위협 정교해지고 웹 기반 새로운 기술 등장으로 보안위협 역시 증가
보안 전문가들은 자신들이 웜과 데이터 침해 사건을 해결하고 다른 위협 요인을 모두 자신들의 통제 하에 두고 있다고 생각할지 모른다. 하지만 과연 그러할까? 기업의 기술 전문가들이 IT 보안과 '상극' 관계에 있는 이유는 무엇일까? 이들은 컴퓨터 시스템에 대한 위협이 갈수록 증가하며 정교해지고 있다고 인정하고 있지만 그러한 위협 요인들을 이미 자신들의 통제하에 두고 있는 것으로 생각하고 있다. 하지만 이러한 자신감은 자신이 몸담고 있는 회사와 고객들에게 값비싼 대가를 치르게 할 가능성이 높다.
지난 5월과 6월 두 달에 걸쳐 액센츄어와 제휴해 실시한 인포메이션위크 리서치의 전세계 보안 설문조사에 따르면, 기업의 컴퓨팅 환경이 전면적인 위협에 노출되어 있는 것으로 나타났다. 설문조사에 따른 리서치 결과와 '역사상 최악의 10가지 바이러스', 그리고 'PC 바이러스 20년사'를 싣는다. <편집자>
설문에 응한 미국 기업의 57%가 지난해 바이러스의 공격을 받은 것으로 조사되었으며, 18%는 서비스 거부(DoS) 공격을 받았다고 응답했다. 네트워크 공격과 ID 도용은 각각 9%와 8%로 나타났다. 이번 설문조사에 참여한 2,193명의 보안 전문가와 기업 기술 관리자들의 48%가 보안의 복잡성을 관리하는 것이 최우선 과제라고 밝힌 것도 당연한 결과라 할 수 있다.
하지만 1년 전에 비해 자사가 악성 코드 공격과 보안 침해에 더욱 취약해졌다고 생각하는지에 대한 질문에는 미국 기업의 11%의 응답자만이 그렇다고 밝혔다. 거의 대부분인 89%의 응답 기업이 과거보다 취약하지 않다고 밝혔다. 이는 지난해 조사한 결과(84%)보다 더 높은 수치로, 그만큼 자신감이 높아졌다고 볼 수 있다.
우리는 지난해 결과가 너무 낙관적이었다고 생각했었으며, 올해에도 동일한 경고를 해야 할 것 같다. IT 전문가들 사이에 만연되고 있는 '모든 준비가 끝났다'는 태도는 위험하다. 안티바이러스 소프트웨어와 방화벽, 침입 탐지 및 방지 시스템 등 많은 방어 수단을 갖추었더라도 기업의 컴퓨팅은 '무적'이 아니다. 모든 데이터 침해 사건과 정보 유출 사건을 감안해볼 때, 더욱 신중을 기해야 할 필요가 있다.
주목할 만한 점은, 미국이 아닌 다른 국가의 IT 전문가들은 평가에 보다 신중한 자세를 취하고 있다는 것이다. 유럽 13%, 중국 16%, 인도의 24% 응답자들이 1년 전에 비해 자사가 공격에 취약하다고 밝혔다.
보안의 위협이 높아진 이유는 어디에 있을까? 모바일 디바이스에서부터 휴대용 저장장치, 웹 기반의 협업 애플리케이션, VoIP 등 새로운 기술이 등장함에 따라 새로운 보안 위협 역시 높아지고 있기 때문이다. 위협은 보다 정교해지고 있으며, 공격 역시 증가하고 있다. 보안 전문가들과 기업 기술자들이 지적한 보안 과제 리스트에는 사용자 인식 확대(41%)와 보안 정책 집행(36%), 시스템 액세스 제어(26%), 보다 많은 리소스 확보(23%) 등이 포함되어 있다.
"더욱 신중한 태도 요구된다"
지난 12개월 동안의 핫 이슈는 도난이나 소홀로 인한 데이터 손실이었다. 지난 5월, 미국 보훈부의 한 분석 직원이 2,650만 명에 이르는 퇴역 군인들의 데이터가 담긴 노트북과 하드 드라이브를 도난 당한 사건은 업계에 큰 파장을 일으켰다. 액센츄어의 보안 그룹 글로벌 매니징 파트너인 알래스테어 맥윌슨은 "보훈부의 보안 침해 사건을 계기로 기업 경각심이 한층 강화되고 있다"고 말했다. 1년 전에는 멀웨어(malware)가 기승을 부렸다면 올해는 데이터 손실과 도난에 초점이 맞춰지고 있다.
