Home > 전체기사
사이버 공격 당하고 보고하지 않는 기업들 절반 넘는다
  |  입력 : 2020-06-03 15:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 공격을 당할 경우 보고해야만 하는 지역에서도 잘 이뤄지지 않아
보고와 보안을 따로 생각하는 경향이 크기 때문...IT 전문가에게 보안 맡기기도


[보안뉴스 문가용 기자] 2/3이 넘는 조직들이 계속해서 사이버 범죄 사실을 보고하지 않는 것으로 나타났다. 심지어 사이버 범죄 사실을 정부 기관에 반드시 보고해야만 하는 규정이 있는 지역에서도 이러한 조직들이 비슷한 비율로 존재하는 것이 드러났다. 해킹 당했다는 사실을 숨기고 싶어 하는 피해자들의 심리가 엿보인다.

[이미지 = utoimage]


보안 교육 기관인 ISACA가 발표한 ‘사이버 보안 현황 2020(State of Cybersecurity 2020)’ 보고서에 따르면 조사에 응한 2051명의 사이버 보안 전문가들 중 62%가 “내가 속한 조직은 사이버 범죄 사실을 제대로 보고하지 않는다”고 답했다. 제대로 보고하고 있다고 답한 전문가는 16%에 불과했다.

이러한 결과에 대해 ISACA의 에드 모일(Ed Moyle)은 “기업들이 침해 사고를 숨기려 한다고도 볼 수 있지만, 보고도 못할 정도로 침해 사고가 자주, 많이 일어난다고도 볼 수 있다”고 해석한다. “물론 우버처럼 보안 사고를 꽁꽁 감춰두는 경우도 꽤 많습니다. 하지만 이번 조사를 통해 확실히 알 수 있는 건 보안 체계라는 것에 구멍이 많다는 겁니다.”

그나마 다행인 점은 작년에 같은 조사를 진행했을 때 ‘제대로 보고하지 않는다’는 응답자는 66%였다는 것이다. 즉 느리게나마 응답률이 올라가고 있다는 소리다. “그럼에도 아직 절반 이상의 조직들이 사고에 대해 보고하지 않는다는 건, 그리고 이것이 감독 기관 등에 걸리지 않는다는 건, 조직들이 보고의 의무를 피해가는 방법을 터득했다는 뜻입니다.”

재미있는 건 62%가 “우리 회사는 잘 보고하지 않음”이라고 응답했으면서도, 70%의 응답자는 “조직 전체의 운영 전략과 사이버 보안 전략이 잘 맞물려 있다”고 답했고, 53%는 “임원진이 사이버 보안을 우선순위 상단에 놓고 잘 운영 중에 있다”고 답했다는 것이다. 왜 이렇게 상반된 답이 같은 피조사자들에게서 나왔을까?

“보안 전략이 잘 구성되었고, 심지어 잘 운영되고 있다고 느끼지만 동시에 사고에 대한 보고는 잘 이뤄지지 않는다고 느낀다는 건, 한두 사람의 실수가 아니라 시스템 전체의 오류 때문에 보고가 잘 안 되고 있다는 뜻입니다. 보안 사고를 알린다는 게 보안 전략에 포함되어 있지 않다는 것이죠. 보안 따로, 보고 따로라는 인식이 엿보이는 부분입니다.”

ISACA의 보고서에 의하면 사이버 공격의 양도 꾸준한 증가세를 보이고 있다. 32%의 응답자가 요즘 공격이 더 많아지고 있다고 답했고 25%가 과거와 비슷한 수준으로 유지되고 있다고 답했으며, 6% 정도만이 공격이 줄어들었다고 답했다. 모일은 “클라우드로 모두가 이전하고 있는 시기이기 때문에 사이버 공격이 늘 수밖에 없다”고 말한다.

“또 하나 중요한 건, 공격의 절대량이 늘었거나 줄었다는 게 아니라 공격에 대한 가시성을 점점 더 확보하지 못하고 있다는 것입니다. 왜냐면 공격자들마저 클라우드를 공격에 활용하고 있기 때문입니다. 클라우드 가시성을 해결하지 못하고 어영부영 넘어온 것이 이렇게 또 우리를 위협하고 있는 상황인 겁니다.”

공격자들에 대해 잘 모르고 있다는 것도 이번 설문을 통해 드러났다. 자신의 조직을 공격한 자들을 항목에 따라 분류할 수 있다고 대답한 사람은 1/3이었다. 하지만 이중 22%는 ‘사이버 범죄자’로, 19%는 ‘해커’로 분류했을 뿐이었다. 그 외 11%가 악성 내부자, 10%가 실수를 저지르는 내부자를 추가로 꼽기도 했다. 나머지 2/3은 사이버 공격자의 정체를 뭉뚱그려서 생각하고 있었다.

사내 IT 전문가들에게 보안 업무를 맡기는 경우도 파다한 것으로 나타났다. 응답자의 66%가 사이버 사건 대응을 IT 인력들이 한다고 답했으며 63%는 보안 솔루션 및 도구의 유지 보수를 IT 담당자들이 전담한다고 답했다. 취약점 평가를 하는 IT 전문가가 50% 정도인 것으로도 나타났다. ISACA는 “보안 인력 부재로 인해 이런 현상은 앞으로도 계속해서 나타날 것”이라고 설명했다.

“어차피 보안 전문가가 아닌 사람들도 보안에 참여해야 하는 시대가 오고 있습니다. 그러니 장기적으로 봐서는 IT 전문가들에게 보안 업무를 맡기는 것도 나쁜 것은 아니라고 봅니다.” 모일의 설명이다.

인력난의 해결책으로 떠오르는 인공지능의 활용 비율은 그리 높지 않았다. 인공지능임을 인지하고 사용하는 사례는 30% 정도뿐이었으며, 28%는 잘 모르겠다거나 확실하지 않다고 답했다. 인공지능을 확실히 사용하지 않는다고 답한 응답자는 43%였다.

3줄 요약
1. 사이버 보안 사고 발생 시, 유관 기관에 보고하지 않는 기업 많음.
2. 보안 업무 및 전략이라는 큰 그림에 ‘유관 기관에 보고’ 항목은 들어가 있지 않은 모양.
3. IT 전문가들이 보안 업무를 맡는 사례가 많아지는 건 인력난 때문.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)