• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

투자 받기 힘든 보안, 실제 투자율도 낮은 편 2016.07.29

공격 경험은 80%, 투자 늘렸다는 기업은 절반 이하
사이버 무력증 혹은 사이버 피로감 빠른 속도로 번지는 듯

[시큐리티월드 문가용] 드디어 일반 기업들의 보안 민낯이 드러날 수 있을만한 자료가 공개되었다. 지난 2년 동안 공격을 당한 기업들이 80%나 되는데, 보안에 대한 투자를 늘린 곳은 절반도 되지 않다는 사실이 드러난 것이다. 이 조사를 실시한 건 KPMG라는 다국적 기업으로 이번 주 소비자 손실 바로미터(Consumer Loss Barometer)라는 보고서가 발표되었다. KPMG는 403명의 CIO, CISO, CTO, CIO를 조사한 것으로 밝혔다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
width=500
▲ 뭐가 보여야 투자를 하지

산업별로 보면 도소매업이 가장 많은 공격에 시달린 것으로 나타났다. 89%가 2년 동안 최소 한 번의 공격을 받은 것이다. 그 뒤는 자동차 제조산업(85%), 은행 및 기술 산업(76%)이 이었다. 투자의 측면에서, 보안에 투자를 늘렸다고 답한 건 은행들이 66%로 제일 높았고 기술 산업이 62%, 도소매업자들이 45%, 자동차 산업이 32%였다.

공격의 횟수가 올라가면 투자액도 올라갈 것 같은데, 결과는 그렇지 않았다. KPMG에서 사이버 보안 부분을 담당하고 있는 그렉 벨(Greg Bell)은 “C-레벨 임원진들이 점점 지쳐가는 것 같다”고 분석했다. “보통 사이버 피로감(cyber fatigue)이라는 용어를 사용하는데요, 한 18개월 전에 처음 등장한 말입니다. 사이버 보안이 중요하다는 말은 식상해지고, 그렇게 중요하다고 해도 나아지는 게 없으니까 무시하게 되는 거죠.”

이 역시 새로운 취약점이라면 취약점이라고 볼 수 있는 부분이라고 벨은 설명한다. “보안을 기업이 수행해야 할 또 하나의 일이나 기능으로 보기 때문입니다. 하지만 보안은 모든 활동의 저변에 깔려 있어야 할 개념입니다. 새로운 제품을 회사 차원에서 도입할 때나, 새로운 파트너사와 계약을 맺을 때나, 새로운 시장으로 진출할 때 알맞은 보안 문화 안에서 일들이 진행되어야 합니다. 물론 이런 면에서는 보안이 제 역할을 잘 못했다고도 볼 수 있습니다. 좀 더 사업이 진행되는 방향에 발을 맞출 수 있는 융통성이나 유연함이 보안에 필요합니다.”

이에 더해 벨은 한 보안 업체의 이야기를 예로 들었다. “CISO가 딜러들의 네트워크를 보호하기 위해 어마어마한 돈을 투자하고 있는 업체였습니다. 그런데 어느 날 같은 회사의 다른 임원진들과 이야기를 나눌 기회가 있었는데, 이제부터는 모바일 시스템을 도입하고 딜러들을 줄여가겠다고 하더군요. CISO가 사업 방향과 전혀 다른 곳에 돈을 붓고 있었던 것이죠. 이런 일들일 비일비재 합니다.”

자동차 산업에서의 변화도 눈에 띈다고 벨은 짚었다. “보안 전략이라는 개념이 굉장히 느리게 도입되고 있지요. 다른 산업에 비해서 말이죠. 또한 인포테인먼트(infotainment) 요소와 GPS, 자동 주행 기능 등의 발전이 소비자의 구매 행태를 바꾸고 있습니다. 해킹 소식이 하도 많이 들리니 아직 이렇게 최신식 기능을 갖춘 자동차를 사고 싶지 않아하거든요. 아마 이런 소비자들의 성향 때문에 자동차 산업이 보안을 아직도 그리 심각하게 생각하고 있지 않은 듯 합니다.”

실제로 이번 조사 결과 자동차 제조사들 중 절반 이상이 보안만을 담당하는 임원을 지정하지 않고 있었다고 한다. “CISO 없는 곳이 더 많습니다, 아직도. 이 역시 위 소비자들의 성향을 반영한 결과라고 봅니다. 소비자들이 돈을 쓰지 않는 곳에 자기들도 돈을 쓰기는 아깝겠죠.”

또 한 가지 문제는 새로운 보안 솔루션 도입이 단시간에 이루어지지 않는다는 것이다. “보안 전문가들이 회사에서 어렵게 새로 솔루션을 구매해도 된다는 허락을 받은 경우, 실제로 그걸 전체 시스템에 도입하려면 많은 시간이 걸립니다. 얼마나 오래 걸리냐면 보통 그보다 더 성능도 좋고 값도 싼 솔루션이 출시될 때까지도 실제 사용을 못할 때도 있을 정도입니다. 그러면 ‘이상한 데 돈을 쓴’ 사람이 되는 것이고, 이 사정을 회사에 이해시키기 위해 또 다른 불필요한 일들을 해야 합니다. 이러다보니 차라리 보안에 돈을 안 쓰고 마는 업체가 많이 있는 겁니다.”

하지만 가장 근본적인 건 투자한 만큼의 결과가 나오지 않는다는 것이다. “사실 기업체 임원진들도 어지간하면 보안에 적든 크든 투자를 해봤을 겁니다. 그런데 돈이 의외로 많이 나가더라는 것이죠. 게다가 들려오는 소식은 흉흉하기만 하고요. 보안이 위협자나 공격자 자체를 제거하는 게 아니라 방어하는 것이다 보니 어쩔 수 없기도 한 부분입니다. 보안이라는 것 자체가 투자를 확 끌어내기 힘들어요, 태생부터.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[글 시큐리티월드 국제부 문가용 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>