2014.10.06

기고 | 보안 사고 느는데, 관련 예산 왜 줄었나?

George V. Hulme | CSO

PwC/CSO 글로벌 정보보안 현황 조사 결과, 탐지된 정보 유출과 관련 비용이 상승한 것으로 나타났다. 그렇다면, 정보보안 예산은 어떤가? 동반상승한 것 같지는 않다.



지난해 글로벌 정보보안 현황 조사(Global Information Security Survey)가 발표된 이후 최근 올해의 정보보안 상황 조사가 발표됐는데, 상황이 나아질 기미가 보이지 않는다. 오히려 우울할 정도다. 미국 대형 마트인 타깃과 홈디포를 강타한 지불카드 보안 위협은 그 규모가 실로 엄청났다. 피해자만 해도 수 억 명에 달했다. 데이터 위협은 또 어떠한가. 바람 잘 날 없다. 가장 최근만 해도 미국 샌드위치 체인인 지미 존스(Jimmy John’s)가 보안 틈새 알림을 발표했다. 지불카드만 위험에 노출된 게 아니다. 의료 서비스 기업인 커뮤니티 헬스 시스템즈(Community Health Systems Inc.)는 지난 여름 동안 450만 명의 환자 정보를 도난당했다고 밝혔다.

<CSO>의 보안 팀도 심각한 결과를 초래할 수 있는 소프트웨어 결함과 씨름해야 했다. 최근에는 배쉬버그(Bash) 또는 셸쇼크(Shellshock)로 알려진 GNU 원격 코드 실행 취약점으로 많은 기업들이 긴장해야 했다. 배쉬를 사용하는 앱이나 기기가 많기 때문에 셸쇼크 취약점은 클라이언트와 서버 간 오픈SSL 암호화 데이터 트래픽에서 발견되던 하트블리드보다 더 심각한 보안 위협으로 간주되기도 한다. 커뮤니티 헬스 시스템즈를 공격한 것은 하트블리드로 밝혀졌다.

점점 더 보안위협이 늘고 있는 가운데 CSO와 프라이스워터하우스쿠퍼스(PwC)가 공동으로 제 12회 연간 글로벌 정보보안 현황 조사 2015를 실시했다. 결과 중 일부는 예상했던 대로였지만 일부는 놀라운 것들도 있었다. 예를 들어, 이런 일련의 공격 및 고위험군 취약점들에도 장점이 있다면 기업 이사회에서 점점 더 IT보안에 많은 관심을 갖게 해주었다는 것이다. 이건 그다지 놀라운 사실은 아니다. 진짜 놀라운 것은 그런데도 올해 IT보안 지출이 4%가량 축소됐다는 점이다.



응답자들은 지난해보다 올해 보안 위협이 증가한 것 같다고 말했다. 설문에 참여한 9,700명 이상의 IT, 보안, 비즈니스 전문가들에 따르면, 올해 보안 위협과 관련된 사건은 4,280만 건으로 작년 대비 48% 증가한 수치다. 보고서 저자들에 따르면 지난 6년 간 감지된 연간 보안 위협 사건은 66%가량 증가했다고 한다.
 


이러한 보안 위협으로 야기되는 재정적 손실도 (대부분) 증가했고 회사의 규모에 따라 그 정도가 달랐다. 소규모 기업들의 경우 보안 관련 사건에 들어가는 비용이 37% 줄어들었다고 답했다. 중견 기업들의 경우 25% 가량의 증가했고, 대기업은 보안 관련 사건으로 인한 비용이 53% 가량 증가해 가장 큰 폭으로 올랐다. IT보안 시장 조사 기업인 시큐로시스(Securosis)의 애널리스트 마이크 로스먼은 “큰 기업일수록 데이터 보안 위협과 관련한 규정도 많고 비용도 많이 든다. 또 관리해야 할 기록도 많다. 이런 이유 때문에 기업마다 차이가 있는 것으로 보인다”고 분석했다.

