Offcanvas

CSO / 보안

2018년 美 사이버범죄 현황, "보안 지출, 위험 모두 증가"

2018.11.08 Michael Nadeau  |  CSO
지난 해에는 크고 작은 조직들이 세상을 떠들썩하게 한 보안 침해 사건을 겪었다. 보안 침해 사건으로 재무 손실을 입었을 뿐 아니라 관련 조직과 보안 책임자의 명예도 실추되었다. 이에 따라 보안 조직이 일을 처리하는 방식의 여러 측면을 정비하는 새로운 프라이버시와 보안 규정이 추가됐다.


Credit: CSO

CSO의 새 설문조사(2018 U.S. State of Cybercrime survey)에 따르면, 이런 사건과 동향은 조직이 IT 보안을 보다 심각하게 받아들이도록 만들었다. 설문조사 결과는 미국 기업들이 직면한 위협의 성격과 범위에 대해서는 물론, 이들이 대응하는 방식에 대해서도 많은 정보를 제공한다.

이 2018년 미국 사이버범죄 현황 설문조사는 US시크릿 서비스와 카네기멜론 대학의 소프트웨어 엔지니어링 연구소 CERT의 협조를 받아 CSO가 매년 실시한다. 515명의 응답자 가운데, 34%는 IT 관리 분야에서 일하고, 20%는 보안 관리 분야에서 일하고, 14%는 비즈니스 관리 분야에서 일한다고 응답했으며, 나머지는 자문 등 기타에 속했다. 평균 기업 규모는 1만 874명이었고, 51%의 응답자가 중소기업에서 일한다고 응답했고, 49%는 대기업 수준의 조직에서 일했다.

보안 지출은 증가세
지난 해 설문조사와 비교할 때 눈에 띄는 변화는 평균 IT 보안 예산이다. 1,100만 달러에서 27%가 증가한 1,500만 달러였다. 이런 증가는 보안이 기업 경영자 사이에서 최우선 순위임을 시사한다. 1,500만 달러에는 물리적 보안이 포함되지 않았고, 2018년의 물리적 보안 지출은 평균 1,300만 달러였다.

15%의 응답자가 IT 보안 예산이 1,000만 달러 이상이라고 응답했다. 흥미롭게도, 37%가 IT 보안 예산이 25만 달러 미만이라고 답했다. 평균 지출이 1,500만 달러임을 고려하면 설문에 응한 일부 회사의 보안 지출이 1,000만 달러를 훨씬 상회함을 알 수 있다.

CISO, 보고 계통의 변화
CISO가 CEO에게 보고하는 경우가 늘고 있는 듯하지만, 설문조사 결과는 그 반대였다. 28%의 응답자만이 최고 보안 임원이 CEO에게 보고한다고 응답했다. 이는 지난 해 설문조사에 비해 7% 포인트가 하락한 수치다.

보고 계통의 가장 큰 변화는 CIO와 관련된다. 25%의 응답자가 최고 보안 임원이 CIO에게 보고한다고 응답하며, 2017년 설문조사에 비해 9% 포인트가 증가했다. 이사회와 CTO에게 보고하는 CISO 역시 각각 8%와 6%가 증가했다. 이는 지난 해의 6%와 3%에서 늘어난 수치다.

보안 임원이 누구에게 보고하는가에 상관 없이, 이들은 이사회와 더욱 자주 접촉한다. 38%의 응답자가 이사회에서 분기 보안 회의가 개최되고, 이는 2017년의 30%와 대조된다. 19%만이 보안에 관한 이사회 회의가 없다고 말했고, 이는 2017년의 29%에서 하락한 수치다.

진화하는 위협 환경
응답자 기업의 평균 보안 사건 횟수는 2017년의 148건으로부터 107건으로 계속 감소하는 추세다. 그러나 대기업과 중소기업간의 편차가 크다. 대기업은 196회의 보안 사건을 보고한 데 비해 중소기업은 24건에 불과했다. 이들 수치는 보안 사건을 어떻게 정의하느냐에 따라 낮아 보일 수 있다. 그리고 설문조사에서는 무엇이 보안 사건에 해당하는가를 응답자가 스스로 정하도록 했다.

보안 사건의 심각도를 더 잘 알 수 있는 지표는 개인 또는 감독기관으로의 통지 의무다. 2018년 설문조사에서 처음으로 이 질문을 응답자에게 제시했다. 24%의 대기업 응답자와 12%의 중소기업 응답자가 보안 침해 사건에 영향을 받은 개인들에게 통지해야 했다고 말했다. 23%의 대기업 응답자와 5%의 중소기업 응답자가 보안 침해 사건을 감독기관에게 통지해야 했다.


