• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

모바일 보안, “위험한 건 알지만 대처법 모르는 게 문제” 2018.02.22

내부자 위협이 가장 두렵다는 기업들...정작 교육에는 소홀해
필요한 보안 정책 및 실천 사항, 기업마다 맞춤형으로 제공되어야

[보안뉴스 문가용 기자] ‘모바일 보안’보다 속도와 이윤을 우선으로 여기기 시작하면 조직 전체가 고통 받기 시작한다. 하지만 버라이즌(Verizon)이 최근 600명의 전문가들을 대상으로 조사한 결과 32%가 여전히 보안보다 속도와 이윤이 더 중요한 것으로 받아들여지고 있다고 답했다. 이 600명은 250명에서 1만명이 넘는 600개 조직 내에서 모바일 기기의 구매와 관리를 담당하는 사람들이다.

[이미지 = iclickart]


응답자의 27%는 지난 한 해 동안 보안 사고를 경험했으며, 이로 인해 데이터 손실이나 시스템 마비 현상까지 겪었다고 답했다. 물론 모바일 기기를 통한 사고를 말한다. 8%는 자신들이 그런 사고를 겪지 않았더라도 파트너사 중 한 곳에서 비슷한 사고가 있었을 것이라고 답하기도 했다. 보안의 가치가 후순위로 밀리면 밀릴수록 보안 사고의 가능성은 높아진다는 것에는 거의 모든 응답자가 동의했다.

버라이즌의 무선사업부 총 책임자인 저스틴 블레어(Justin Blair)는 “모바일 환경으로부터의 위협이 증가한다는 사실을 모르는 사람은 하나도 없다”며 “문제는, 실질적인 대처 방안이 없는 곳이 대부분이라는 것”이라고 지적한다. 인지의 문제가 아니라 행동과 실천의 문제라는 것이다.

버라이즌의 조사에 의하면 블레어가 말하는 대처 방안이란 가장 기초적인 것을 말한다. 절반도 안 되는 응답자(49%)가 “공공 와이파이 사용에 관한 정책이 존재한다”고 답했고, 47%는 민감한 정보는 암호화한다고 답했다. 디폴트 비밀번호를 바꾼다는 응답자는 40%에 그쳤고, 그나마 앱 다운로드 및 설치에 관한 사용자 권한에 관한 정책을 보유했다는 응답자가 59% 정도였다.

재미있는 건 내부자 위협에 대한 두려움이 가장 컸다는 것이다. 블레어는 “80% 가까운 응답자가 직원들이 가장 큰 위험요소라고 답했다”며 “기기를 손실하는 게 가장 두렵다고 말한 응답자가 58%라는 걸 생각했을 때, 내부자 위협이 기업체들에 있어 얼마나 큰 걱정거리인지 드러난다”고 설명한다.

또한 기업들이 가장 우려하는 건 민감한 정보(기밀, 금융 데이터, 개인정보 등)를 누군가 훔쳐가는 것이라고 한다. 모두 내부자가 쉽게 취득할 수 있는 것이기도 하며, 기본적인 보안 정책이 없다면 외부인도 쉽게 가져갈 수 있는 것이다.

그럼에도 대부분은 “직원들이 소유하고 있는 모바일 기기에 대해서는 거의 통제를 하고 있지 못하다”고 응답했다. 심지어 28%는 “(그렇게 회사가 통제를 제대로 할 수 없는) 개인 모바일 기기로 업무를 할 수 있도록 하고 있다”고 답했다. 통제가 가능한 기기로만 업무가 진행된다고 답한 응답자는 61%에 그쳤다.

보안 교육 및 훈련 역시 인기는 높으나 일정하게 유지되지는 않는 것으로 나타났다. 응답자의 대부분인 86%는 “직원들에 대한 훈련 및 교육 프로그램이 있다”고 답했지만, “새로운 직원이 들어오거나 새 장비가 도입될 때마다 교육을 시킨다”는 응답자는 59%였다. 내부 직원이 가장 걱정된다는 응답자들 중 35%는 보안 교육을 시키지 않는다고 답했다.

업무 환경에 사물인터넷을 도입한 기업은 60% 정도 되는 것으로 나타났다. 이들의 경우 데이터 손실보다 장비 사용 불가 시간이 길어지는 것이 더 큰 손해일 수 있다. 사물인터넷을 사용한다는 응답자들 중 79%는 “사물인터넷 장비 자체가 가장 큰 보안 위협”이라고 답했다. 블레어는 “사물인터넷 장비들의 통신은 기계 대 기계 통신이 거의 전부라 사람이 개입하지 않는다”며 “그래서 수상하다는 ‘느낌’을 갖기도 힘들다”고 짚었다.

블레어는 “모바일과 사물인터넷 장비와 관련된 보안 문제를 들여다보면 딱 한 가지로 귀결된다”고 말한다. “위험한 건 알겠는데, 조치는 어떻게 취해야 하는지 잘 모르고 있다는 것이죠. 위험하다, 위험하다, 이런 말만하지 이걸 해야 한다, 저걸 해야 한다는 걸 구체적으로 말해주는 사람이 없다는 겁니다. 회사와 조직마다 취해야 하는 행동들이 다 다를 수밖에 없는데, 이 부분이 좀 덜 다뤄지고 있는 것이죠. 아니면 알면서도 행동을 취할 예산이 부족하거나요.”

하지만 예산이 없어서 보안이 잘 안 되는 경우는 그리 많지 않다. 61%의 응답자가 1년 후에는 모바일 보안 예산이 올라갈 것으로 예상하고 있었다. 그대로 유지될 것이라고 예상한 응답자는 40% 미만이었다. 블레어 역시 “여태까지 예산이 문제였다고 하더라도, 곧 해결될 것”이라고 말한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>