보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버아크 “경영진 69%, 자신이 올바른 Identity 보안 결정한다고 착각”

입력 : 2023-03-07 11:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
Identity 보안, 경영진의 신뢰와 현실 격차 해소해야
과도한 자신감, 부족한 보안지식, 예산 부족, 복잡하고 많은 보안 시스템 등 문제
사이버아크, Identity 보안 4가지 원칙으로 ‘통합 제어’ 제시


[보안뉴스 김경애 기자] 사이버 위협이 거세지면서 기업의 경영진과 CISO 책임이 커졌지만, 경영진의 Identity 보안에 과도한 자신감이 문제가 되고 있다. 이제 사이버 위협은 이사회에서 기업의 최대 리스크로 대두되고 있고, 경영진의 사이버 보안 관련 의사결정은 더 큰 책임이 따르게 되었다. 하지만 경영진은 자신이 올바른 보안 결정을 내리고 있다고 생각해 경영진과 Identity 보안 현실에 격차가 있는 것으로 나타났다.

▲지난 12개월간 개별 사이버 보안 투자 영향[자료=에스케어]


과도한 자신감 ‘문제’
글로벌 보안기업 사이버아크(CyberArk)에서 2022년 조사한 설문조사에 따르면 최고 경영진의 69%는 ‘자신이 올바른 Identity 보안 결정을 내리고 있다’고 답했으며, 직원들은 이보다 낮은 52%가 ‘본인들이 올바르게 Identity 보안 결정을 내리고 있다’고 응답했다.

▲보안투자와 실제 구현 격차 비교[자료=에스케어]


또 설문 응답자의 63%는 적어도 한 번 이상 Identity 관련 공격을 받은 것으로 조사됐다. 반면, 조직의 58% 응답자는 올바른 Identity 보안 결정을 내리고 있다고 믿었다. 이는 Identity 보안 전략에 있어 최고 경영진의 신뢰와 Identity 보안 현실에 차이가 있다는 얘기다.

응답자 중 60%는 사이버 공격 피해 이후 ‘사이버 보안 기술 및 서비스에 대한 투자를 늘렸다’고 답했다. 이어 57%가 ‘이사회는 정기적인 사이버 보안 업데이트를 요청했다’고 응답했고, ‘Identity 관련 사이버 공격의 문제 해결을 위해 상당한 인력과 시간이 투입됐다’ 순으로 나타났다. 이외에도 제품과 서비스가 악영향을 받아 손실 발생, 벌금 및 광범위한 감사 대응 등 여러 문제가 발생한 것으로 조사됐다.

▲Identity 관련 사이버 보안 공격의 결과[자료=에스케어]


보안 지식과 예산도 부족
이와 관련 사이버아크는 “C레벨의 Identity 보안에 대한 과도한 자신감은 큰 문제로 나타날 수 있다”며 “Identity 보안 강화 전략은 단순히 보안 도구 투자 뿐 아니라 그 이상의 의미다. 그러나 경영진은 보안 솔루션 투자만 늘리면 된다는 생각에만 머물러 있고, 보안 강화를 위한 그 이상의 의미가 무엇인지는 이해가 부족하다”고 지적했다. 또한, 숙련되지 않은 보안팀과 부족한 보안 전문 지식은 가장 경계해야 하는 두 가지 위험요소라고 지목했다.

가장 큰 문제점으로 사이버아크는 Identity 보안예산 확보의 어려움을 꼽으며, Identity 관련 도구 도입을 위한 예산 할당이 Identity 보안전략의 첫 번째 단계라고 제시했다. 이어 조직의 비즈니스 요구사항을 기반으로 통합된 도구를 통한 자동화와 지속적인 위협 탐지 및 대응체계 구축을 해야 한다고 강조했다.

기업, 평균 70개 이상의 보안 시스템 운영 ‘골머리’
‘IDC Future Scape: Worldwide Future of Trust 2023 Predictions’에 따르면 투자수익률(ROI) 없이 보안 시스템 도입에 부정적이던 CEO의 45%가 2025년 기점으로 보안 시스템의 투자 평가와 검증을 위해 보안 메트릭과 투자수익률 예상 평가 결과를 요구할 것이라고 예측했다. 이와 관련해 사이버아크는 현대 사이버 공격의 속도와 정교함을 고려할 때 기업의 이러한 움직임은 더욱 가속화될 것이라고 전망했다.

특히, 보안위협의 주요 원인으로 하이브리드 및 멀티 클라우드 환경에서 급격한 Identity 및 사용자 디바이스 증가, 그리고 소프트웨어 공급망의 취약한 Identity 보안이 지목되고 있다.

2023년 85%의 기업은 3개 이상의 퍼블릭 클라우드 서비스 사용을 예상하고, 57%는 클라우드 보안팀과 기존 온프레미스(On-Premise) 보안팀을 별도로 운영하고 있다.

Identity 보안 4가지 원칙으로 ‘통합 제어’
‘CyberArk 2022 Identity 보안 위협 환경 보고서’에 따르면 기업에서 평균 70개 이상의 보안 시스템을 운영 중이며, 효율적인 보안을 위해 최근 Identity 보안 4가지 원칙을 충족하는 ‘통합 제어’ 시스템 도입을 선호하고 있다.

△첫째, 사용자와 비사용자 및 디바이스에 대한 Identity관리, 권한 제어, 거버넌스, 인증 및 권한 부여 제공 △둘째, 기업의 모든 IT 자산을 보호하기 위한 포괄적인 보안 시스템 연동 및 IT 자산 연동 △셋째, 보안정책 및 컴플라이언스 준수를 위해 대량의 보안 이벤트 대응 자동화 △넷째, Identity 이상행위 탐지를 위한 Identity 정상행위 기준 확립 및 지속적인 보안 위협 대응이다.

언급된 Identity 보안 4가지 원칙에 부합하는 시스템 도입은 제로트러스트(Zero-Trust)의 출발점이며, 통합 Identity 보안 플랫폼 공급자를 선정해 단일 지점에서 Identity 관리, 액세스 관리, 권한관리를 효율적으로 하는 것이 매우 중요하다는 게 사이버아크 측의 설명이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)