 




2014.10.06

기고 | 보안 사고 느는데, 관련 예산 왜 줄었나?

George V. Hulme | CSO

PwC/CSO 글로벌 정보보안 현황 조사 결과, 탐지된 정보 유출과 관련 비용이 상승한 것으로 나타났다. 그렇다면, 정보보안 예산은 어떤가? 동반상승한 것 같지는 않다.



지난해 글로벌 정보보안 현황 조사(Global Information Security Survey)가 발표된 이후 최근 올해의 정보보안 상황 조사가 발표됐는데, 상황이 나아질 기미가 보이지 않는다. 오히려 우울할 정도다. 미국 대형 마트인 타깃과 홈디포를 강타한 지불카드 보안 위협은 그 규모가 실로 엄청났다. 피해자만 해도 수 억 명에 달했다. 데이터 위협은 또 어떠한가. 바람 잘 날 없다. 가장 최근만 해도 미국 샌드위치 체인인 지미 존스(Jimmy John’s)가 보안 틈새 알림을 발표했다. 지불카드만 위험에 노출된 게 아니다. 의료 서비스 기업인 커뮤니티 헬스 시스템즈(Community Health Systems Inc.)는 지난 여름 동안 450만 명의 환자 정보를 도난당했다고 밝혔다.

<CSO>의 보안 팀도 심각한 결과를 초래할 수 있는 소프트웨어 결함과 씨름해야 했다. 최근에는 배쉬버그(Bash) 또는 셸쇼크(Shellshock)로 알려진 GNU 원격 코드 실행 취약점으로 많은 기업들이 긴장해야 했다. 배쉬를 사용하는 앱이나 기기가 많기 때문에 셸쇼크 취약점은 클라이언트와 서버 간 오픈SSL 암호화 데이터 트래픽에서 발견되던 하트블리드보다 더 심각한 보안 위협으로 간주되기도 한다. 커뮤니티 헬스 시스템즈를 공격한 것은 하트블리드로 밝혀졌다.

점점 더 보안위협이 늘고 있는 가운데 CSO와 프라이스워터하우스쿠퍼스(PwC)가 공동으로 제 12회 연간 글로벌 정보보안 현황 조사 2015를 실시했다. 결과 중 일부는 예상했던 대로였지만 일부는 놀라운 것들도 있었다. 예를 들어, 이런 일련의 공격 및 고위험군 취약점들에도 장점이 있다면 기업 이사회에서 점점 더 IT보안에 많은 관심을 갖게 해주었다는 것이다. 이건 그다지 놀라운 사실은 아니다. 진짜 놀라운 것은 그런데도 올해 IT보안 지출이 4%가량 축소됐다는 점이다.



응답자들은 지난해보다 올해 보안 위협이 증가한 것 같다고 말했다. 설문에 참여한 9,700명 이상의 IT, 보안, 비즈니스 전문가들에 따르면, 올해 보안 위협과 관련된 사건은 4,280만 건으로 작년 대비 48% 증가한 수치다. 보고서 저자들에 따르면 지난 6년 간 감지된 연간 보안 위협 사건은 66%가량 증가했다고 한다.
 


이러한 보안 위협으로 야기되는 재정적 손실도 (대부분) 증가했고 회사의 규모에 따라 그 정도가 달랐다. 소규모 기업들의 경우 보안 관련 사건에 들어가는 비용이 37% 줄어들었다고 답했다. 중견 기업들의 경우 25% 가량의 증가했고, 대기업은 보안 관련 사건으로 인한 비용이 53% 가량 증가해 가장 큰 폭으로 올랐다. IT보안 시장 조사 기업인 시큐로시스(Securosis)의 애널리스트 마이크 로스먼은 “큰 기업일수록 데이터 보안 위협과 관련한 규정도 많고 비용도 많이 든다. 또 관리해야 할 기록도 많다. 이런 이유 때문에 기업마다 차이가 있는 것으로 보인다”고 분석했다.

 


X