고객 데이터에 대한 침해 사건이 증가하고 있다. 개인의 ID를 도용해 사기를 치거나 돈을 벌고자 하는 침입자들에게 데이터는 언제나 주요 목표가 되고 있으며, 보안 전문가들은 침입자들이 예전의 해커처럼 단순히 '스릴'을 만끽하기 위해 시스템이나 네트워크에 침입하던 것과는 달리 '돈'을 목적으로 데이터를 빼내는 범죄가 증가하고 있음을 간파하기 시작했다. 지난해 실시했던 설문조사에서는 미국 기업의 단 6%만이 고객 자료가 유출된 적이 있다고 응답했으며, 5%만이 ID 도난 사건을 경험했다고 밝혔었다. 올해에는 그 비율이 거의 두 배로 증가, 각각 11%와 9%로 나타났다. 중국에서는 더욱 심각해, 응답 기업의 23%가 고객 데이터 유출을 경험했으며, 27%가 ID 도난 사건과 관련된 것으로 조사되었다.
고객의 데이터 침해 사건이 잇달아 밝혀지자, 미국의 경우 33개 주에서 기업들의 고객 데이터 침해 사고에 대한 보고를 의무화하는 법안을 통과시켰다. 미국 의회는 분실된 고객 및 금융 데이터의 흐름을 억제하는 것을 목표로 한 일부 법안을 심의 중이다.
헬스케어 파트너스(HealthCare Partners)의 IS 보안 총괄 이사인 레오 디트모어는 미국 보훈부의 데이터 도난 사건이 보험과 의료 업계에 보안 정책을 강화하는 계기가 되고 있다고 말했다.
디트모어는 직원들이 노트북으로 환자 데이터를 다운로드하고 있으며, 일부 직원의 경우 집으로 정보를 가져가는 경우도 있다면서, "되도록 직장에서 업무 시간에만 사용하도록 하고 있지만 근무시간 외에도 업무를 진행하는 것을 막기가 힘들다. 헬스케어 파트너스의 경우 환자의 파일을 다루는 작업 시간을 토대로 돈을 벌고 있기 때문"이라면서, "성과급 모델을 따르고 있어 시간외 작업을 금하기가 어렵다"고 말했다.
헬스케어 파트너스는 직원들의 환자 정보 다운로드에 대한 내부 규칙이 부족하다. 이에 따라, 디트모어는 데이터 사용과 이동에 대한 정책을 만들고 있다.
고객 데이터가 어떻게 저장되고 있으며 그 정보에 대한 액세스 권한이 누구에게 있는지를 재평가하고 있는 플로리다 파워&라이트(Florida Power & Light)의 정보보호 총괄 이사인 조엘 가몬은 "보훈부의 사고가 모든 사람들에게 경각심을 불러 일으키고 있다"면서, "액세스에 대한 통제를 강화할 방침"이라고 전했다.
고객 데이터의 유출을 막기 위해서는 기술과 교육이 매우 중요하다. 대부분의 기업들은 직원의 시스템 및 데이터 액세스에 대한 정책을 보유하고 있지만 그러한 정책도 표준화되어 있지 않고 다양하게 구성되어 있는 것으로 설문조사 결과 나타났다. 미국 기업의 경우, 보안 정책의 2/3 정도가 데이터에 대한 액세스 권한과 사용 방법을 규정한 것으로 조사되었다. 보안 정책의 절반 정도는 고객 데이터의 저장 방법에 관한 것이었다. 유럽 기업의 경우, 고객 데이터에 대한 접근 권한과 어디에 저장해야 하는지를 규정한 보안 정책을 보유하고 있는 비율이 미국보다 높은 것으로 나타났다.
고객의 데이터를 암호화하고 있는 미국 기업은 28%에 불과했으며, 중국과 인도의 경우, 기업 보안 정책을 통해 모든 고객의 데이터를 암호화하고 있다고 응답한 기업이 미국보다 훨씬 많았다.
