한국EMC(대표 김경진)는 ‘RSA 사이버 보안 취약 지수(RSA Cybersecurity Poverty Index)’보고서를 발표했다. 자가 평가를 기반으로 한 이번 조사에서 전체 응답자 중 75%가 자신의 조직이 부족한 보안 역량으로 인해 크게 위험에 노출돼 있다고 답변했다. 자기 조직의 보안 역량을 비교적 높게 평가한 응답자는 18%에 그쳤으며, 최고 수준의 역량을 갖췄다고 답한 응답자는 7%에 불과했다.
사이버 보안의 주요 분야인 ‘인증(Identify)’, ‘보호(Protect)’, ‘탐지(Detect)’, ‘대응(Respond)’, ‘복구(recover)’에 대한 질문에서는 응답자 중 66%가 모든 부분에서 미흡한 수준이라고 평가했다. 이 중에서도 가장 부족한 부분은 최근 보안 전략의 핵심 요소로 떠오르는 탐지와 대응 부분이며, 반면 보호 부분은 상대적으로 가장 성숙한 것으로 나타났다. 이는 아직까지 조직의 보안 우선 순위가 보호, 즉 예방 정책에 초점이 맞춰져 있다는 것을 보여준다.
EMC, ‘RSA 사이버 보안 취약 지수’ 보고서 발표
탐지와 대응 부분 미흡, 조직의 보안 우선 순위가 예방에 그쳐
한국EMC(대표 김경진)는 ‘RSA 사이버 보안 취약 지수(RSA Cybersecurity Poverty Index)’보고서를 발표했다.
작년에 이어 두 번째로 발간된 이번 보고서는 EMC의 보안사업부문인 RSA가 전세계 IT담당자를 대상으로 진행한 설문 조사를 바탕으로, 사이버 보안의 핵심 분야인 조직 규모 및 산업군, 지역에 따른 보안 성숙도 및 현황을 다뤘다. 유럽중동아프리카 240명, 아태지역 200명, 북남미 438명, 총 81개국 878명이 이번 보고서를 위한 설문에 참여했다.
자가 평가를 기반으로 한 이번 조사에서 전체 응답자 중 75%가 자신의 조직이 부족한 보안 역량으로 인해 크게 위험에 노출돼 있다고 답변했다. 자기 조직의 보안 역량을 비교적 높게 평가한 응답자는 18%에 그쳤으며, 최고 수준의 역량을 갖췄다고 답한 응답자는 7%에 불과했다.
<EMC 'RSA 사이버 보안 취약 지수' 보고서>
사이버 보안의 주요 분야인 ‘인증(Identify)’, ‘보호(Protect)’, ‘탐지(Detect)’, ‘대응(Respond)’, ‘복구(recover)’에 대한 질문에서는 응답자 중 66%가 모든 부분에서 미흡한 수준이라고 평가했다. 이 중에서도 가장 부족한 부분은 최근 보안 전략의 핵심 요소로 떠오르는 탐지와 대응 부분이며, 반면 보호 부분은 상대적으로 가장 성숙한 것으로 나타났다. 이는 아직까지 조직의 보안 우선 순위가 보호, 즉 예방 정책에 초점이 맞춰져 있다는 것을 보여준다.
세부 역량면에서는 리스크 종류를 파악하고 조사 및 완화시킬 수 있는 역량이 가장 부족한 것으로 나타났다. 응답자 중 오직 24%의 응답자만이 관련해 성숙한 혹은 숙달된 수준의 역량을 보유했다고 응답했다. 조직이 리스크 요소들을 제대로 평가하지 못함에 따라, 보안 수준 향상을 위한 투자 또한 올바른 우선 순위에 따라 진행되고 있지 않을 가능성이 높다. 위협 감지 역량도 상대적으로 부족한 것으로 나타났다. 잠재적인 보안 이슈 감지를 위한 네트워크. 엔드포인트, 서버, 애플리케이션 모니터링 역량을 제대로 갖춘 기업은 28%에 불과했다. 반면 계정 및 접근 관리(IAM)부분은 비교적 높은 성숙도(37%)를 보였다.
응답자 67%가 최근 1년 내 보안 사고 경험, 산업별로는 정부 및 에너지 부문이 성숙도 낮아
기업 규모에 따른 사이버 보안 역량 수준의 차이도 큰 것으로 나타났다. 임직원 1만명 이상의 조직에 속한 응답자들은 33%가 조직의 보안 성숙도가 높거나 최고 수준이라고 평가했다. 이는 임직원 1천명에서 1만명 규모에서는 24%, 1,000명 미만 고용인 조직에 소속된 응답자 중 23%가 해당 수준인 것에 비해 10%가량 더 높은 수치다.
응답자의 67%는 최근 12개월 내에 사업에 부정적 영향을 끼칠만한 보안 사고가 있었다고 답했다. 이들 중 오직 24%만이 자신들의 보안전략이 성숙하다고 평가해, 조직들이 사고를 겪고도 제대로 된 보안 전략과 역량을 갖추지 못한 것으로 나타났다. 다만 보안사고를 많이 겪은 조직일수록 보안 수준이 개선됐다. 지난 12개월 동안 21건 이상의 보안사고를 겪은 조직은 보안 성숙도를 높게 평가한 답변이 10건 이하 사고를 겪은 조직보다 65% 높았다.
산업군별로는 항공우주 및 국방 산업의 보안 성숙도가 가장 높았다. 항공우주 및 국방 산업 종사자의 39%가 보안 성숙도를 높게 평가해 하이테크 산업(31%)을 앞섰다. 사이버 공격의 주 대상이 되는 금융 서비스는 26%에 그쳤으며, 정부 및 에너지산업은 가장 낮은 보안 성숙도(18%)를 보였다.
<EMC 'RSA 사이버 보안 취약 지수' 보고서>
한편, 지난 해와 비교했을 때 가장 눈에 띄는 변화로는 가장 성숙한 보안 역량을 가진 기업들이 4.9%에서 7.4%로 51% 증가했다는 점이다. 이 외에도 개별 역량 측면에서 ‘직원, 임원, 파트너에 보안 교육 및 훈련 수행’ 분야의 성숙도가 크게 향상돼, 보안 인식이 확산되고 있음을 보여줬다.
한국EMC 김경진 사장은 “이번 조사는 많은 기업들의 역량이 급증하는 사이버 위협에 대응하기에 아직 충분치 않다는 것을 보여준다”며, “보안 리스크에 대한 조사와 전략 수립으로 올바른 보안 투자 우선순위를 정하고, 특히 최근 이슈가 되고 있는 탐지와 대응 부분의 역량 향상에 집중함으로써 비즈니스 안정성을 높여야 할 것”이라고 말했다.
한편 이번 조사는 미국립표준기술연구소(NIST)의 ‘사이버 보안 프레임워크(Cybersecurity Framework, 이하 CSF)’를 기준으로 평가했다. 미국에서 중요 인프라의 리스크를 줄이기 위한 목적으로 개발된 CSF는 주요 사이버 상에 존재하는 리스크에 대한 관리 및 보안 역량을 평가하는 기준으로 활용되고 있다. CSF는 보안의 주요 기능 5가지를 인증(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(recover)로 규정한다.