"미국 정부의 보안 담당자들이 구식 무기로 최신식의 전쟁을 치르는 장군과 같은 상황이다. 일례로, 미 연방 정부 기관의 보안 예산 지출 계획을 살펴보면, 보안 담당자들은 과거에 효과적이었으나, 오늘날에 이루어지는 다단계의 사이버 공격 방어에는 효과적이지 않은 네트워크 혹은 엔드포인트 보안 기술을 고집하는 경향이 드러난다. 이는 보안 예산에서 가장 많이 지출되는 부분과 민감 데이터를 안전하게 보호하기 위해 진정으로 필요한 부분 사이에 괴리가 있다는 의미다."

451리서치의 기업 보안 수석 연구원이자 보고서의 저자인 가렛 베커(Garrett Bekker)는 미국 연방 정부의 보안 현황에 대해 다룬 최근 보고서를 이 같이 밝히고 느리게 변화하는 보안 규제는 오늘날의 다층적•다단계 공격을 방어하는데 도움이 되지 않는다고 설명했다.

보고서에 따르면 보안 규제를 준수한 기업들이 겪은 일련의 데이터 유출사고를 통해 우리는 규제를 충족시키는 것이 결코 침해 당하지 않고, 민감 데이터가 유출되지 않을 것을 의미하는 것은 아니라는 것을 알 수 있었다. 그러나 57%의 미국 연방 정부 기관 IT 보안 담당자들은 보안 규제 준수 조치가 민감 데이터를 보호하는데 상당히 또는 매우 효과적이라고 답했다.

데이터 보안 솔루션을 보다 포괄적으로 도입하는데 가장 장애가 되는 요인은 51%를 기록한 ‘데이터 보안 솔루션의 복잡성’이었다. 이는 최근의 데이터 보안 솔루션들이 응답자들에게 익숙한 이전 솔루션이 가지고 있었던 구축 및 유지보수 문제를 해소했다는 점에서 오해라고 볼 수 있다.

복잡한 구축 과정은 일반적으로 많은 인력을 요구한다. 데이터 보안 솔루션의 포괄적 도입에 장애가 되는 두 번째 요인은 ‘관리 인원 부족’으로 44%의 응답률을 기록했다. 한편, 미 연방 정부 기관들에게 있어 데이터 보안 솔루션 구축 시 가장 큰 장애물은 43%를 기록한 예산 부족이었다. 이는 금융 서비스와 같은 예산이 풍족한 산업이 기록한 26%를 월등히 상회하는 수치다.

가장 위협적인 내부자는 권한을 가진 사용자=응답자들이 인식한 가장 위협적인 내부자는 권한을 가진 사용자로 64%를 기록했다. 그들은 암호화 솔루션과 접근 제어 기능이 제한하지 않는 한, 업무 상 일반적으로 관리하는 시스템과 어플리케이션 관련 모든 데이터에 대한 접근 권한을 가지고 있다. 2위로 꼽힌 하청 업체 계정은 43%로 1위와는 다소 차이가 있었다.

놀랍게도 언론에서는 미국 국세청(IRS) 및 연방 주 기관과 같은 미국 연방 정부 기관을 타깃으로 한 북한, 중국, 이란의 사이버 공격 관련 소식이 연이어 보도 되고 있지만, 정작 미 연방 정부의 보안 담당자들이 응답한 위협적인 외부자 순위에서 국가 지원 해커는 4위(47%)에 그쳤으며, 사이버 범죄자들을 76%로 가장 위협적인 외부자였다.