고객의 데이터를 보호하기 위해, 미국 기업들은 다른 국가의 기업들보다 높은 비율로 직원들에게 프라이버시 표준(64%), 웹 트랜잭션 보안(52%), 커뮤니케이션의 암호화(42%)를 요청하고 있는 것으로 조사되었다. 미국 기업의 거의 절반 정도가 직원들의 인바운드 이메일 및 웹 사이트 활용에 대한 모니터링을 실시하고 있으며, 1/4 정도가 인스턴트 메시징의 사용과 아웃바운드 이메일 사용을 모니터링하고 있는 것으로 나타났다.
"침해에 따른 비용 산정 어렵다"
보안 침해는 네트워크와 애플리케이션의 다운으로 이어지는 것으로 조사되었다. 기업들은 이러한 피해로부터 어느 정도의 금전적인 피해가 발생했는지 파악하는데 많은 시간을 보내고 있다. 보안 침해를 겪은 기업 중에서, 미국과 유럽 기업의 1/4와 중국 기업의 절반 정도가 재정적인 손실을 계량화하지 못하고 있다. 하지만 손실이 심각한 것은 확실하다. 미국 UBS 페인웨버의 前 시스템 관리자는 2,000여 서버를 다운시키고 8,000명에 이르는 주식 중개인의 업무를 중단시킨 논리적인 폭탄을 설치한 혐의로 재판이 진행 중이다. 시간외 근무와 IBM의 지원, 기타 긴급 복구 수단 등을 포함해 시스템 백업과 구동에 투입된 비용이 310만 달러에 이르는 것으로 추산되고 있다. 이번 피해로 매출에 어느 정도의 영향을 받았는지는 아직 계량화하지 못하고 있다.
상호보험회사인 아메리슈어(Amerisure)는 RSA 시큐리티의 기기인증을 사용해 시스템을 보호하고 있다. 아울러 원격지 직원들이 다이얼업을 사용하지 않고 업무를 처리하도록 하기 위해, 450여 대의 와이즈(Wyse) 단말기에 대한 시트릭스의 씬 클라이언트 액세스도 도입하기 시작했다. 이 단말기들은 하드 드라이브나 플로피 드라이브가 없어 데이터가 유출될 염려가 없다. 아메리슈어의 잭 윌슨은 "씬 클라이언트를 훔치더라도 빼낼 수 있는 정보가 아무 것도 없다"고 말했다. 아메리슈어는 매니저들이 사용하고 있는 노트북이 아직 80여 대 있지만 내년 초까지 모두 시트릭스 기반의 씬 클라이언트로 전환할 계획이다.
ID 관리 시스템과 같이, 직원들이 사용하는 기술들이 데이터 보호에서 차지하는 역할이 높아지고 있다. 때로는 이러한 기술이 가장 기본적인 보안 수단이 되기도 한다. 헬스케어 파트너스는 최근 직원들의 비밀번호를 여섯 자리에서 여덟 자리로 늘리도록 했으며, 여러 시스템에 대해 '싱글유저 사인온(single-user sign-on)'의 사용을 고려하고 있다. 보다 진보된 보안 수단으로는 여러 의료 전문가들이 사용하는 워크스테이션에 대한 액세스를 제어하는데 사용되는 생체인식 툴이 대표적이다. 하지만 헬스케어 파트너와 같은 병원 환경에서 생체인식 툴을 사용하는 것은 사용자들의 세균 감염 등의 이유로 반감을 사고 있다. 디트모어는 "직원들의 경우, 지문을 찍기 위해 수술용 장갑이나 고무 장갑을 벗는 것을 원치 않는다"고 말했다. 미국의 조사 기업 중 단 9%만이 액세스 제어 시스템의 일부로 생체인식을 사용하고 있는 것으로 나타났다.
한편, 현재 및 전직원들에 의한 보안 위협도 높아지고 있다. 절반 이상의 기업 기술 전문가들은 보안 기술과 정책, 교육 등도 내부 직원들의 보안 침해를 막을 수가 없다고 입을 모으고 있다. 다른 국가들보다 특히 미국 기업들의 내부 위협이 큰 것으로 나타났다. 지난해 침입의 주요 원인이 인증된 사용자나 직원에 의해 발생했다고 응답한 비율은 인도 22%, 중국 15%, 유럽 11%인 것에 비해 미국은 거의 25%에 달했다.
많은 IT 보안 관리자들은 일반적으로 잘 알려진 외부 위협에 대해 너무나 많은 시간을 보내고 있어 내부자의 공격에 집중하지 못하고 있다고 밝혔다. 또한 내부 인력에 대한 보안 통제를 강화할 경우 업무에 필요한 정보도 차단될 우려가 있어 생산성에 영향을 끼칠 우려도 제기되면서 직원들에 대한 적절한 보안 조치가 취해지기 어려운 측면도 있다.
