한국 기업의 사이버보안 의사결정자는 다른 국가 대비 사이버보안에 대해 높은 자신감을 보이나, 실제 사이버보안 인텔리전스 정보를 조직 보안에 효과적으로 적용하는 방법은 잘 모르는 것으로 나타났다. 한국에서 사이버보안 관련 의사 결정은 공격자에 대한 충분한 이해도 없이 이뤄지는 경우 많은 것으로 보인다.
오진석 맨디언트코리아 기술 총괄 전무는 20일 서울 역삼동 구글코리아 사무실에서 진행된 맨디언트 미디어 라운드테이블에서 이같이 말했다. 맨디언트는 이날 행사에서 회사가 지난 8일 발표한 ‘글로벌 사이버 위협 인텔리전스 리포트’의 주요 내용을 브리핑하며 한국을 포함한 글로벌 사이버보안 의사결정자의 사이버위협 환경과 조직의 보안 업무에 대한 인식 현황을 설명했다.
맨디언트는 리포트에서 금융, 의료, 제조, 공공 등 18개 분야에 걸쳐 한국 포함 13개 국가의 임직원 1000명 이상의 조직 보안 결정권자를 대상으로 설문조사를 진행했다. 설문조사 결과 응답자의 79%는 조직을 겨냥하는 공격자에 대한 충분한 인사이트 없이 대부분의 사이버 보안 관련 의사결정을 내리고 있다고 답했다. 한국에서도 이 수치는 79%로 동일했으며, 이는 전 세계적으로 기업들이 위협 인텔리전스를 효과적으로 보안에 활용, 운영하고 있지 못하는 점을 시사한다고 맨디언트 측은 설명했다.
특히 한국을 포함한 거의 모든 응답자(96%)가 조직에서 사용 중인 위협 인텔리전스의 품질 자체에는 만족한다고 답했지만 47%는 보안 조직 전체에 인텔리전스를 효과적으로 적용하는 것을 여전히 가장 큰 과제로 느낀다고 답했다. 한국은 이 비율이 글로벌 평균보다 약간 더 높은 55%로 타 국가와 비교했을 때 인텔리전스 운영에 좀 더 어려움을 느끼고 있는 것으로 나타났다.
이날 오 전무는 “한국이 다른 국가와 동일하게 의사결정권자 등의 사이버보안에 대한 충분한 이해도는 부족하지만 특히 주목해야 할 점은 사이버보안에 대한 자신감만은 유의미하게 높다는 점이다”라고 했다.
설문조사에 따르면 전 세계적으로 48%의 응답자만이 조직이 다양한 위협 그룹과 해당 위협의 전술·기술·절차(TTP)에 대해 잘 이해하고 있다고 답했다. 반면 한국은 이 비율이 64%로 상당히 높았다. 99%의 한국 응답자가 절반 이상의 보안 의사 결정을 공격자가 누구인지에 대한 인사이트 없이 내리고 있다고 응답했음에도 불구하고 상대적으로 높은 자신감을 보인 것이다.
또 리포트에 따르면 사이버 보안 의사결정권자의 67%는 고위 경영진이 여전히 조직에 가해지는 사이버 위협을 과소평가하고 있다고 답했다. 하지만 한국은 고위 경영진이 사이버 위협을 과소평가하고 있다고 응답한 비율이 36%에 그쳐 사이버 위협에 대한 고위 경영진의 이해도에 강한 믿음을 드러냈다.
다만, 경영진에 대한 높은 신뢰에도 불구하고 87%는 여전히 위협 환경에 대한 이해도를 높여야 한다고 응답했다. 특히, 개선해야 하는 보안 취약점 파악에 어려움을 겪고 있는 응답자는 82%로 글로벌 평균인 69%를 크게 웃돌며 다시 한번 타국가 대비 인텔리전스 분석에 어려움을 겪고 있는 모습을 보였다.
이에 대해 오 전무는 “한국과 그 외 국가의 문화차이가 반영된 것으로 보인다”라며 “한국의 경우 객관적으로 답변을 했다기보단 ‘그래도 우리 조직은 잘해야 한다고 답해야 하지 않을까’라는 생각이 나타난 것으로 보인다”라고 했다. 결국 한국의 ‘좋은 게 좋은 거지’ 식의 기업 문화가 조직 의사결정자의 보다 정확한 보안 관련 의사결정에 악영향을 줄 수도 있다는 분석이다.
한국은 사이버보안 성공 여부를 판단하는 데 있어 방법론 역시 나머지 국가와 다른 모습을 보였다. 전 세계 응답자들은 사이버 보안 실효성을 판단하는데 보안 침해 빈도 감소(42%), 침입 시도 차단 횟수(42%), 서드파티 사이버 보안 평가 결과(42%) 등을 주로 확인하고 있는 것으로 나타났다. 반면, 한국의 경우 도입한 사이버 보안 툴 개수(48%, 글로벌 평균 39%)를 보안 실효성의 가장 주요한 지표로 보고 있었다.
오 전무는 “한국이 위협 인텔리전스 데이터를 조사하고 분석하기보단 보안 툴에 의존하는 경향이 다른 국가에 비해 높다는 것을 보여준다”라며 “한국은 기술에 대한 우선순위가 높은데 이러한 문화적 특성이 그대로 반영됐다”라고 했다. 그는 “한국 기업은 보안 로드맵을 구상할 때 정확히 ‘어떤 보안 업무를 진행할지’가 아니라 ‘어떤 보안 솔루션을 도입할까’를 고민하는 점이 특수하다”라고 했다.
즉 한국에선 사이버보안 업무에서 성공을 판단하는 기준이 ‘얼마나 새로운 것을 했느냐’가 되며 이는 효과적인 사이버보안 관련 의사 결정에 장애가 될 수 있다는 분석이다. 다른 국가와 달리 한국은 위협 인텔리전스 데이터를 조사하고 분석하기보다는 보안 툴에 의존하는 경향성을 보이고 있다는 것이다.
‘조직이 완벽하게 방어할 수 없는 국가’에 대한 의사결정권자의 인식도 지정학적 특수성이 반영돼 한국은 그외 국가와 다른 모습을 보였다. 글로벌 응답자의 57%는 이에 대한 답변으로 러시아를 꼽았고, 중국(53%), 북한(52%), 이란(44%)이 그 뒤를 이었다. 한국의 경우, 중국(61%), 이란(61%), 러시아(55%), 북한(54%) 순이었다.
문형록 맨디언트코리아 지사장은 “한국의 경우 중국과 북한으로부터 정치적인 개입이 사이버보안 분야에서 많이 생긴다”라며 “앞으로도 정부와 민간이 함께 힘을 합쳐 협력 체계를 잘 구축하는 것이 사이버보안 분야에서 관건이 될 것이다”라고 했다.
한편, 맨디언트는 2004년 미국에서 설립된 사이버 위협 인텔리전스 분석 전문 사이버보안기업이다. 회사는 북한, 이란, 중국 등의 사이버 공격을 효과적으로 추적하는 회사로 알려졌다. 지난해 3월 구글이 회사를 54억달러(약 6조9962억원)에 인수하면서 특히 주목받았다. 구글은 구글클라우드의 보안을 강화하기 위해 맨디언트를 흡수했다고 밝힌 바 있다.