클라우드, 빅데이터, 사물인터넷은 보안의 큰 과제=클라우드: 클라우드 보안 관련 가장 우려되는 요소는 클라우드 서비스 제공업체의 데이터 유출 사고, 클라우드 제공업체 대상의 사이버 공격, 공유된 인프라로 인한 증가된 취약점 등이며 각각 70%의 응답률을 기록했다. 그럼에도 불구하고 84%의 미 연방 정부 기관의 응답자들은 향후 12개월 이내 민감 데이터를 퍼블릭 클라우드 형태의 환경(IaaS, PaaS, SaaS)에 저장할 계획이라고 답했다. 또한, 47%의 응답자는 데이터 암호화 조치와 암호 키 제어 권한을 제공하는 것이 퍼블릭 클라우드 사용 의향을 증가시킨다고 답했다.

빅데이터: 56%의 응답자들이 빅데이터 환경에 민감 데이터를 저장할 것이라고 응답했지만 몇 몇만이 이에 대한 우려를 가지고 있었다. 오직 15%만이 빅데이터 이용을 민감한 정보 유출의 상위 3개 위험 요소 중 하나로 꼽았다.

IoT: 보안 문제가 IoT 도입에 있어 우려 요소인 것으로 보인다. 35%의 응답자들은 IoT 기기에서 생성된 민감 데이터가 주요 보안 우려 요소라고 답했으며, IoT 기기의 유출 및 도난에 대한 우려가 29%로 그 뒤를 이었다.

이번 조사에서 발견한 긍정적인 결과는 미국 연방 조직들이 문제를 인식하고 해결하기 위해 필요한 조치들을 취해 나가고 있다는 것이다. 58%의 응답자는 민감 데이터를 보호하기 위한 예산을 늘리고 있다. 37%의 응답자는 올해 저장 데이터 방어에 대해 투자할 것이라고 응답했다. 48%의 응답자는 업계 성공 사례를 따라 데이터 보안을 실행할 예정이다. 많은 응답자들은 다른 방어 솔루션이 공격 당함에 따라 데이터 보안에 더 효과적인 새로운 보안 솔루션을 도입할 계획이라고 답했다. 새로운 보안 솔루션에는 클라우드 시큐리티 게이트웨이(40%), 어플리케이션 인크립션(34%), 데이터마스킹(31%), 토큰화(27%) 등이 포함된다.

보메트릭 글로벌 마케팅 부사장 티나 스튜어트(Tina Stewart)는 “’어제와 똑같이 살면서 다른 미래를 기대하는 것은 비이성적 증세’라는 알버트 아인슈타인의 명언이 현재 미국 연방 정부의 보안 상황과 들어 맞는다. 미국 연방 정부 기관의 IT 보안 담당자들은 미국의 중요한 자산을 위험에 내몰고 있다”며, “미 공공기관 종사자들은 과거에 실패한 솔루션을 고집하는 것이 데이터 보안 향상에 도움이 되지 않는 다는 것을 깨달아야 한다. 외부적인 방어 보안 솔루션으로 데이터를 보호하는데 번번히 실패하는 시점에서, 주요 정보를 보호할 수 있는 기술에 주목해야 한다. 암호화, 접근 제어, 토큰화, 데이터 접근 패턴 모니터링과 같은 저장 데이터 관리 솔루션이 데이터 보호의 최적의 방법 중의 하나이다.”라고 말했다.

한편 보메트릭과 451리서치(451 Research)와 공동 발간한 '보메트릭 데이터위협' 보고서에는 미국 연방 정부 기관의 보안 전문가 100명을 포함한 전 세계 대기업의 IT 보안 전문가 1,100명을 대상으로 보안 위협에 대해 조사한 결과를 담고 있다. 올해로 4번째로 발간된 이 연례 보고서는 지난 달 발표한 보메트릭 데이터 위협 보고서의 글로벌 판과 클라우드, 빅데이터, 사물인터넷 확장판의 주요 시사점을 미 연방 기관에 종사하는 IT 보안 담당자의 응답 내용을 바탕으로 확장한 보고서다. 이 보고서는 미 연방 정부 기관의 데이터 위협에 대한 인식, 데이터 침해 실패 비율, 데이터 보안에 대한 입장, IT 보안 예산 계획 등에 대해 상세히 다루고 있다.