디트모어는 "가장 큰 내부 위협은 허가 없이 데이터에 액세스할 수 있는 권한을 남용할 소지가 있는 관리자나 기록 담당자"라고 말했다. 하지만 그는 "내부 직원의 위협을 막는 것이 최우선 과제는 아니다. 무엇보다도 외부의 공격을 차단하고 데이터를 관리하는 것이 제일 중요하다는 것은 인정한다"고 밝혔다.
무선 보안이 향후 우선순위
애플리케이션과 데이터에 대한 직원들의 모바일 액세스 요구가 증가함에 따라 무선 보안의 중요성도 높아지고 있다. 무선 네트워크 보안이 향후 12개월 동안 '전술적인' 보안 우선 사항이 될 것이라는 응답이 미국에서 25% 비율을 차지했으며, 유럽은 23%, 인도는 19%, 중국은 16%인 것으로 조사되었다. 또한 VoIP 시스템에 대한 기업의 도입도 늘어나면서 VoIP 보안 역시 중요하게 되었다.
네다바의 클라크 카운티는 네트워크 주변에 대한 보안에 주력해왔지만 이러한 모델은 다양한 디바이스를 통해 무선으로 네트워크에 연결하는 사용자 환경에서는 더 이상 유효하지 않게 되었다. 클라크 카운티는 안티바이러스 서명이나 소프트웨어 패치와 부합되지 않는 디바이스를 차단하는 네트워크 제어 시스템을 시스코로부터 도입했다. 또한 네트워크에 대한 통합을 강화하기 위해 VoIP에 대한 평가 작업도 실시할 예정이다. 하지만 VoIP는 직원과 거주자들에게 새로운 보안의 위협 요인을 발생시킬 수 있다. 클라크 카운티의 CIO인 로드 마세이는 "서비스 거부 공격과 같은 네트워크 문제가 있더라도 음성 커뮤니케이션 인프라에 영향을 끼쳐서는 안 된다. 따라서 당분간은 긴급 전화와 같은 기능을 통합 네트워크에 포함시키지는 않을 것"이라고 밝혔다.
마세이는 보안 제품의 경우 사용하고 관리하는데 있어 보다 효과적이고 용이해야 한다면서, 안티바이러스 보안과 소프트웨어 패칭 등의 방법만으로는 충분하지 않다고 덧붙였다. 제너럴 모터스(GM)의 최고 정보보안 책임자인 에릭 리트는 네트워크 보안을 위해 네트워크의 행동을 모니터링하고 이상 행동을 보이는 트래픽을 구분할 수 있는 '추단법(heuristics)'을 사용하고 있다. 그는 "문제가 발생한 뒤에 해결하는 방법은 효과가 없으며 시스템이 스스로 문제점을 차단하고 규명하며 해결하는 방법을 적용해야 한다"고 밝혔다.
아메리슈어의 경우, 윌슨은 업무 시간의 1/4 정도만을 보안 문제에 할애하고 있다고 말했다. 아메리슈어의 기업 특성상 모바일 노동력 비중이 높아 웹을 통한 액세스 구현 시스템을 개발하고 있기 때문에 보안에 대한 그의 시간 비중이 전년에 비해 10% 포인트 증가했다. 아메리슈어의 800명의 직원 중 20% 정도가 원격으로 로그인하는 것으로 알려졌다. 직원들의 생산성을 높여주는 것 외에도, 모바일 웹 액세스는 설비 투자를 확대하지 않고도 기업이 확장할 수 있도록 해준다.
1/3만이 최고정보보안책임자 보유
보안 투자가 증가하고 있지만 모든 기업들이 투자 비중을 높이고 있는 것은 아니다. 정보 보안에 대한 예산을 보면, 인도 기업의 57%, 미국 기업의 50%, 중국 기업의 42%, 유럽 기업의 25%가 올해 예산을 늘리고 있는 것으로 조사되었다. 평균적으로 보면, IT 예산의 10%가 정보 보안에 투자되고 있다.
