-01-21 16:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

보안 사고에 따른 위기 의식 속 실제 투자 늘어나고 있긴 하지만

구입만으로 만족해버리거나 배울 시간 없어 활용 효율 떨어져


[보안뉴스 문가용] 보안에 투자할 준비가 되어있고, 실제로 그렇게 한다고 해서 보안에 소홀한 조직보다 더 보안이 탄탄하다는 법은 없다. 아니, 오히려 ‘이만큼이나 투자했으니 안전할 수밖에 없어’라는 방심을 불러일으키지나 않으면 다행이다. 트러스트웨이브(Trustwave)가 이번에 오스터만 리서치(Osterman Research)사를 통해 실시한 설문에 의하면 대부분 보안 솔루션 및 소프트웨어들이 제대로 활용되고 못하고 있으며 심지어는 사놓고 사용하지 않는 경우도 많다는 사실이 드러났다.

 


오스터만은 이번 설문을 위해 172개의 중소기업 및 대기업을 상대로 조사를 벌였으며 산업군은 따로 구분하거나 차별을 두지 않았다. 그 결과 드러난 것이 위와 같은 사실이었고, 이는 30%의 참여자 응답을 통해 드러났다. 어떤 응답자들의 경우는 보안 분야로 책정해 놓은 예산의 30%를 그냥 묵혀두는 등 다 활용하지 않는다고도 답했다. 이번 설문에 참여한 한 회사는 회사가 마련한 보안 소프트웨어의 60%가 그냥 창고에 박혀 있는 신세라고 했다.


“예상은 했지만 이 정도일 줄은 몰랐습니다.” 트러스트웨이브의 부회장인 조시 숄(Josh Shaul)의 솔직한 소감이다. “회사마다 보안 소프트웨어를 다 잘 쓸 수는 없어요. 인정합니다. 하지만 지금 현실은 그 정도가 아니었어요. 보안은 밑 빠진 독이고 기업들의 예산은 그냥 쓸데없는 물 붓기였습니다. 그리고 그 예산의 관리자나 주인 되시는 분들께선 확인도 안 해보고 독에 물이 가득하겠거니 믿고 있었습니다.”


제대로 활용되고 있지 못하는 소프트웨어의 가장 좋은 예는 방화벽이다. 방화벽 설치를 하는 조직과 기업은 정말 많다. 하지만 설치 후 자사 네트워크 환경이나 엔드포인트 시스템에 맞게 제대로 설정하는 곳은 극히 드물다. 데이터베이스를 감지하는 툴도 이런 류에 속한다. 일단 설치까지는 되지만 실제 사용되는가 하면 분명히 그렇다고 대답할 만한 사용자는 별로 없다. 데이터 보호 장비나 솔루션들도 권한 설정이 너무 너그럽게 되어 있어 사실상 무용지물인 경우가 대다수다.


그렇다면 왜 이런 현상이 발생하는 것일까? 가장 흔한 이유는 IT 환경에 대한 전반적인 자원과 여건이 부족하다는 것이라는 게 숄의 주장이다. 응답자들은 “왜 주어진 기능을 제대로 활용하지 못하는가?”라는 질문에 “보안 소프트웨어를 제대로 익힐 시간을 주지 않는다”고 했으며 또한 “보안 IT를 제대로 다뤄줄 인력도 부족하고, 그에 따라 조직 전체의 이해도도 떨어진다”고 답했다.


“보안 팀에서 네트워크 상에 뭔가 설치한다거나 올린다고 하면 네트워크 담당자들이 그걸 이해하거나 받아주지 않을 때가 많습니다. 왜냐하면 호환성 문제가 발생하고 네트워크 속도가 떨어질까봐서죠.” 즉 보안보다는 기능성에 더 초점을 둔 사고방식이 아직은 만연하다는 것이다. 보안 팀은 운영 팀의 지원을 굉장히 필요로 한다. 하지만 현실에서 둘은 공존하지 못하는 게 대부분이다. 특히 조직이 크면 클수록 더 그렇다. 비교적 작은 기업이 그나마 이런 여건이 나은 형편이다. 왜냐면 보통 네트워크 담당자가 보안까지도 같이 맡고 있기 때문이다.


가트너의 분석가인 로렌스 핑그리(Lawrence Pingree)는 이번 설문의 결과를 두고 ‘참담한 현실을 정직히 반영하는 결과’라고 평했다. “필수품 같은 것이 재고품 취급받는 데에는 여러 가지 이유가 있습니다. 일단 보안에 필요한 각 기능에 필요한 인재를 모두 배치할 만한 여력이 있는 조직이 드뭅니다. 그렇기 때문에 보안을 외주로 맡기는 형태의 산업이 발달하고 있기는 합니다. 그렇지만 외주 업자가 회사의 사정을 한 번에 100% 파악할 수는 없습니다. 몰이해는 기능의 완전한 사용을 방해할 수밖에 없습니다.” 그 밖에 규정 준수를 위한 전시용 솔루션 구매 역시 ‘재고품 생성’의 주요한 이유로 꼽았다.


IDC의 분석가인 피트 린드스트롬(Pete Lindstrom)은 큰 회사일수록, 그리고 멀웨어 감지 및 방어 시스템이 튼튼한 곳일수록 이런 ‘재고품화’ 현상이 두드러진다고 한다. “CISO들 역시 이 문제를 인지하고 있습니다. 어떻게 하면 아까운 제품들을 버리지 않고 기능을 온전히 활용할 것인가에 대한 고민이 많은 상태입니다.”


이번 설문을 통해 밝혀진 희망적인 소식이라면 기업들이 2013년에 비해 2014년에 보안 관련 분야(소프트웨어, 하드웨어, 서비스 등)에 더 많은 투자를 했다는 것이다. 2013년엔 사용자 한 사람 당 평균 보안 투자 비용이 80달러였으나 2014년엔 115달러로 늘었다. 이번 설문 결과에 따르면 이중 33달러가 그냥 버려지고 있다는 것이다.


그러나 평균 값은 평균 값일 뿐, 대기업과 중소기업의 현실이나 보안 환경까지 반영한 결과는 아니다. 일반적으로 사용자 한 사람당 평균 보안 투자 비용이 작은 회사일수록 높은데, 이는 대기업처럼 대량 구매로 인한 할인 혜택을 받지 못하기 때문이다. 이런 환경 요인까지 고려했을 때 같은 항목에서 중소기업의 평균 금액은 150달러, 대기업은 70달러라는 결과가 산출된다.


“기업 사장님들이나 중견 임원진들의 마음은 한결 같습니다. ‘다음 공격 대상이 되기는 싫어.’ 그리고 실제로 압박을 느끼기 때문에 보안에 투자를 하죠. 그런 분들에게 묻습니다. 공격 대상이 되기 싫어서 어떤 투자를 하셨냐고. 그러면 대답들도 한결 같죠. ‘최신 방화벽을 설치했어.’ 여기까지 온 것도 진일보지만, 이제 한 걸음 더 나아가야 할 때입니다. 소프트웨어 설치가 다가 아니라 설치한 소프트웨어의 활용이 저희의 다음 목적지입니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향