에스에스앤씨, ‘2023 Forcepoint 보안전망’ 설문 결과 발표
북미 지역 340명 이상 사이버 보안 전문가 대상 설문
‘통합 플랫폼’, 향후 10년 동안 가장 효과적인 보안 접근법이라는데 44% 동의

[보안뉴스 김영명 기자] 기업은 높아져만 가는 사이버 위협 수준, 새로운 공격 벡터, 하이브리드 작업 환경 및 숙련된 사이버 보안 전문가의 부족 현상이 지속되면서 올해도 심각한 사이버 보안 문제를 겪고 있다.


에스에스앤씨는 최근 ‘2023 Forcepoint 보안전망’ 설문 조사 결과 보고서를 발표했다. 이번 2023년 보안 상태 보고서는 북미 지역의 340명 이상의 사이버 보안 전문가를 대상으로 했다. 보고서에는 △사이버 보안팀이 직면한 주요 과제 △사이버 문제를 해결하는 방법 △조직에서 우선순위를 지정하는 보안 기술 등을 담았다.

이번 보고서의 핵심 내용에서 기업의 84%는 ‘사이버 보안 정책 관리가 더 어려워졌다’고 생각하고 있었다. 주요 이유 중 하나는 보안 및 규정 준수의 복잡성을 증가시키는 정책 확산이다. 기업의 84%는 더 많은 보안 도구가 추가되면서 보안 경고가 점점 더 부담스러워지고 있다고 인삭하고 있다. 이로 인해 도구와 대시보드를 통합해 단순성을 도입하고 제어 및 가시성을 높이려는 욕구가 더해지는 상황이다.

전체의 절반에 가까운 44%의 기업은 통합 플랫폼이 향후 10년 동안 가장 효과적인 보안 접근 방식이 될 것이라고 믿었다. 기업이 제로 트러스트를 채택한 후 얻은 상위 세 가지 이점은 △안전한 사용자 액세스(35%) △단순화된 보안 제어(19%) △맬웨어 방지(15%)다. 또한, 기업 3곳 중 1곳(33%)은 간소화된 보안 기능이 SASE(Secure Access Service Edge)의 가장 큰 이점이라고 생각하고 있었다.

먼저 ‘보안 정책 관리’에서 기업의 84%는 전체 사이버 보안 스택에서 사이버 보안 정책을 관리하는 것이 더 어려워졌다고 응답했다. 주요 이유 중 하나는 보안 및 규정 준수의 복잡성을 증가시키는 정책 확산이다. 회사 4곳 중 약 1곳(26%)이 웹, 퍼블릭 및 프라이빗 클라우드에서 20개 이상의 보안 정책을 처리하고 있다.

세부 내용으로 “지난 몇 년간 조직의 경험을 바탕으로 전체 사이버 보안 스택에서 정책을 관리하는 것이 더 어려워졌다고 생각하십니까?”라는 질문에는 △84%가 ‘그렇다’고 △16%가 ‘아니다’고 응답했다.

이어 “프라이빗 및 퍼블릭 클라우드 앱과 웹의 데이터에 대한 액세스를 보호하고 데이터를 보호하기 위한 보안 정책이 조직 내 몇 개 있습니까?”라는 질문에는 △29%가 ‘0~5개’ △34%가 ‘6~12개’ △11%가 ‘13~19개’ △26% 이상이 ‘20개 이상’이라고 응답했다.

두 번째로 ‘보안 통합과 가시성’에서 가시성 부족은 사이버 보안 분야의 영원한 숙제가 되고 있다. 종종 서로 통합되지 않는 도구의 확산으로 인해 더욱 악화돼 보안 문제를 한눈에 파악하기가 어렵다는 것이다. 기업의 87%는 통합 부족으로 인해 필요한 보안 가시성을 확보할 수 없다고 말하고 있다.

세부 내용으로 “지난 몇 년간 귀사의 경험을 바탕으로 모든 보안 도구가 서로 완벽하게 통합되지 않아 잠재적인 보안 문제를 완전히 파악하기 어렵다는 것에 동의하십니까?”라는 질문에는 △87%가 ‘동의한다’ △13%는 ‘동의하지 않는다’고 답했다.

오탐으로 인한 경고 알람의 피로도는 사이버 보안 팀에게 실질적인 문제가 되고 있다. 추가 보안 도구는 이 문제를 더 복잡하게 만들어 더 많은 알림과 대시보드를 조합에 더하고 있다. 위의 설문 결과는 전체 84%의 사이버 보안 전문가들에게 단순성을 도입하고 제어 및 가시성을 높이기 위한 도구와 대시보드를 통합하려는 필요성을 보여준다.

세부 내용으로 “수신하는 보안 경고의 수는 사용하는 보안 도구의 수에 따라 더 늘어난다고 생각하나요?”라는 질문에는 △84%가 ‘그렇다’고 △16%는 ‘그렇지 않다’고 응답했다.

세 번째로 ‘제도적 지식과 인력’ 분야에서 최근 몇 년 동안 크게 증가한 이직률은 이미 보안 인력이 부족한 조직에 부정적인 영향을 미쳤다. 전체 기업의 절반 이상인 56%는 보안 담당 직원의 이직이 제도적 지식의 고갈로 인해 계획된 보안 통합 및 마이그레이션에 차질을 빚었다고 생각하고 있다.