보안에 대한 투자 확대를 기피하는 이유는 보안을 간접 비용으로 처리하고 있는 기업의 행태때문이라고 액센츄어의 맥윌슨이 밝혔다. 그는 "안전한 IT 환경이 기업 성장에 얼마나 중요한지를 입증하는 것이 핵심"이라면서, "온라인 뱅킹이 대표적인 사례라 할 수 있다. 보안이 없이는 누구도 웹 사이트에 자신의 계좌가 올라가는 것을 허락하지 않을 것이며, 보안이 구현되었기 때문에 온라인 뱅킹이 활성화될 수 있고 이를 통해 수익이 늘어날 수 있게 되었다"고 설명했다. 협력 업체들과의 안전한 접속을 추진하는 공급망 통합 역시 같은 원리이다.
미국 댈러스의 타운 노스 뱅크(Town North Bank)는 IT에 대한 투자를 확대하고 있지만 보안에 어느 정도를 책정해야 할지 판단이 서지 않는다고 CIO인 게리 파라가 밝혔다. 그는 "보안 분야에만 별도로 어느 정도의 예산을 집행해야 할지 모르겠다"면서, "새로운 프로젝트를 진행할 때마다 보안은 고려해야 할 분야 중의 하나이다"라고 말했다.
헬스케어 파트너스의 경우, 보안 예산은 전체 IT 투자 중 1% 미만이다. 플로리다 파워&라이트는 IT 예산의 약 4%를 보안에 투자하고 있지만 올해 ID와 액세스 관리를 위한 사용자 프로비저닝 시스템을 도입할 계획이기 때문에 올해 보안 예산이 다소 증가할 것으로 보인다.
보안 투자에 대한 수익이나 회수는 예측하기가 거의 불가능하다. 고객 데이터의 침해는 수백만 달러의 비용 손실로 이어지지만 침해 사건이 발생하지 않을 경우 보안이 적절하게 구현되었다는 것에 대한 보상을 받을 길이 없기 때문이다. 보안 투자에 대한 ROI를 평가하는 주요 방법의 항목에는 네트워크 보안 시간에 투입된 노동 시간과 네트워크 다운시간의 감소, 침해 사고의 감소 등이 포함된다.
각 나라의 규제 기관들은 기업의 보안 정책을 강화하도록 요구하고 있다. 미국의 경우, 사베인-옥슬리(41%), 미국 국토안보법(25%), 미국 애국법(23%)을 통해 기업들의 보안 정책을 강화하고 있다. 유럽의 경우, 유럽연합의 데이터보호지침(Data Protection Directive)이 발효된 뒤 30% 기업들이 이 법에 따르고 있으며, 중국은 응답 기업의 27%가 은행비밀법(Bank Secrecy Act)에 따라 보안 정책을 바꾸었다고 답했다.
이러한 정책 변화와 규제 당국의 보안 강화 의지에도 불구하고, 기업들이 IT 보안을 총괄 관리하는 전담 전문가를 보유하고 있지 않다는 점은 놀라운 사실이다. 조사 대상 기업의 1/3만이 IT 보안 정책과 기술을 총괄하는 최고정보보안책임자를 보유하고 있는 것으로 나타났다.
위협 요인 계속 증가 추세
기업들에 대한 보안의 위협 요인은 갈수록 증가하고 있다. 바이러스와 웜, 스파이웨어, 스팸 등은 가장 보편화된 위협 요소이며, 전세계 기업의 1/4~2/3이 이러한 요인에 대처하는 것을 최우선 순위로 두고 있다. 또한 '파괴적인' 이메일 첨부 파일 역시 사라지지 않고 있다. 미국 기업의 30%가 지난해 이러한 공격을 당해본 경험이 있는 것으로 조사되었다.
지난해 운영체제의 취약점으로 인해 받은 공격은 2005년 조사에서 나타났던 비율(43%)보다 크게 감소(28%)한 것으로 나타났으며, 바이러스와 웜에 대한 보고 역시 감소 추세를 보였다. 결국, 이러한 위협은 감소했지만 다른 위협 요인이 크게 증가한 것이다.
중국의 경우, 응답자의 1/4이 지난 12개월 동안 ID 도용과 관련된 사고를 처리한 경험이 있는 것으로 나타났는데, 이는 미국과 유럽보다 거의 3배나 높은 비율이다. 바이러스와 웜은 인도에서 가장 높은 보안 위협 요인인 것으로 조사되었다.
