[보안뉴스 김정완] IDC Financial Insights가 최근 아·태지역 주요 도시에 걸쳐 수행한 설문조사 결과에 따르면, 금융서비스 산업의 정보 보안 전문가들 중 56%가 지난 12개월간 기업에서 발생했던 보안 위협 횟수를 알지 못하는 것으로 나타났다. 뿐만 아니라, 위협에 노출된 횟수를 알고 있다고 대답한 응답자 중에서도 37%는 구체적인 사건 내용을 알지 못하고 있는 것으로 나타났다.

‘Business Strategy: 2011 Security Survey - The State of Information Security Within the Asian Financial Services Industry’라는 제목의 이 연구보고서는 아태지역 금융 기관들의 주요 보안 정책에 대한 근본적인 이슈를 조명하고 있다.

IDC에서 Asia/Pacific Financial Advisory Service를 맡고 있는 리메이 추(Li-May Chew) 이사는 이번 설문 결과에 대해 “보안 위협에 대하여 모니터링이 제대로 이루어지지 않고 있음이 명백하게 드러난 것”이라며, 정보보안(IS) 공격을 발견하고 즉각적으로 대응할 수 있는 기회가 약화될 수 있음을 지적했다.

또한 리메이 추 이사는 “IT 보안상의 위기 관리에 대해 대부분의 금융기관들이 철저한 사전대책을 강구하고 있음에도 불구하고, 실제 구축 상황과 의도한 최상의 목표 사이, 그리고 IT 보안 관리 정책과 그 실행 사이에는 여전히 많은 격차가 있다. 이러한 차이를 보여주는 또다른 예로 보안 비용 감축에 대한 요구가 일어나고 있다는 점인데, 응답자의 18%가 그들의 취약 영역 중 일부분에 대한 보안을 해제할 수도 있다고 응답했다”고 덧붙였다.

특히 FLAP이 추 이사는 “이는 매우 우려되는 상황으로 IDC는 금융기관들이 이를 재고하기를 권유한다. 여러 이유가 있겠지만, 우리는 위협이 점차 고조되는 환경에서 살고 있으며, 기업들에게는 철저한 보안 상태 유지가 요구되고 있다. 요행을 바라거나 보안 문제가 발생하지 않을 것이라는 기대로 중요 영역에 대한 보안을 소홀이 해서는 안 될 것”이라고 제언했다.

또한 이번 보고서에서는 은행, 보험사 및 기타 금융기관들로 하여금 컴플라이언스 의무를 준수하고 정보보안에 투자하도록 하는 가장 결정적인 요소가 규제 당국의 처벌 규정인 것으로 조사됐다. 충분한 정보보호 구축을 어렵게 하는 장애 요소들도 존재하는 것으로 나타났는데, 예산부족(응답자 28.5%) 및 날로 정교해지는 위협증가 (22.0%), 고위 경영진의 지원부족(13.0%) 등이 꼽혔다.

비용에 대한 중요성은 여전한 가운데, 금융기관들은 비즈니스 전략 실행과 정보보안 통제 강화 간의 적절한 균형을 유지할 필요가 있음을 인식하고 있으며, 응답자의 63%는 정보보안에 대한 예산이 증가할 것으로 내다봤다.

한편 이번 보고서는 최고정보보안책임자 (CISO)의 변화하는 역할, 금융기관들의 정보 보안 의무, 주요 IT 보안 정책 등 중요한 이슈를 다루고 있다. 혁신적인 기술(모바일 기기, 클라우드 컴퓨팅, 소셜 네트워킹 등)에 수반되는 보안 위협, 그리고 부정 행위로 인해 반복되는 위협의 대처 방안 등도 조명한다. 또한 향후 12개월간 예상되는 IT 보안 예산의 변화에 대한 설문 결과를 포함하고 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>