세부 내용으로 “보안 직원 이직률이 제도적 지식 부족이나 신입 직원의 기술 향상 필요성으로 인해 계획된 보안 통합 또는 마이그레이션에 중대한 영향을 미쳤습니까?”라는 질문에는 △56%가 ‘그렇다’라고 △44%는 ‘그렇지 않다’라고 대답했다.

네 번째로 ‘동종업계 최고 VS 플랫폼’ 분야에서 전체 기업의 44%는 공급업체 통합 이니셔티브가 추진력을 얻으면서 향후 10년 동안 통합 플랫폼이 보안에 대한 가장 효과적인 접근 방식이 될 것이라고 답했다.

반면에 ‘동종업계 최고’의 접근 방식은 특히 숙련된 보안 전문가가 부족하고 IT 환경에 대한 더 나은 제어 및 가시성이 필요한 경우 복잡성과 SOC 워크로드를 증가시키고 있다.

이번 설문에서 “동종업계 최고 제품이나 통합 플랫폼 중 어떤 전략이 향후 10년 동안 가장 효과적인 보안 접근 방식이 될 것이라고 생각하십니까?”라는 질문에는 △44%가 ‘통합 플랫폼’을 △31%가 ‘동종업계 최고’를 △25%가 ‘잘 모르겠다’라고 응답했다.

다섯 번째로 ‘제로 트러스트 채택’ 분야에서 전 세계 사이버 보안 전문가들에게 모든 사용자가 애플리케이션 및 데이터에 대한 액세스 권한을 부여받기 전 인증, 권한 부여 및 지속적 검증을 요구하는 보안 프레임워크인 제로 트러스트 채택에 대해 질문했다.

“조직에서 제로 트러스트 요소를 도입했거나 도입할 계획입니까?”라는 설문 내용에서 응답자의 △76%는 “도입할 계획이다”라고 △24%는 “도입 계획이 없다”고 답변했다.

여섯 번째로 ‘제로 트러스트 도입 이점’ 분야에서 사이버 보안 전문가들은 제로 트러스트의 다양한 주요 이점을 밝혔다. “제로 트러스트를 통해 얻은 주요 이점은 무엇입니까?”라는 질문에서 응답자의 △35%는 ‘사용자 액세스 보안’을 △19%는 ‘보안 통제의 단순화’를 △15%는 ‘멀웨어 방지’를 △13%는 ‘컴플라이언스’를 응답했으며, △4%는 ‘아무런 혜택이 없다’고 응답했다.

일곱 번째로 ‘제로 트러스트와 사이버 위협’에서 제로 트러스트 활용을 통해 기업이 직면한 다양한 보안 위협을 해결하는 능력이 무엇인지 살펴봤다. “제로 트러스트가 제거할 수 있는 잠재력이 있다고 생각하는 위협은 무엇입니까?(복수응답)”라는 질문에서 △69%는 ‘손상된 액세스’를 △56%는 ‘내부자 위협’을 △53%는 ‘데이터 도용’을 응답했으며, △47%는 ‘사이버 스파이’ △44%는 ‘랜섬웨어’ △38%는 ‘멀웨어 공격’을 위협이라고 생각했다.

여덟 번째로 사이버 보안 전문가들에게 ‘SASE(Secure Access Service Edge) 채택 여부와 도입 이점’에 대해 물었다. 먼저 “조직에서 SASE 요소를 채택했거나 채택할 계획입니까?”라는 질문에는 △51%가 ‘그렇다’고 △49%는 ‘아니다’라고 응답했다. 이어서 “기업이 SASE를 배포해 얻은 이점은 무엇입니까?”라는 질문에는 △33%가 ‘간소화된 보안 기능’을 △18%가 ‘위협에 대한 더 나은 가시성’을 응답했다. 이밖에도 △7%는 ‘관리해야 할 정책 감소’를 △4%는 ‘비용 절감’을 답변했다.

아홉 번째로 ‘보안에서의 머신러닝’ 관련해서는 사이버 보안 전문가를 대상으로 소속된 기업에서 데이터 보안 정책을 알리기 위해 사용자 행동의 통찰력을 얻기 위한 머신러닝을 활용하고 있는지 여부를 물었다.

“귀사는 데이터 보안 정책에 사용자 행동에 대한 인사이트를 적용하기 위해 머신러닝을 사용 중이거나 사용할 계획입니까?”라는 질문에 대해 △67%는 ‘사용할 계획이다’ △33%는 ‘사용할 계획이 없다’고 응답했다.

이번 <2023년 보안 상태 보고서>에 대한 설문조사는 지난해 9월 북미 지역의 사이버 보안 전문가 340명을 대상으로 진행한 설문조사를 기반으로 했다. 응답자 분류는 △매니저 29% △스페셜리스트 27% △고위 경영진 24% △디렉터·부서장 16% △부사장 4% 등이었다.

응답자의 회사 규모는 △1~99명 33% △100~249명 11% △250~999명 13% △1,000~4,999명 15% △5,000명 이상 28%로 분석됐다. 산업군으로는 △파이낸스·은행 22% △기술기업 20% △서비스업 15% △제조업 9% △정부기관 9% △교육업 9% △그외 16% 등이었다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>