플로리다 파워&라이트의 가몬은 "새로운 형태의 다양한 위협 요소들이 갈수록 증가하고 있으며, 이를 막기 위한 방어 기제 역시 활발하게 개발되고 있다"면서, "많은 기업들이 안티바이러스 제품을 도입하고 있으며, 방화벽을 비롯해 침입 방지 솔루션을 갖추고 있는 기업들도 늘어나고 있다"고 밝혔다.
하지만 이러한 기본적인 보안 시스템은 방어의 제1선에 불과하며, 상당수 사이버 공격이 이러한 시스템을 뚫을 수 있는 것으로 나타났다. 보안 관리자들은 보안 위협 요인에 대한 적극적인 방어 수단과 해결책 마련을 마련하는데 있어 자신에게 주어진 책임과 역할을 직시해야 하는 이유가 여기에 있는 것이다.Larry Greenemeier
내장형 소프트웨어 보안의 결함에 대한 '경계경보'
결함이 있는 소프트웨어는 보안에 심각한 위협이 되고 있으며, 미국 기업 기술 전문가들도 이에 '골머리'를 앓고 있는 것으로 나타났다. 인포메이션위크 리서치의 전세계 보안 설문조사 2006에 응답한 기업들 절반 이상이 벤더 제품의 보안 취약점으로 인해 발생한 법적인 책임과 재정적인 책임이 벤더에게 있다고 밝혔다.
자동차 전자제품 개발 회사인 지멘스 VDO 오토모티브(Automotive)의 정보보안 담당자인 조엘 다이얼은 보안 패치 관리에 필요한 대응이 "고통스러운" 수준이라고 말했다. 패치를 최신으로 업데이트하는 작업이 그의 업무에서 차지하는 비중이 매우 높아, 회사의 인터넷 접속이나 기타 네트워킹 프로젝트가 2순위로 밀릴 정도이다.
패치 관리를 위해서는 기업들이 벤더를 신뢰해야 하는데, 벤더들의 경우 지적재산권(IP)을 보호하기 위해 취약점을 수정하는 방법에 대해 밝히지 않는 경우가 많다. 마이크로소프트가 대표적으로, 매달 두 번째 화요일에 자신들의 소프트웨어에 대한 보안 업데이트를 공개하고 있다.
다이얼은 마이크로소프트가 패치를 신속히 발행하고 있는데 대해서는 신뢰를 보내고 있다. 반면에, 오라클은 분기별로 패치를 제공하고 있기 때문에, 지멘스 VDO 오토모티브 시스템이 다운되는 경우가 있다. 마이크로소프트의 윈도우 메타 파일 취약점에 대한 패치 제공이 늦어지자 상대적으로 활성화되고 있는 써드 파티 패치도 지멘스 VDO 오토모티브에는 효과가 없다. 다이얼은 "네트워크에 대한 모든 위협으로부터 벗어나기 위해 해커나 크래커의 웹 사이트를 방문해 그들과 협력할 생각은 추호도 없다"고 말했다.
제너럴 모터스(GM)의 IT 운영은 모두 아웃소싱에 의존하고 있지만 시스템과 데이터 보안에 대한 책임과 권한은 최고보안책임자인 에릭 리트가 맡고 있다. GM은 모든 IT 관련 의사결정을 스스로 진행하지만 다양한 벤더들의 의견도 수렴하고 있다. 리트는 새로운 취약점에 관해 충분한 정보를 제공해 패치가 제공되기 전에 GM이 스스로 보호할 수 있게 해주는 벤더들을 좋아한다. 하지만 그러한 벤더들은 아직 없다. 그는 "보다 안전한 제품을 판매하는 벤더들이 현실적인 솔루션이 되고 있다"고 말했다.
아웃소싱, 기업의 보안 문제 해결에 효과적
모든 IT 매니저들은 외부의 지원을 활용할 수 있다. 보안 업무를 아웃소싱함으로써 기업들이 직면하고 있는 위협 요인에 대처하는데 필요한 IT 리소스를 충당할 수 있다.
방화벽이나 안티바이러스 제품, 침입 탐지 및 방지 등 대기업에서는 일반화되어 있지만 중소 기업들의 경우는 이를 관리할 리소스가 부족하기 때문에 아웃소싱이 중소 기업에게 특히 효과적이다.
