데이터 사고의 건당 피해액이 갈수록 높아지고 있다. 그만큼 데이터는 귀해지는데, 이를 보호할 사람과 기술이 부족해지고 있기 때문이다. 그 중에서도 가장 부족한 건 가시성이다. 적은 체계적으로 움직이는데, 방어자는 눈 감고 허공에 막대기만 휘두르고 있다.

[보안뉴스 문가용 기자] 데이터 손실로 인한 피해를 줄이고자 많은 기업과 기관들이 애를 쓰고 있다. 하지만 사이버 보안 사건당 피해액은 매년 늘어나고 있으며, 올해에는 건당 106만 달러로까지 집계되고 있는 상황이다. 인력난 등으로 방어 체계를 확립하는 데 있어 획기적인 향상이 있을 것으로 예상하기 힘든 지금 상황 때문에 건당 피해액은 앞으로 더 증가할 것으로 보인다고 15개국 14개 산업 내 1000명의 IT 분야 결정권자들이 델테크놀로지스(Dell Technologies)에 답했다. 


응답자들의 절반 이상인 67%는 “현재 보유하고 있는 데이터 보호 장치들이 다가올 멀웨어와 랜섬웨어의 공격을 방어하기에 충분하다는 자신감이 없다”고 밝혔다. 63%는 “파괴적인 사이버 공격이 발생한 상황에서 기업 운영에 반드시 필요한 데이터를 온전히 복구할 자신이 없다”고 답하기도 했다. 이는 단순히 느낌만의 문제가 아니다. 왜냐하면 48%의 응답자가 지난 12개월 동안 사이버 공격을 최소한 한 번 당해 데이터에 접근할 수 없는 상황을 겪어야 했다고 답했기 때문이다. 

델테크놀로지스의 수석 컨설턴트인 콤 키건(Colm Keegan)은 “이러한 사고의 비율은 2021년에 비해 23% 늘어난 것”이라며 “앞으로도 이런 종류의 사이버 보안 사고는 꾸준히 증가할 것”이라고 예측한다. “네트워크는 갈수록 분산되고 있고, 핵심 데이터들도 클라우드를 통해 여러 곳에 저장되어 있는 게 지금 대부분 조직들의 상황입니다. IT 관리 팀이 단독으로 데이터를 보호하기가 기하급수적으로 어려워지는 것이죠. 그러니 사건 하나 일어날 때마다 더 큰 일들이 일어나는 것입니다.”

실제로 데이터 보호라는 측면에 있어서 기업들은 점점 뒤쳐지고 있다. 예를 들어 이번 조사를 통해 제로트러스트의 도입을 계획하고 있다고 밝힌 기업은 91%였는데 실제 도입한 곳은 12%에 그친 것으로 나타났다. 69%의 응답자는 랜섬웨어 공격에 대한 대비책인 데이터 백업조차 제대로 하지 않고 있다고 답하기도 했다. 

데이터 보호 전략
데이터 보호가 잘 안 되는 가장 근본적인 이유 중 하나는 데이터에 대한 가시성 확보가 잘 되지 않는다는 것이다. 어떤 데이터가 어떻게, 어떤 상태로 저장되어 있는지 미처 다 파악하지 못한 상태에서 클라우드로 이동시켜 빠르게 주고받고 처리하고 있으니 이 가시성 부족 문제는 갈수록 악화되는 중이다. 게다가 클라우드 네이티브 앱들과 컨테이너라는 것들도 등장했으니 데이터에 대해 제대로 파악한다는 게 잘 될 리가 없다.

“응답자의 72%가 개발자들이 지금 클라우드에서 무슨 일을 하고 있는지 알 수가 없다고 답했습니다. 이게 말이 72%지, 사실상 클라우드가 IT 결정권자들에게는 사각지대라는 뜻입니다.” 키건의 설명이다. 보안 업체 시메트리시스템즈(Symmetry Systems)의 데이터 보안 전도자인 클로드 맨디(Claude Mandy) 역시 “가시성 문제가 맞고, 여기서부터 해결이 논의되어야 한다”고 피력한다. “데이터에 관해서는 뭐가 어떻게 돌아가는지 기업들이 전혀 모르고 있어요. 그런데 어떻게 보호할 수 있을까요.”

게다가 데이터는 항상 움직인다. 제자리에 뿌리를 내리고 가만히 머물러 있는 데이터는 거의 없다. “데이터의 절대량도 이미 천문학적인데, 여기에다가 그 데이터가 처리되고 보관되는 구조도 상상 이상으로 복잡합니다. 그런 복잡한 구조들이 하나도 아니고 족히 수백만 가지는 존재하죠. 그리고 그 구조 속에서 다양한 권한을 가진 다양한 사람들이 다양한 방식으로 데이터를 만집니다. 이런 상황에서 데이터 가시성을 확보한다? 불가능에 가까운 일이 아닐까 싶을 정도로 어려운 일입니다.”

