각종 보안예산, 밑 빠진 독에 물 붓기 상태

보안 사고에 따른 위기 의식 속 실제 투자 늘어나고 있긴 하지만

구입만으로 만족해버리거나 배울 시간 없어 활용 효율 떨어져

[보안뉴스 문가용] 보안에 투자할 준비가 되어있고, 실제로 그렇게 한다고 해서 보안에 소홀한 조직보다 더 보안이 탄탄하다는 법은 없다. 아니, 오히려 ‘이만큼이나 투자했으니 안전할 수밖에 없어’라는 방심을 불러일으키지나 않으면 다행이다. 트러스트웨이브(Trustwave)가 이번에 오스터만 리서치(Osterman Research)사를 통해 실시한 설문에 의하면 대부분 보안 솔루션 및 소프트웨어들이 제대로 활용되고 못하고 있으며 심지어는 사놓고 사용하지 않는 경우도 많다는 사실이 드러났다.

오스터만은 이번 설문을 위해 172개의 중소기업 및 대기업을 상대로 조사를 벌였으며 산업군은 따로 구분하거나 차별을 두지 않았다. 그 결과 드러난 것이 위와 같은 사실이었고, 이는 30%의 참여자 응답을 통해 드러났다. 어떤 응답자들의 경우는 보안 분야로 책정해 놓은 예산의 30%를 그냥 묵혀두는 등 다 활용하지 않는다고도 답했다. 이번 설문에 참여한 한 회사는 회사가 마련한 보안 소프트웨어의 60%가 그냥 창고에 박혀 있는 신세라고 했다.

“예상은 했지만 이 정도일 줄은 몰랐습니다.” 트러스트웨이브의 부회장인 조시 숄(Josh Shaul)의 솔직한 소감이다. “회사마다 보안 소프트웨어를 다 잘 쓸 수는 없어요. 인정합니다. 하지만 지금 현실은 그 정도가 아니었어요. 보안은 밑 빠진 독이고 기업들의 예산은 그냥 쓸데없는 물 붓기였습니다. 그리고 그 예산의 관리자나 주인 되시는 분들께선 확인도 안 해보고 독에 물이 가득하겠거니 믿고 있었습니다.”

제대로 활용되고 있지 못하는 소프트웨어의 가장 좋은 예는 방화벽이다. 방화벽 설치를 하는 조직과 기업은 정말 많다. 하지만 설치 후 자사 네트워크 환경이나 엔드포인트 시스템에 맞게 제대로 설정하는 곳은 극히 드물다. 데이터베이스를 감지하는 툴도 이런 류에 속한다. 일단 설치까지는 되지만 실제 사용되는가 하면 분명히 그렇다고 대답할 만한 사용자는 별로 없다. 데이터 보호 장비나 솔루션들도 권한 설정이 너무 너그럽게 되어 있어 사실상 무용지물인 경우가 대다수다.

그렇다면 왜 이런 현상이 발생하는 것일까? 가장 흔한 이유는 IT 환경에 대한 전반적인 자원과 여건이 부족하다는 것이라는 게 숄의 주장이다. 응답자들은 “왜 주어진 기능을 제대로 활용하지 못하는가?”라는 질문에 “보안 소프트웨어를 제대로 익힐 시간을 주지 않는다”고 했으며 또한 “보안 IT를 제대로 다뤄줄 인력도 부족하고, 그에 따라 조직 전체의 이해도도 떨어진다”고 답했다.

“보안 팀에서 네트워크 상에 뭔가 설치한다거나 올린다고 하면 네트워크 담당자들이 그걸 이해하거나 받아주지 않을 때가 많습니다. 왜냐하면 호환성 문제가 발생하고 네트워크 속도가 떨어질까봐서죠.” 즉 보안보다는 기능성에 더 초점을 둔 사고방식이 아직은 만연하다는 것이다. 보안 팀은 운영 팀의 지원을 굉장히 필요로 한다. 하지만 현실에서 둘은 공존하지 못하는 게 대부분이다. 특히 조직이 크면 클수록 더 그렇다. 비교적 작은 기업이 그나마 이런 여건이 나은 형편이다. 왜냐면 보통 네트워크 담당자가 보안까지도 같이 맡고 있기 때문이다.

가트너의 분석가인 로렌스 핑그리(Lawrence Pingree)는 이번 설문의 결과를 두고 ‘참담한 현실을 정직히 반영하는 결과’라고 평했다. “필수품 같은 것이 재고품 취급받는 데에는 여러 가지 이유가 있습니다. 일단 보안에 필요한 각 기능에 필요한 인재를 모두 배치할 만한 여력이 있는 조직이 드뭅니다. 그렇기 때문에 보안을 외주로 맡기는 형태의 산업이 발달하고 있기는 합니다. 그렇지만 외주 업자가 회사의 사정을 한 번에 100% 파악할 수는 없습니다. 몰이해는 기능의 완전한 사용을 방해할 수밖에 없습니다.” 그 밖에 규정 준수를 위한 전시용 솔루션 구매 역시 ‘재고품 생성’의 주요한 이유로 꼽았다.

IDC의 분석가인 피트 린드스트롬(Pete Lindstrom)은 큰 회사일수록, 그리고 멀웨어 감지 및 방어 시스템이 튼튼한 곳일수록 이런 ‘재고품화’ 현상이 두드러진다고 한다. “CISO들 역시 이 문제를 인지하고 있습니다. 어떻게 하면 아까운 제품들을 버리지 않고 기능을 온전히 활용할 것인가에 대한 고민이 많은 상태입니다.”

이번 설문을 통해 밝혀진 희망적인 소식이라면 기업들이 2013년에 비해 2014년에 보안 관련 분야(소프트웨어, 하드웨어, 서비스 등)에 더 많은 투자를 했다는 것이다. 2013년엔 사용자 한 사람 당 평균 보안 투자 비용이 80달러였으나 2014년엔 115달러로 늘었다. 이번 설문 결과에 따르면 이중 33달러가 그냥 버려지고 있다는 것이다.

그러나 평균 값은 평균 값일 뿐, 대기업과 중소기업의 현실이나 보안 환경까지 반영한 결과는 아니다. 일반적으로 사용자 한 사람당 평균 보안 투자 비용이 작은 회사일수록 높은데, 이는 대기업처럼 대량 구매로 인한 할인 혜택을 받지 못하기 때문이다. 이런 환경 요인까지 고려했을 때 같은 항목에서 중소기업의 평균 금액은 150달러, 대기업은 70달러라는 결과가 산출된다.

“기업 사장님들이나 중견 임원진들의 마음은 한결 같습니다. ‘다음 공격 대상이 되기는 싫어.’ 그리고 실제로 압박을 느끼기 때문에 보안에 투자를 하죠. 그런 분들에게 묻습니다. 공격 대상이 되기 싫어서 어떤 투자를 하셨냐고. 그러면 대답들도 한결 같죠. ‘최신 방화벽을 설치했어.’ 여기까지 온 것도 진일보지만, 이제 한 걸음 더 나아가야 할 때입니다. 소프트웨어 설치가 다가 아니라 설치한 소프트웨어의 활용이 저희의 다음 목적지입니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)