대다수 기업들, 패치 모니터링과 기밀 데이터 보관 '낙제점'

CSO
대다수의 기업들에 기밀 데이터를 모니터링하는 강력한 시스템이나 성숙한 패치 관리 프로세스가 없는 것으로 조사됐다.



미국 시카고에 있는 보안업체인 트러스트웨이브가 시장조사 기업에 의뢰해 조사한 결과, 기밀 데이터를 전혀 모니터링하지 않거나 제어하지 않는다는 답변이 19%나 됐다. 응답자 63%는 이 데이터를 관리하는 프로세스가 성숙했다고 보기 어렵다고 밝혔다.

트러스트웨이브에서 정부공공 솔루션과 특별 조사를 담당하는 SVP인 필 스미스는 조사 결과에 대해 우려를 표했다. "회사를 운영하는데 쓰이는 중요한 데이터가 어디에 있는지 모른다면, 어떻게 그 데이터를 보호할 수 있겠는가?”라고 스미스는 지적했다.

이는 패치가 일관성 없이 이뤄지거나 추가 문제가 발생한 상태에서 행해짐을 의미한다.

"패치는 정기적이고 일상적으로 수행돼야 한다. 그런데 실제로는 그렇게 하는 기업들은 거의 없다"고 스미스는 말했다.

그 결과, 기업이 내외부 위협에 대해 무방비 상태에 놓이게 되며 주요 패치가 침입을 막지 못할 수 있다.

"해커가 네트워크를 어떻게 뚫고 들어오는지 우리는 수없이 많이 본다"고 그는 전했다. "이것은 식은 죽 먹기다. 그런 것들은 패치를 통해 쉽게 해결할 수 있는 알려진 취약점에서 악용 사례가 나타나면서 우리가 발견한 것들이다"라고 스미스는 덧붙였다.

트러스트웨이브의 ‘2014 보안 현황 조사(2014 State of Risk survey)’ 보고서는 미국과 50개국에서 일하는 약 500명의 기술 관리자, 네트워크 또는 시스템 관리자, CIO, CTO의 답변을 토대로 작성됐다.

내부 시스템의 취약점 검사에 대해서는 기업의 50%는 분기당 1회 이하라고 답했으며 60%는 써드파티로 호스팅된 주요 시스템에서도 분기당 1회 이하로 실시하고 있다고 말했다. 침투 테스트를 전혀 하지 않는다고 답한 기업도 18%나 됐다.

스미스를 가장 놀라게 한 조사 결과는 기업 보안 문제에 대해 고위급 경영진이 관여하는 수준이었다. 고위급 경영진이 전혀 관여하지 않는 기업은 9%였으며 제한적인 수준에서 이사회나 간부가 개입하는 기업은 45%로 집계됐다.

"이사회의 개입이 매년 늘어나는 것을 발견했지만 아직 만족할만한 수준은 아니다”라고 스미스는 지적했다. 이어서 그는 "이사회와 경영진이 동참해야 한다"라고 강조했다.

그가 제안한 한 가지는 기업의 이사회가 관여하는 수준의 보안 대응 훈련이다.

보고서에 따르면, 1년에 한 번 사고 대응 절차를 테스트하는 기업은 36%였으며 1년에 2번은 18%였고, 1년에 4번은 25%로 조사됐다.

이는 위기 상황에서 직원들이 어떻게 해야 하는지를 회사가 확실히 주입하도록 해주며 문제를 조기에 파악하게 해준다.

스미스는 "간부, 변호사, IT전문가들 모두가 동참할 때 여기서 논의되는 이야기 자체는 매우 흥미롭다"라고 밝혔다.

예를 들어, 기업이 이러한 테스트를 처음 실행할 경우 보통 벌어지는 일은 IT관계자가 지속적으로 불려가 간부들에게 현재 진행상황이 어떤지에 대해 보고하고 것이다.

이밖에 스미스가 놀란 또다른 결과는 ‘어떤 종류의 테스트도 하지 않는 기업도 21%나 됐다’는 점이라고 그는 덧붙였다. ciokr@idg.co.kr