한국을 비롯한 아시아태평양지역 11개 국가의 '보안운영(SecOps) 현황'은 어떨까요? 글로벌 보안기업인 포티넷이 IDC에 같은 질문을 의뢰했습니다. 인공지능(AI)의 자동화 공격 기술이 급속히 발전하면서 손쉽게 대량의 사이버공격이 가능해진 지금, 각국의 보안담당자들이 체감하는 주요 사이버위협에 관련한 조사 결과를 함께 보시죠. IDC가 한국과 호주, 홍콩, 인도, 인도네시아, 태국, 베트남, 말레이시아, 뉴질랜드 등 아태지역 11개 국가에서 다양한 업종에 종사하는 사이버보안 리더 550명에게 물었습니다.
먼저 가장 많이 발생한 다섯가지 사이버위협입니다. 가장 많이 발생하고 있는 사이버위협으로 피싱 공격(48.4%)이 꼽혔습니다. 그 다음으로는 데이터 유출/도난/데이터 관련 공격(46.2%)이며, 소프트웨어 및 패치 취약점(45.8%), 아이덴티티(신원) 도용(42.7%), 랜섬웨어(41.1%) 순으로 나타났죠.
그런데 이 순위가 모든 국가에서 일치하진 않습니다. 예를 들어, 한국과 뉴질랜드는 랜섬웨어가, 홍콩과 말레이시아는 데이터 유출/도난 등 관련 공격이, 인도네시아 필리핀은 피싱 공격이 많았던 것으로 나타났습니다. 호주는 피싱 공격과 소프트웨어 및 패치 취약점, 인도는 신원 도용, 싱가포르와 베트남은 소프트웨어 및 패치 취약점이 최대 보안위협으로 지목됐고요.
여기서 주목할 만한 점은, 각국의 보안운영(SecOps)팀이 지목한 보안위협 유형 순위에도 다소 차이가 있다는 것입니다. 전체적으로 상위 5대 위협 유형은 피싱 공격(50.9%)과 데이터 관련 공격(48.9%), 랜섬웨어(45.5%), 신원 도용(44.2%), 소프트웨어·패치 취약점(42.7%) 위협 순이었습니다. 그러나 국가별로는 한국, 뉴질랜드뿐 아니라 말레이시아와 필리핀의 보안운영팀까지 랜섬웨어를 최대 위협으로 지목했고, 호주, 홍콩, 싱가포르의 보안운영팀은 데이터 유출/도난/데이터 관련 공격이 최대 위협이라고 답했습니다.
한국의 보안운영팀은 최대 위협으로 랜섬웨어(52%)보다는 피싱 공격(62%)을 훨씬 더 많이 지목했습니다. 상위 5대 위협은 데이터 유출/도난/데이터 관련 공격(52%), 랜섬웨어(50.0%)로 비슷했고요. 두드러진 점은 공급망공격(44.0%)이 포함된 점입니다. 다른 아태지역 국가에 비해 한국에서 공급망공격 위협이 큰 것으로 체감하고 있는 것을 알 수 있는 대목입니다. 신원 도용과 소프트웨어·패치 취약점(42.0%)은 그 다음 순위였습니다. 전체적으로 피싱과 랜섬웨어를 가장 큰 위협으로 여기는 조직이 많은 상황입니다.
한국에서 랜섬웨어 공격이 2022년에 비해 2023년에 2배 이상 증가했다고 응답한 기업은 62%에 달했습니다. 랜섬웨어 공격은 전 세계적으로도 두 배 증가했습니다. 주요 공격 벡터는 피싱과 멀웨어, 소셜 엔지니어링 공격, 내부자 위협, 제로데이 익스플로잇 등이 있었고요. 응답자의 절반 이상(54%)이 원격 근무로 인해 내부자 위협 사고가 증가했다고 답했습니다. 내부자 위협 사건이 급증한 원인으로는 불충분한 교육, 직원 관리 부족, 부적절한 커뮤니케이션을 꼽았습니다. 사이버 보안에서 인적 요소를 해결해야 한다는 점을 시사하는 부분입니다.
