한국 기업의 ‘보안운영(SecOps)’ 현황

인공지능(AI) 등 자동화 공격 기술이 급속도로 발전하면서 이전보다 손쉽게 대량의 사이버공격이 가능해졌다. 이로 인해 랜섬웨어 등 악성코드, 피싱, 신원 도용 등의 위협은 계속 정교해지고 있고 그 수도 증가하며, 사이버위협을 탐지해 분석·대응하는 보안운영(SecOps), 보다 체계적인 보안관리의 중요성이 더욱 강조되고 있다. 이 가운데 한국을 비롯해 아시아태평양지역 11개 국가의 ‘보안운영(SecOps) 현황’을 조사한 결과가 최근 나왔다. 글로벌 보안기업 포티넷이 IDC에 의뢰해 실시된 조사 결과로, 보안담당자들이 체감하는 주요 사이버위협. 보안운영(SecOps)팀의 현황과 과제 등 조직에서 참고해볼만한 내용을 다루고 있어 소개한다.

가장 많이 발생하는 사이버위협 5가지

한국을 비롯해, 호주, 홍콩, 인도, 인도네시아, 태국, 베트남, 말레이시아, 뉴질랜드 등 아태지역 11개 국가에서 다양한 업종에 종사하는 사이버보안 리더 550명을 대상으로 조사한 결과, 가장 많이 발생하고 있는 사이버위협으로 피싱 공격(48.4%)이 꼽혔다. 그 다음으로는 데이터 유출/도난/데이터 관련 공격(46.2%)이며, 소프트웨어 및 패치 취약점(45.8%), 아이덴티티(신원) 도용(42.7%), 랜섬웨어(41.1%) 순으로 나타났다.

국가별로 가장 많이 발생하는 위협을 살펴보면, 한국과 뉴질랜드는 랜섬웨어, 홍콩과 말레이시아는 데이터 유출/도난 등 관련 공격, 인도네시아 필리핀은 피싱 공격으로 나타났다. 호주는 피싱 공격과 소프트웨어 및 패치 취약점, 인도는 신원 도용, 싱가포르와 베트남은 소프트웨어 및 패치 취약점이 최대 보안위협으로 지목됐다.

주목되는 점은 이 조사에서 각국의 보안운영(SecOps)팀이 지목한 보안위협 유형 순위에 다소 차이가 있는 것으로 나타났다. 전체적으로 상위 5대 위협 유형은 같았지만, 피싱 공격(50.9%)과 데이터 관련 공격(48.9%) 다음으로 랜섬웨어(45.5%), 신원 도용(44.2%), 소프트웨어·패치 취약점(42.7%) 위협 순이었다. 국가별로는 한국, 뉴질랜드뿐 아니라 말레이시아와 필리핀의 보안운영팀까지 랜섬웨어를 최대 위협으로 지목했다. 호주, 홍콩, 싱가포르의 보안운영팀은 데이터 유출/도난/데이터 관련 공격이 최대 위협이라고 답했다.

한국의 보안운영팀은 최대 위협으로 랜섬웨어(52%)보다는 피싱 공격(62%)을 훨씬 더 많이 지목했다. 상위 5대 위협은 데이터 유출/도난/데이터 관련 공격(52%), 랜섬웨어(50.0%)로 비슷했다. 두드러진 점은 공급망공격(44.0%)가 포함된 점이다. 다른 아태지역 국가에 비해 한국에서 공급망공격 위협이 큰 것으로 체감하고 있는 것을 알 수 있다. 신원 도용과 소프트웨어·패치 취약점(42.0%)은 그 다음 순위였다. 전체적으로 피싱과 랜섬웨어를 가장 큰 위협으로 여기는 조직이 많은 상황이다.

한국에서 랜섬웨어 공격이 2022년에 비해 2023년에 2배 이상 증가했다고 응답한 기업은 62%에 달했다. 랜섬웨어 공격은 전세계적으로도 2배 증가했다. 주요 공격 벡터는 피싱과 멀웨어, 소셜 엔지니어링 공격, 내부자 위협, 제로데이 익스플로잇 등이다. 또한 응답자의 절반 이상(54%)이 원격 근무로 인해 내부자 위협 사고가 증가했다고 답했다. 내부자 위협 사건이 급증한 원인으로는 불충분한 교육, 직원 관리 부족, 부적절한 커뮤니케이션을 꼽았다. 사이버 보안에서 인적 요소를 해결해야 한다는 점을 시사한다.

부족한 보안 자원, 산적한 보안과제

원격근무를 병행하는 하이브리드 업무와 클라우드 도입 확대, AI와 엣지 컴퓨팅, 정보기술(IT)과 운영기술(OT) 융합 등 변화하는 환경과 새로운 기술 도입은 조직이 보안위협에 취약해지는 데 영향을 미칠 수 있다. 이로 인해 새로운 보안과제가 계속 발생하고 있는 상황이다. 상황은 이렇지만 조직에서 보안 자원은 크게 부족하다고 느끼고 있다.

보안팀을 위한 전용 IT 자원을 보유한 국내 기업은 34%에 불과했다. 66%는 전담하는 자원이 없다는 얘기로, 보안 조치를 강화하기 위해 기업들이 해결해야 할 과제가 많다는 점을 보여준다. 실제로 대부분의 보안 리더(98%)는 팀원의 기술 수준을 유지하기 어려울 것이라고 우려하고 있다. 보안 분석을 위해 가장 필요한 리소스로는 자동화 역량을 꼽았다. 빠르게 변화하는 디지털 비즈니스, 급증하는 위협 환경에서 사람이 수작업으로 모든 것에 대응하기엔 역부족인 상황이라는 것을 시사한다.

