사이버 공격 있은 후에도 정책과 전략에 변화 주지 않는 곳 46%
정기적인 침투 테스트 실시하는 곳도 얼마 되지 않아

[보안뉴스 문가용 기자] 미국의 전 대통령인 조지 부시는 한 연설에서 이런 말을 했었다. “테네시에는 예전부터 전해져오던 말이 하나 있습니다. 어쩌면 텍사스였던 것 같기도 하고요. 아무튼 그 말이 뭐냐면, ‘한 번 바보 취급하면, 망신을 준다. 그리고 두 번 바보 취급당하진 않는다’입니다.” 실수를 통해 배운다는 것이다.


그러나 실수를 통해 배운다는 게 IT 전문가들 사이에서는 잘 통하지 않는 말이라는 것이 드러났다. 텍사스에 살든 그렇지 않든 말이다. 최근 사이버 보안 전문 업체 사이버아크(CyberArk)가 실시한 설문에서 약 46%의 응답자들이 사이버 공격을 겪은 후에도 사이버 보안 전략에 별다른 변화를 주지 않는다고 답했다.

또한 89%의 응답자는 IT 인프라와 중요한 데이터가 완전히 보호되지 않고 있다고도 답했다. 이는 관리자급 권한을 가진 계정들과 크리덴셜이 충분히 보호받지 못하고 있다는 뜻이라고 한다. 실제로 같은 설문에서 49%의 기업들이 클라우드 계정 보안 전략을 제대로 갖추고 있지 않다고 답하기도 했다. 침투 테스트를 정기적으로 실시하는 기업도 얼마 되지 않았다.

사이버 보안과 관련해 결정권을 가진 자들 중 8%만이 레드팀, 블루팀 훈련을 정기적으로 실시한다고 밝혔다. IT 보안 사고 및 정보 유출을 사전에 방지하는 데 도움이 된 직원에 포상을 하는 조직은 44%였다. 누군가 막아주길 바라긴 하지만 조직적인 훈련을 실천하지는 않는다는 뜻이다.

그렇기 때문에 조직들은 생각보다 많은 보안 구멍들을 가지고 있는 것으로 나타나기도 했다. 이는 데브옵스와 같은 개발 문화를 정착시킬 때, 보안을 아예 기초부터 마련해야 한다는 뜻이 된다고 사이버아크는 설명한다. “이번 설문으로 알 수 있는 건, 보안에 관한 인식이 전반적으로 낮다는 것이며, 이 때문에 조직이 갖게 된 리스크가 매우 크다는 겁니다.”

사이버아크는 “소프트웨어 개발 과정에 중요 정보 및 기밀 보호나 특수한 계정을 지킨다는 보안 개념과 기술이 스며들어야만 성공할 수 있다”고 주장한다. “개발과 생산 과정에 맞춘 보안 툴과 정책이 필요합니다. 개발에 사용되는 도구나 정책과 잘 어울리는 것들이어야 하죠. 오로지 보안만을 위한 보안 툴이나 정책은 방해가 됩니다.”

또한 해당 보고서에 의하면 모든 보안 전문가들과 데브옵스 전문가들이 “모든 권한 계정의 현황과 기밀 정보의 위치를 파악하는 데 실패했다”고 한다. 73%의 응답자는 “권한 계정 보호 솔루션이 없다”고 답하기도 했다.

해당 보고서는 여기(https://lp.cyberark.com/rs/316-CZP-275/images/ig-threat-survey-inertia_-2-16-2018-final-en.pdf)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>