2015.03.27

'단 몇 초 만에 데이터 유출 발견' 美 기업 4%에 불과… 나머지는?

Maria Korolov | CSO
기업의 68%가 데이터 유출에 대비하고 있지만 75%가 사고가 한 번 발생한 후 이를 알기까지 짧게는 수 시간, 수 일, 심지어 수 주가 걸리는 것으로 조사됐다.


이미지 출처 : Thinkstock

이 조사는 오스터먼 리서치(Osterman Research)가 미국 캘리포니아에 있는 보안 업체인 프루프포인트(Proofpoint)의 의뢰를 받아 진행했으며, 오스터먼은 225개의 중견 및 대기업에게 데이터 유출과 데이터 손실 방지에 대해 어떤 자세를 취하고 어떤 프로세스를 정립했는지에 대해 질문했다.

조사에 응한 기업의 6%만이 데이터 유출에 대해 매우 잘 대비하고 있다고 답했으며 27%는 잘 대비한 편이라고 말했다. 35%는 준비하고 있다고 밝혔다. 또다른 18%는 조금 준비했다고 답했으며 나머지 14%는 잘 준비하지 않았거나 준비가 부족하거나 전혀 준비돼 있지 않다고 말했다.

하지만 실제로 사고가 났을 때 이를 수 초 이내에 탐지할 수 있다고 답한 기업은 4%에 불과했으며 20%는 탐지하는 데까지 수 분이 걸린다고 밝혔다.

탐지에 수 시간이 걸린다는 응답자는 37%였으며 심지어 수 일이 걸린다는 답변도 21%나 됐다. 나머지 17%는 수 주 이상이 걸리거나 얼마나 걸릴지 모른다고 답했다.

“사고 탐지에 이 정도 시간이 걸린다는 것은 제대로 대응하는 것도 아니고 데이터 유출을 막지도 못한다는 뜻이다”라고 프루프포인트에서 지능형 보안 및 거버넌스를 담당하는 부사장인 케빈 엡스타인은 지적했다. "그건 그냥 대응이 발생하고 있다는 것을 인지하는 정도다. 그리고 요즘 같은 세상에 데이터 유출이 얼마나 빠르게 확산되는지를 감안하면 이미 중요 정보들은 회사 밖으로 나가 버릴 수도 있다. 양동이에 구멍이 하나가 있으면 그 구멍으로 데이터가 빠져 나간다”라고 그는 설명했다.

그리고 최근 일어난 고급 정보 유출 사고들을 감안한다면, 기업들은 데이터 유출 사실을 확인하는데 걸리는 시간을 지나치게 낙관적으로 측정하는 것 같다고 엡스타인은 전했다. 그 이유 중 하나로 많은 기업들이 여전히 데이터 유출을 탐지하는데 수동 방법을 사용하기 때문이라고 덧붙였다.


‘사용하는 기술이 없음’부터 ‘광범위하게 기술을 사용함’까지를 1~7점으로 놓고 볼 때, 응답자의 80%는 자신들의 기술에 대해 4점 이상으로 생각했으며 68%는 수방 방법에 대해 4점 이하로 평가했다.

일단 한 번 위협이 감지된 다음에는 여전히 많은 기업들이 수동으로 위험을 완화시키는 데 크게 의존하는 있다고 그는 지적했다.

현재 사용중인 기술이 데이터 유출에 대응하는지에 대한 질문에서 기업의 76%는 4점 이상으로, 71%는 수동 방식에 대해 4점 이상으로 각각 평가했다.

"기업은 여전히 가만히 앉아서 경고등이 켜지면 분석하는데 의존하고 있다. 사고 소식이 이미 언론에 대서특필되면, 그 때는 아무것도 할 수 없게 된다”라고 엡스타인은 말했다. 그리고 놀랄 일도 아니라고 덧붙였다.

"시스템에서 하루에 3만 번의 경고를 보게 되는 애널리스트라면, 중요한 정보를 보관하고 관리하는 게 어렵다”라고 그는 지적했다. “소방관이 너무 적은데 화재 경보가 너무 많이 울리기 때문에 공격자들이 성공하는 것이다”라고 엡스타인은 말했다. 소방관이 잘못된 화재 경보에 대응하는데 시간을 낭비하고 있다고 그는 덧붙였다.

기업은 잘못된 대응, 그리고 직원이 자신의 노트북에 광고 툴바를 설치한 경우를 가려내고 공격자가 회사의 데이터를 얻고자 하는 인스턴스에 집중하기 위해 보안 위협 경고를 최우선으로 둘 수 있도록 하는 기술을 모색해야 한다고 그는 강조했다.

조사에 따르면, 기업은 보안 유출에 즉각적으로 대처하기 위해 일하도록 하기 위해 임직원 1,000명 당 IT 및 보안 관련 인력을 평균 4.3명 배치했으며 조만간 이 인력을 4.4명으로 늘릴 것으로 나타났다.

그러나 데이터 침해 완화를 위해 적절한 예산을 배정한 기업은 31%였으며 적절한 데이터 침해 보험에 가입한 기업은 45%로 조사됐다.

절반 이상의 기업들이 내년에 보안 예산을 늘릴 계획이며 나머지 기업들은 그대로 유지할 계획으로 나타났다. 데이터 침해 사고 완환 예산을 줄일 계획이라고 밝힌 기업은 1%에 불과했다. ciokr@idg.co.kr



2015.03.27

'단 몇 초 만에 데이터 유출 발견' 美 기업 4%에 불과… 나머지는?

