이 같은 해킹 현황은 보안전문가들의 사기 저하로 이어질 우려가 제기됐다. 대부분의 보안 전문가들은 그들이 속해있는 그룹으로 들어오는 사이버 공격 방어에 대해 자신감 없는 모습을 내비쳤기 때문이다. 사이버 공격 손해보험사인 사이버엣지(CyberEdge)가 진행한 설문조사 결과에 따르면 보안전문가의 52%정도가 1년 안에 자사에 해킹공격이 들어올 것이라고 예상한 것으로 드러났다. 이는 지난 2013년에 해당 질문에 대한 결과 39%였던 것과 비교하면 늘어난 수치다.

“보안환경은 계속 새로운 상황에 직면하고 있다. 예전에는 ‘만약 해킹이 된다면’이 문제였던 번면 이제는 ‘언제’ 해킹되느냐를 이야기하고 있다”라고 사이버엣지의 스티브 파이퍼(Steve Piper) CEO가 말했다. 그는 보안 마케팅과 서비스 제공 등 각종 보안 관련 분야에서 현재 활발한 활동을 하고 있다. 그런 그가 향후 보안시장에 대해 “앞으로 일 년 안에 보안전문가들 사이에서 또 다른 희생자가 나타날 것이다. 그렇게 피해자가 되는 전문가들의 수치는 늘어날 것”이라고 예상했다.

이렇게 해킹시대로 접어들고 보안전문가들의 입지가 좁아지는 상황에서 보안예산이 상승했다. 올해 62%의 보안전문가들은 보안예산이 상향조정됐다고 답했다. 지난해에 예산이 상승됐다고 답한 보안전문가 비중이 48%였던 것과 비교하면 일 년 새 14%가 올라간 것이다. 보안 예산이 20%의 기업이 16% 가량 오른 가운데 IT 예산의 경우 6~10%정도 상승한 것으로 나타났다.

그런데 정작 오른 예산은 엉뚱한 곳에 쓰이고 있다는 소리가 나왔다. IP Architects의 존 피론티(Jogn Pironti) 회장은 보안 예산 상승 주요요인으로 컴플라이언스를 꼽았다. “우리는 해커보다 회계 감사관이 더 무섭다”라고 말한 그는 오는 4월에 인터롭(Interop)에서 미래 보안과 위험 관리에 대해 발표할 예정이기도 하다. “오른 예산은 전부 컴플라이언스를 위해 사용되고 있다.” 눈가리고 아웅하기에 급급하다는 의미심장한 지적이다.

기업에서 개인이 보유한 스마트기기를 회사 업무에 활용하는, BYOD의 빈도는 높아지는데 해당 정책들은 여전히 그대로인 경우가 많은 것으로 나타났다. 통계를 보면 변하는 환경에도 기업의 30%는 BYOD정책에 변화가 없었고, 45%정도는 향후 2년 안에 정책을 보완할 예정이다. 그나마도 2013년 같은 항목에서 48%로 집계됐던 것보다도 낮아진 상태다. “사실 많이 변화가 됐을 것이라고 예상했지만 현실은 그대로인 곳이 많았다”라고 파이퍼 CEO는 말했다. “여기서 우리가 유추해볼 수 있는 것은 각 기업의 정보보호최고책임자인 CISO들이 BYOD정책에 대한 관리를 소홀히 하면서 해킹 공격이 진화했다는 것이다”

물론 BYOD정책을 수립하는 것은 그리 간단하지 않다. “이를 위해서는 먼저 균형을 잡아야 한다. 언제나 기기의 사용자가 기기를 사용하는 데에 있어서 최종 권한을 갖게 되기 때문이다. 정책과 규제 등이 얼마나 많은 지가 중요한 게 아니라 이를 기기와 조화를 잘 시키는 것이 중요하다”라고 IP Architect사의 피론티 회장이 설명했다. 이에 따라 좀 더 유연하고 입체적인 모바일 정책을 도입하려는 회사들이 있다고 덧붙였다. 가령 회사 어플리케이션과 관련 있는 민감한 어플리케이션을 사용할 때는 회사에서 지급하는 모바일 기기를 사용하게 하는 경우가 이런 예다.

기존의 보안 엔드포인트 제품들은 다수의 기업들에게 신뢰를 잃은 것으로 파악됐다. 조사 기업의 67%가 그들이 사용하고 있는 안티 멀웨어용 엔드포인트 제품들을 교체할 예정이거나 보안할 것이라고 답했다. 이는 지난 2013년에 56%였던 것과 비교했을 때 상승한 수치다. “그들의 3분의 2가 엔드포인트 방어막을 교체하거나 늘릴 계획을 갖고 있다는 것”이라고 파이퍼 CEO는 말했다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>