또 하나 주목할 부분은 부족한 보안 자원과 산적한 보안과제입니다. 원격근무를 병행하는 하이브리드 업무와 클라우드 도입 확대, AI와 엣지 컴퓨팅, 정보기술(IT)과 운영기술(OT) 융합 등 변화하는 환경과 새로운 기술 도입은 조직이 보안 위협에 취약해지는 데 영향을 미칠 수 있습니다.
그러나 보안팀을 위한 전용 IT 자원을 보유한 국내 기업은 34%에 불과했습니다. 66%는 전담하는 자원이 없다는 얘기로, 보안 조치를 강화하기 위해 기업들이 해결해야 할 과제가 많다는 점을 보여줍니다. 실제로 대부분의 보안 리더(98%)는 팀원의 기술 수준을 유지하기 어려울 것이라고 우려하고 있었습니다. 보안 분석을 위해 가장 필요한 리소스로는 자동화 역량을 꼽았고요.
조사에 참여한 국내 기업의 44%는 위협 차단에 대한 준비가 부족한 것으로 진단하고 있습니다. 놀랍게도 조직 4곳 가운데 3곳은 정기적인 리스크 평가를 수행하지 않고 있다고 했는데요. 사이버위협에 효과적으로 대응하고 적시에 위협을 탐지하기 위해서는 조직의 사이버보안 역량 강화가 시급한 상황입니다.
리소스는 부족하고, 위협은 많고요. 그렇다보니 보안운영팀의 경보 피로도와 업무량 가중은 심각해 보이는 수준입니다. 실제로 한국 기업의 절반 이상은 하루 평균 221건의 인시던트를 경험하고 있다고 답했습니다. 다섯 곳 가운데 두 곳은 매일 500건 이상의 인시던트를 처리하는 등 경보 피로가 높은 것으로 나타났습니다. 가장 많은 경보는 의심스러운 이메일(피싱)과 멀웨어 또는 바이러스 탐지 관련 경보였는데요. 의심스러운 사용자 행동, 계정 잠금, 여러 번의 로그인 시도 실패, 비정상적인 네트워크 트래픽도 경보 피로를 유발하는 것으로 나타났습니다.
위협을 줄이고 보안운영팀의 피로를 줄이기 위해서는 어떤 방법이 필요할까요? 조사 대상 기업들은 사이버 위협을 신속하고 효율적으로 탐지하고 대응하는데 있어 자동화가 매우 중요한 역할을 한다는 점을 인식하고 있었습니다. 현재 많은(78%) 기업들이 보안운영에 자동화 및 오케스트레이션 도구를 도입하고 있는데요. 응답 기업의 95%는 자동화를 통해 인시던트 탐지 시간이 25% 이상 개선되는 등 생산성이 크게 향상됐다고 답했습니다. 그럼에도 불구하고 아직까지 기업들은 자동화와 오케스트레이션 기술의 잠재력을 완전히 활용하지 못하고 있는 것으로 나타났습니다. 기업들은 스트리밍 대응 분류, 인시던트 격리, 복구 업데이트, 복원, 위협 억제 등의 영역을 개선해야 한다는 분석이 나왔습니다.
한국 기업들도 자동화 프로세스 최적화를 적극 추진하고 있는 모습입니다. 향후 12개월 이내에 자동화 및 오케스트레이션 도구를 도입할 의향이 있다고 답한 국내 기업이 64%에 달했습니다. 기업들은 자동화 도구를 전략적으로 활용해 대응 분류를 간소화하고, 인시던트 억제를 가속화하며, 복구 시간을 최소화하는 데 집중하고 있습니다. 자동화 도입으로 기대하는 효과로 국내 기업의 85%가 더욱 빠른 위협 탐지를, 57%가 자동화를 통해 전반적인 위협 탐지 기능을 향상시키고자 한다고 답한 것은 눈 여겨볼 부분입니다.
이번 조사를 의뢰한 포티넷은 “전체적인 자동화를 강조한다는 것은 인텔리전스 최적화와 자동화된 대응을 통합해 보안운영에 포괄적으로 접근한다는 것을 의미한다.”고 의의를 밝혔습니다.
콘텐츠 제공 : 바이라인네트워크(byline.network)