그래서 많은 조직들에서는 여러 개의 데이터 보안 도구들을 도입해 사용한다. 이 구역의 정보에는 이 솔루션, 저 구역의 정보에는 저 솔루션을 적용시킨다. 이런 도구들 사이의 호환성이나 충돌 문제는 염두에 두지 않고 말이다. “그러면서 데이터 구조와 인프라 그 자체는 더 복잡해지죠. 가시성을 조금 확보하긴 하는데, 오히려 그 때문에 가려지는 게 많아지는 상황인 겁니다.”

제로트러스트에 대한 관심은 많지만
한편 제로트러스트의 인기는 갈수록 높아지는 중이다. 기본적으로 그 어떤 것도 신뢰하지 않고 꼭 확인한다는 방침이, 리스크 줄이기에는 확실히 효과가 있기 때문이다. 이번 조사에서도 응답자들의 거의 대부분이 제로트러스트에 대한 관심을 표현했고, 앞으로 도입할 예정이라고 밝히기도 했다. 하지만 관심은 관심일 뿐, 실제 도입률은 크게 밑돌고 있음이 이번 조사를 통해 밝혀졌다. 제로트러스트에 관심이 있다는 걸 넘어 실제 도입에 이른 조직은 불과 12%에 그쳤기 때문이다. 

왜 이런 격차가 생기는 걸까? 델테크놀로지스가 조사한 바에 의하면 IT 기술력, 즉 제로트러스트라는 개념을 기술적으로 구현하는 게 어렵기 때문이다. 이는 요즘 계속해서 말이 나오고 있는 인력 부족 문제와도 관련이 깊다. “보안 인력 부족한 건 꽤나 고질적인 문제입니다. 그리고 보안 전문가가 없는 기업이 제로트러스트를 제대로 구현하기는 힘듭니다.”

보안 업체 키퍼시큐리티(Keeper Security)의 부회장 패트릭 티켓(Patrick Tiquet)은 “원래 제로트러스트를 구축하고 유지한다는 건 어려운 일”이라며 “보안 담당자들을 공석 없이 다 확보한다 하더라도 쉽지 않은 일이 되었을 것”이라는 생각이다. “제로트러스트가 제대로 구축되려면 제일 먼저 각 구성원의 역할과 책임, 그리고 그에 따른 권한이 명확히 구분되어야 합니다. 담당자 한 사람 한 사람이 자기에게 꼭 필요한 만큼의 권한만을 갖도록 해야 하는 건데, 이것부터가 어려운 일입니다. 항상 바뀌기 때문에 현황을 업데이트한다는 게 만만치 않거든요.”

벤더의 수를 줄여라
데이터 보호와 관련된 벤더사들의 수를 줄이는 것도 나쁘지 않은 선택이라고 키건은 말한다. “이번 조사에서 85%의 응답자가 벤더사를 줄이는 것으로도 어느 정도 혜택을 볼 수 있을 것이라 기대하고 있다고 답했습니다. 저희도 같은 의견입니다. 데이터 사건을 많이 겪는 회사들일수록 오히려 많은 벤더사와 파트너십을 맺는 것으로 나타났기 때문입니다. 실제로 여러 데이터 보호 전문 벤더사들과 파트너십을 맺고 있는 기업들의 데이터 침해 피해액이 단 하나의 벤더사만 보유하고 있는 기업의 그것보다 평균 34% 높은 것으로 조사되기도 했습니다.”

보안 업체 넷엔리치(Netenrich)의 수석 연구원 존 밤베넥(John Bambenek)은 “벤더를 여러 개 쓸 필요가 없다는 게 중론으로 자리를 잡으니까 M&A가 활발하게 나타나고 있는 것”이라고 말한다. “하지만 한 벤더가 모든 보안 문제를 담당하게 하는 건, 그것대로 문제가 있습니다. 파트너사에 대한 의존도가 높아질수록 나중에 계약 조건이 불공평해질 가능성이 높고, 그 벤더사에서 문제가 발생하면 사용자 기업의 모든 부분이 한꺼번에 마비될 가능성이 또한 높거든요. 균형점을 찾는 게 관건입니다.”

3줄 요약
1. 데이터 손실로 인한 피해는 갈수록 늘어나는 중.
2. 데이터 보호가 잘 안 되는 가장 큰 이유는 가시성의 부족.
3. 제로트러스트가 효과적인 방법론이긴 하지만, 구축이 쉽지는 않음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>