Credit: CSO

보안 사건으로 인한 평균 금액 피해는 2017년 38만 1,000달러에서 2018년 35만 3,000달러로 약간 감소했다. 여기에는 사건을 해결하는데 따른 제반 지출이 포함된다.

가장 놀라운 결과 가운데 하나는 네트워크 침입을 검출하는데 필요한 시간이 증가했다는 점이다. 2017년의 92일로부터 108.5일로 28%가 증가한 것이다. 보안 예산 및 관심의 증가를 고려하면 더 길어진 검출 시간은 해커의 행동을 식별하도록 배치된 메커니즘을 회피하는데 해커들이 더 능란해졌음을 시사한다.

우발적 사이버 공격과 표적 사이버 공격은 각각 38%와 62%로 2017년과 거의 차이가 없었다. 표적 공격에 따른 금전적 피해는 증가하고 있다. 전체 손실의 40%가 표적 공격으로 인한 것이었고, 27%의 응답자가 피해의 증가를 보고했다.

내부 대 외부 위협
해커에 의해 감행된 보안 사건은 3대1의 비율로 내부자 보안 사건을 상회한다. 해커를 가장 심각한 위협으로 생각하는 응답자가 내부자를 가장 심각한 위협으로 보는 응답자보다 3배가 더 많았다. 39%가 외부자 사이버범죄가 조직에 가장 큰 금전적 피해를 입혔다고 답했다.

내부자 위협에서의 가장 큰 우려는 기록 훼손이다. 61%의 응답자가 내부자 사건으로 인해 고객 기록이 훼손되었다고 말했고, 56%가 내부자에 의해 사업 비밀 및 지적 재산이 훼손되었다고 말했다. 응답자에 따르면 모든 내부자 사건의 36%가 비의도적이거나 우발적이었다.


Credit: CSO

이런 이유들 때문에 72%의 조직이 종업원의 거동을 감시하는데, 이는 2017년의 58%로부터 상승한 수치다. 가장 큰 우려는 종업원이 피싱 공격이나 여타 해커 사기에 속아 넘어가는 것이고(42%), 다음으로는 종업원이 공사 구분을 못하는 것, 불만을 가진 종업원(7%), 정책을 회피하는 종업원(7%) 순이었다.

최신 보안 위협에 조직이 대처하는 방법
회사가 위협에 대처하는 가장 일반적인 방법은 신기술을 도입하는 것이다(46%). 그 다음으로는 감사 및 평가를 실시하는 것이고(34%), 새로운 기법과 역량을 추가하는 것(32%) 순이었다. 응답자에 따르면 가장 효과적인 보안 기술은 방화벽이었고(86%), 그 다음으로는 스팸 필터링(80%), 접근 통제(78%), 강력한 인증(75%) 순이었다.


Credit: CSO

더욱 위력적일 수 있는 다른 선택지들은 인기가 덜했고, 사이버보안 시스템의 재설계(24%), 프로세스의 재설계(18%), 지식 공유(11%)를 포함했다. 긍정적인 발견 사실은 66%의 응답자가 자사 보안 프로그램의 효과를 평가하는 방법론이 배치되어 있다고 응답했다는 점이다. 다만 이를 1년에 1회 이상 이용하는 응답자는 32%에 불과했다.

비슷하게, 다수의 응답자(59%)가 협력업체의 사이버보안 실태를 평가한다. 그러나 이들 가운데 33%가 이를 1년에 1회 실행하거나, 빈도가 그보다 더 적었다.

보안 교육, 여전히 부적절
대다수 응답자(79%)가 위험에 대처할 전문성을 가졌다고 생각하지만, 대다수 조직은 종업원 및 경영진 대상의 보안 교육이 부족하다. 15%의 응답자만이 자신의 조직이 지속적인 보안 교육을 이행한다고 말했다. 보안 교육은 가장 효과적인 접근법으로 널리 인식되어 있다. 29%의 응답자가 1년에 불과 1회의 교육을 제공한다고 말했다.

다수의 응답자(55%)가 조직에서 교육이 가장 필요한 집단으로 최고 임원 집단(c-suite)을 꼽았다. 그 다음으로는 하급 직원과(43%), 흥미롭지만, IT부서(34%)가 뒤를 이었다.

이 설문에 응한 조직의 절반 이상(53%)이 피싱 공격의 피해를 입었고, 2018년의 교육은 많은 부분이 이의 방지에 집중되었다. 39%가 피싱 및 소셜 엔지니어링 행동 테스팅 및 교육을 주로 실시한 반면 37%는 보다 광범위한 보안 교육과 피싱 테스팅을 실시했다. editor@itworld.co.kr  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.