인포메이션위크 리서치의 전세계 보안 설문조사 2006에 응답한 미국 기업들의 1/3이 관리형(managed) 서비스 사업자들에게 일부 보안 기능을 아웃소싱하고 있는 것으로 응답했다. 미국의 조사 기업 중 23%는 지난해보다 올해 보안 아웃소싱에 대한 투자를 늘릴 계획이며, 인도는 45%, 중국 24%, 유럽 16%로 나타났다.
40여 사무소와 3,500명의 임직원들을 보유한 헬스케어 파트너스가 직면하고 있는 가장 심각한 보안 문제는 네트워크 기반의 공격을 차단하는 것으로, 방화벽과 침입 방지 시스템의 모니터링을 아웃소싱으로 전환하기로 결정했다. IS 보안을 총괄하고 있는 레오 디트모어 이사는 "아웃소싱은 24x7 커버리지를 제공할 수 있다"고 말했다. 헬스케어 파트너스는 현재 네트워크 엔지니어들에게 제공하고 있는 급여의 60% 수준을 아웃소싱 업체에 제공할 것으로 알려졌다.
중소 업체인 아메리슈어의 경우, 서비스 거부 공격 탐지나 침입 공격 통지, 안티바이러스 업데이트 관리를 위해 지난 5년 동안 베리사인에 의뢰하고 있다. 아메리슈어는 해당 서비스를 위해 연간 75,000달러를 지불하고 있다. 이 금액은 내부에서 처리하는 것에 비해 최소 25% 높지만 기업 성장에 따라 확장 가능하다는 장점이 있다.
보안에 대한 각 국가간의 차이점
IT 보안이 중요하다는 것에는 기본적으로 동일한 시각을 보이고 있지만 기업의 데이터와 시스템 보호에 있어서 중국, 유럽, 인도, 미국 등 각 지역별로 다소 차이가 있는 것으로 나타났다.
인포메이션위크 리서치의 전세계 보안 설문조사 2006에 따르면, 중국과 유럽, 인도, 미국의 기업 모두가 바이러스와 웜이 최고의 보안 우선 순위에 있는 것으로 나타났다. 하지만 바이러스 탐지 소프트웨어를 도입한 기업 비율의 경우, 미국은 84%, 인도 73%, 유럽 72%인 것에 비해 중국은 50% 정도에 불과했다. 지난해 바이러스의 침입을 받은 기업들은 중국과 인도에서 가장 많이 발생, 각각 85%와 70%의 비율을 기록한 것으로 조사되었다.
웜과 웹 스크립트 언어 위반, 사이버강탈 등의 피해를 입은 중국 업체들의 비율은 다른 지역의 국가들보다 훨씬 높았지만 피싱(phishing)의 공격은 상대적으로 적었다. 중국 기업들의 16%만이 피싱 공격을 당해본 적이 있다고 응답했다.
인도 기업들의 경우, 인증되지 않은 직원들의 데이터 접근과 지적 재산권의 도난을 우려하고 있으며, 사용자의 신원 확인을 위해 생체인식 시스템을 사용하는데 있어 다른 지역보다 훨씬 적극적인 것으로 나타났다. 생체인식 시스템을 사용해 시스템을 보호하는 인도 기업의 비율은 16%였지만 미국은 9%, 유럽과 중국은 4%에 불과했다.
보안 정책을 위반한 직원들을 징계하거나 벌금을 부과하고 있는 기업은 미국과 인도의 경우 64%였으며, 유럽의 경우 징계를 하는 기업은 35%, 그렇지 않은 기업 35%, 잘 모른다는 응답 30%로 나타났다. 미국과 인도 기업들은 벤더 제품의 보안의 취약점에 대해 법적이나 재정적인 책임을 부과해야 한다는데 적극적인 의사를 밝혔다.
미국 기업의 11%와 유럽 기업의 13%가 1년 전보다 악성 코드와 보안 침해 사고에 더욱 취약하다고 응답했다. 중국과 인도는 각각 16%와 24%의 기업들이 더 취약한 것으로 생각하고 있는 것으로 나타났다.
향후 12개월 동안 사용자의 보안 정책 준수 여부를 모니터링하는데 우선 순위를 부여하겠다고 응답한 기업은 인도에서 42%, 미국에서 36%였다. 이에 비해 중국은 12%에 불과했다. 중국은 보안 문제에 대처하기 위해 기술에 의존할 계획인 것으로 나타났는데, 중국 기업의 43%가 애플리케이션 방화벽을 도입할 방침인 것으로 조사되었다.