Maria Korolov | CSO
기업의 68%가 데이터 유출에 대비하고 있지만 75%가 사고가 한 번 발생한 후 이를 알기까지 짧게는 수 시간, 수 일, 심지어 수 주가 걸리는 것으로 조사됐다.


이미지 출처 : Thinkstock

이 조사는 오스터먼 리서치(Osterman Research)가 미국 캘리포니아에 있는 보안 업체인 프루프포인트(Proofpoint)의 의뢰를 받아 진행했으며, 오스터먼은 225개의 중견 및 대기업에게 데이터 유출과 데이터 손실 방지에 대해 어떤 자세를 취하고 어떤 프로세스를 정립했는지에 대해 질문했다.

조사에 응한 기업의 6%만이 데이터 유출에 대해 매우 잘 대비하고 있다고 답했으며 27%는 잘 대비한 편이라고 말했다. 35%는 준비하고 있다고 밝혔다. 또다른 18%는 조금 준비했다고 답했으며 나머지 14%는 잘 준비하지 않았거나 준비가 부족하거나 전혀 준비돼 있지 않다고 말했다.

하지만 실제로 사고가 났을 때 이를 수 초 이내에 탐지할 수 있다고 답한 기업은 4%에 불과했으며 20%는 탐지하는 데까지 수 분이 걸린다고 밝혔다.

탐지에 수 시간이 걸린다는 응답자는 37%였으며 심지어 수 일이 걸린다는 답변도 21%나 됐다. 나머지 17%는 수 주 이상이 걸리거나 얼마나 걸릴지 모른다고 답했다.

“사고 탐지에 이 정도 시간이 걸린다는 것은 제대로 대응하는 것도 아니고 데이터 유출을 막지도 못한다는 뜻이다”라고 프루프포인트에서 지능형 보안 및 거버넌스를 담당하는 부사장인 케빈 엡스타인은 지적했다. "그건 그냥 대응이 발생하고 있다는 것을 인지하는 정도다. 그리고 요즘 같은 세상에 데이터 유출이 얼마나 빠르게 확산되는지를 감안하면 이미 중요 정보들은 회사 밖으로 나가 버릴 수도 있다. 양동이에 구멍이 하나가 있으면 그 구멍으로 데이터가 빠져 나간다”라고 그는 설명했다.

그리고 최근 일어난 고급 정보 유출 사고들을 감안한다면, 기업들은 데이터 유출 사실을 확인하는데 걸리는 시간을 지나치게 낙관적으로 측정하는 것 같다고 엡스타인은 전했다. 그 이유 중 하나로 많은 기업들이 여전히 데이터 유출을 탐지하는데 수동 방법을 사용하기 때문이라고 덧붙였다.


‘사용하는 기술이 없음’부터 ‘광범위하게 기술을 사용함’까지를 1~7점으로 놓고 볼 때, 응답자의 80%는 자신들의 기술에 대해 4점 이상으로 생각했으며 68%는 수방 방법에 대해 4점 이하로 평가했다.

일단 한 번 위협이 감지된 다음에는 여전히 많은 기업들이 수동으로 위험을 완화시키는 데 크게 의존하는 있다고 그는 지적했다.

현재 사용중인 기술이 데이터 유출에 대응하는지에 대한 질문에서 기업의 76%는 4점 이상으로, 71%는 수동 방식에 대해 4점 이상으로 각각 평가했다.

"기업은 여전히 가만히 앉아서 경고등이 켜지면 분석하는데 의존하고 있다. 사고 소식이 이미 언론에 대서특필되면, 그 때는 아무것도 할 수 없게 된다”라고 엡스타인은 말했다. 그리고 놀랄 일도 아니라고 덧붙였다.

"시스템에서 하루에 3만 번의 경고를 보게 되는 애널리스트라면, 중요한 정보를 보관하고 관리하는 게 어렵다”라고 그는 지적했다. “소방관이 너무 적은데 화재 경보가 너무 많이 울리기 때문에 공격자들이 성공하는 것이다”라고 엡스타인은 말했다. 소방관이 잘못된 화재 경보에 대응하는데 시간을 낭비하고 있다고 그는 덧붙였다.

기업은 잘못된 대응, 그리고 직원이 자신의 노트북에 광고 툴바를 설치한 경우를 가려내고 공격자가 회사의 데이터를 얻고자 하는 인스턴스에 집중하기 위해 보안 위협 경고를 최우선으로 둘 수 있도록 하는 기술을 모색해야 한다고 그는 강조했다.

조사에 따르면, 기업은 보안 유출에 즉각적으로 대처하기 위해 일하도록 하기 위해 임직원 1,000명 당 IT 및 보안 관련 인력을 평균 4.3명 배치했으며 조만간 이 인력을 4.4명으로 늘릴 것으로 나타났다.

그러나 데이터 침해 완화를 위해 적절한 예산을 배정한 기업은 31%였으며 적절한 데이터 침해 보험에 가입한 기업은 45%로 조사됐다.

절반 이상의 기업들이 내년에 보안 예산을 늘릴 계획이며 나머지 기업들은 그대로 유지할 계획으로 나타났다. 데이터 침해 사고 완환 예산을 줄일 계획이라고 밝힌 기업은 1%에 불과했다. ciokr@idg.co.kr

X