• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

가상화 도입 고민중...기존 가상머신 보안엔 관심無 2014.09.24

IT 전문가 가상화 보안 전문성 부족 및 기존 가상머신 보안에 무관심


[보안뉴스 김지언] 기업의 민감한 데이터로 인해 기업 IT 담당자들이 가상화 도입을 고민하고 있다는 설문조사 결과가 발표됐다.


카스퍼스키랩(지사장 이창훈)은 3,900명의 전세계 IT 담당자를 대상으로 진행한 글로벌 설문 조사를 통해 금융 서비스와 헬스케어 부문의 IT 가상화 기술 도입이 보안으로 인해 지연되고 있다고 발표했다.


새로운 기술 트렌드와 관련해 금융 서비스의 IT 담당자 중 50%는 자사의 가상화 기술 도입 지연의 주요 방해 요인으로 보안 문제를 꼽았으며, 헬스케어 산업의 49%도 이에 동의했다. 절반에 이르는 금융 서비스와 헬스케어 부문의 응답자 비율은 비산업(non-industrial) 부문의 전세계 평균치인 40%와 비교해도 매우 높은 수치이며, 산업 부문은 43%를 기록했다.


금융 서비스와 헬스케어 산업은 많은 양의 매우 민감한 사용자 데이터를 관리하기 때문에 새로운 기술에 대한 보안이 매우 중요하다. 또한, 자사의 기업 데이터의 보호와 접근을 제어하는 엄격한 컴플라이언스 기준이 존재하며, 실제로 금융 서비스와 헬스케어 부문은 컴플라이언스 관련 항목에서도 가상화 기술 도입 지연에 각각 40%와 38%의 높은 응답률을 보였다. 비산업 부문의 평균 응답률은 27%였으며, 산업 부문은 31%로 나타났다.


이 같은 데이터는 잠재적인 컴플라이언스 문제에 관한 우려가 새로운 가상화 기술과 연관된 보안 문제로 연결될 수 있음을 이번 설문 조사를 통해 보여주고 있다.


이외에도 설문조사 결과 IT/소프트웨어, 금융 서비스, 비즈니스 서비스, 교육, 헬스케어, 소비자 서비스 등의 비산업 비즈니스 분야와 제조, 건설/엔지니어링, 정부/방위, 교통/물류 등의 산업 비즈니스 분야는 흥미롭게도 보안 문제로 인해 새로운 가상화 기술 도입을 망설이면서도 이미 보유하고 있는 가상머신의 보안에 관해서는 지나치게 무관심한 것으로 나타났다.


금융 서비스 산업에서 16%는 주요 IT 보안 이슈 중 하나로 가상화 인프라 보안을 선택했으며, 헬스케어의 경우 12%가 동의했다. 두 산업의 수치는 전체 산업 평균치인 14%와 비교했을 때 별 차이가 없는 것으로, 이는 ‘망가지지 않았으면 고치지 말라’라는 태도에서 기인한 것으로 짐작된다.


얼마 전 카스퍼스키랩은 IT 전문가 대다수가 가상화 보안에 대한 이해가 매우 부족하다는 내용을 발표한 바 있다. 설문 조사 결과 IT 전문가의 4분의 1에 달하는 수가 가상화 보안 옵션에 대해 아무런 지식이 없거나 적은 지식을 보유하고 있는 것으로 밝혀졌다. 기존 보안 인프라의 대부분은 기존 ‘에이전트 기반’ 보안을 통해 보호되고 있으며, 에이전트 기반 보안은 물리적 엔드포인트를 보호하는데 사용되는 보안 방법과 동일하나 가상머신에 적용될 때 성능 문제 및 보안 공백을 야기할 수 있다.


카스퍼스키랩에 따르면 컴플라이언스 중심의 금융 서비스와 헬스케어 부문의 IT 공급업체들은 자사의 네트워크에 새로운 가상 플랫폼를 추가하는 것에 가상화 전문 보안 조치가 필요하다고 우려하고 있지만, 이에 대해 잘 이해하고 있지는 않는 상황이다.


이같은 상황이 맞는다면 금융 서비스 및 헬스케어 분야의 IT 부서는 컴플라이언스 문제를 발생시키는 친숙하지 않은 보안 기술 및 기타 리스크 요인으로 인해 가상화 인프라가 자사의 네트워크에 가져올 수 있는 잠재적인 혜택을 누리지 못할 것이다. 별도의 에이전트 없이 보안을 제공할 수 있는 최신 가상화 보안 플랫폼은 실제로 가상 네트워크 관리 복잡성을 제거할 수 있으며, 전반적인 네트워크 성능을 향상시킬 수 있고, 최적화를 통해 컴플라이스 보안 요건을 충족시킬 수 있다.


카스퍼스키랩은 가상화 플랫폼에 적용 가능한 다양한 보안 방법과 관련된 자료를 지원하고 있으며, 기업 정보보호최고책임자가 자사의 네트워크에 최상의 가상화 플랫폼을 구축할 수 있도록 보안 및 법규 컴플라이언스 백서 및 기타 가이드를 제공하고 있다.


한편 새로운 기술 트렌드에 대한 산업별 반응의 전체 목록은 카스퍼스키랩의 2014 IT 보안 위험 보고서(2014 IT Security Risks summary report)를 통해 확인할 수 있다.

[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>