조사에 참여한 국내 기업의 44%는 위협 차단에 대한 준비가 부족한 것으로 진단하고 있다. 놀랍게도 조직 4곳 가운데 3곳은 정기적인 리스크 평가를 수행하지 않는다. 진화하는 사이버위협에 효과적으로 대응하고 적시에 위협을 탐지하기 위해서는 조직의 사이버보안 역량 강화가 시급한 상황이다.

보안운영팀, 경보 피로도와 업무량 가중

실제로 한국 기업의 절반 이상은 하루 평균 221건의 인시던트를 경험하고 있다. 5곳 가운데 2곳은 매일 500건 이상의 인시던트를 처리하는 등 경보 피로가 높은 것으로 나타났다. 가장 많은 경보는 의심스러운 이메일(피싱)과 멀웨어 또는 바이러스 탐지 관련 경보다. 의심스러운 사용자 행동, 계정 잠금, 여러 번의 로그인 시도 실패, 비정상적인 네트워크 트래픽도 경보 피로를 유발하는 것으로 나타났다.

평균적으로 직원 170명당 보안운영 전문가가 한 명 배치돼 있으며, 이들은 매일 약 44개의 경보를 관리하는 것으로 나타났다. 이들은 하루 8시간의 근무 시간 중 11분 이내에 각 경보를 처리하고 있다. 이러한 업무량은 사이버 보안전문가들에게 상당한 부담을 준줄 수 있다. 이 같은 업무량과 시간 제약으로 인해 효율적인 프로세스, 자동화, 우선순위 지정 등 업무를 효과적으로 관리해야 할 필요성이 강조되고 있다.

더욱이 보안운영팀은 오탐지 대응에 많은 시간과 노력을 들여야 하는 상황이다. 국내 응답자의 48%가 자신이 받는 경보의 25% 이상이 오탐지라고 했다. 이메일 보안 경보/피싱, 트래픽 급증 경보, 클라우드 보안 경보가 가장 큰 원인이라고 답했다. 이로 인해 98%의 팀은 경보를 확인하는데 15분 이상의 시간을 사용하고 있다.

자동화, 빠른 위협 탐지·대응 그 이상의 효과 기대

조사 대상 기업들은 사이버 위협을 신속하고 효율적으로 탐지하고 대응하는데 있어 자동화가 매우 중요한 역할을 한다는 점을 인식하고 있다. 이로 인해 현재 많은(78%) 기업들이 보안운영에 자동화 및 오케스트레이션 도구를 도입하고 있다. 응답 기업의 95%는 자동화를 통해 인시던트 탐지 시간이 25% 이상 개선되는 등 생산성이 크게 향상됐다고 답했다. 그럼에도 불구하고 아직까지 기업들은 자동화와 오케스트레이션 기술의 잠재력을 완전히 활용하지 못하고 있는 것으로 나타났다. 기업들은 스트리밍 대응 분류, 인시던트 격리, 복구 업데이트, 복원, 위협 억제 등의 영역을 개선해야 한다는 분석이 나왔다.

한국 기업들도 자동화 프로세스 최적화를 적극 추진하고 있다. 향후 12개월 이내에 자동화 및 오케스트레이션 도구를 도입할 의향이 있다고 답한 국내 기업이 64%에 달했다. 기업들은 자동화 도구를 전략적으로 활용해 대응 분류를 간소화하고, 인시던트 억제를 가속화하며, 복구 시간을 최소화하는 데 집중하고 있다. 자동화 도입으로 기대하는 효과로 국내 기업의 85%가 더욱 빠른 위협 탐지를, 57%가 자동화를 통해 전반적인 위협 탐지 기능을 향상시키고자 한다고 답했다. 50%는 가시성 극대화, 자동화된 대응, 효율성 향상을 포함해 다른 중요한 영역에서 효과를 볼 것이란 기대를 나타냈다. 응답자의 50% 이상은 자동화가 가장 필요한 분야로 커버리지 확장, 오탐 최소화, 보안팀의 확장성과 역량 강화, 기존 보안 리소스 및 인텔리전스의 운영 효율성 최적화 등을 꼽았다. 이번 조사를 의뢰한 포티넷은 “전체적인 자동화를 강조한다는 것은 인텔리전스 최적화와 자동화된 대응을 통합해 보안운영에 포괄적으로 접근한다는 것을 의미한다. 이 접근방식은 역동적인 사이버보안 문제 속에서 전반적인 효율성, 가시성 및 인텔리전스 활용도를 개선하는 것을 목표로 한다”고 말했다.

한편, 아태지역 기업들은 향후 12개월간 보안운영 투자 5대 우선순위로 네트워크 및 엔드포인트 보안 강화, 직원들의 사이버 의식 강화, 위협 헌팅 및 대응 수준 향상, 중요 시스템 업데이트, 보안 감사를 꼽았다.

조원균 포티넷코리아 대표는 “끊임없이 정교화되는 사이버 보안 환경에서 70.7%의 기업들이 자동화를 통한 신속한 위협 탐지를 우선순위로 꼽고 있다. 포티넷은 강화된 사이버 보안 태세의 초석으로 신속한 탐지 및 대응이 필수라는 점을 인식하고 있다. 이러한 관점에서 자동화는 사이버위협을 신속하게 식별하고 대응해 취약성을 최소화하는데 중요한 역할을 한다. AI와 고급 분석을 통해 탐지 시간을 평균 21일에서 단 1시간으로 단축한 포티넷 고객들의 경험은 자동화가 얼마나 중요한지 잘 보여준다. 자동화는 오늘날의 역동적인 위협 환경의 과제를 해결하기 위한 핵심 요소로 부상하고 있다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network