코로나 9이후 디지털 전환 과정에서 발견된 IT 보안 취약성이, 향후 약 2년간 기업을 랜섬웨어 및 기타 데이터 손실 사고의 위험에 노출시킬 수 있다는 전망이 나왔다. 

아울러 향후 12개월간 국내 기업의 보안 취약성 극복 및 데이터 보호 위해선 평균 222만 달러(한화 약 26억 1116만원)의 비용 투자와 24여명의 IT 전담 직원 추가 고용 필요할 것으로 예측됐다.

베리타스코리아(지사장 이상훈 www.veritas.com/kr)는 최근 발표한 조사에서 코로나19 이후 디지털 전환 과정에서 발견된 IT 보안 취약성이 향후 약 2년간 기업을 랜섬웨어 및 기타 데이터 손실 사고의 위험에 노출시킬 수 있다고 전망했다.

최근 19개국에서 2050명의 IT 부문 임원진을 대상으로 조사한 베리타스 보안 취약성 보고서(Veritas Vulnerability Lag Report)에 따르면, 국내 기업이 그들의 보안 취약점을 더 빨리 극복하고 코로나 대유행 이후 도입한 신기술까지 데이터 보호를 확장하기 위해서는 평균적으로 222만 달러(한화 약 26억 1116만원)의 비용 투자와 24여명의 IT 전담 직원 추가 고용이 필요한 것으로 나타났다.

김지현 베리타스코리아 CTO는 “코로나 대유행의 상황 속에서 국내 기업은 IT 인프라 관련 다양한 도전 과제를 직면하고 있다. 재택 및 원격 근무나 클라우드로의 전환과 함께 기업은 랜섬웨어 등의 위협이나 보안 취약점으로부터 스스로를 보호할 수 있어야 하며, 데이터 생성 및 보호 환경 또한 동시에 고도화시켜야 한다. 즉 새로운 솔루션이 조직의 기술 스택에 도입될 때 데이터 보호 기능 또한 확장되어 이를 포괄할 수 있어야 한다는 뜻이다. 그러나, 보안 취약점 극복이 지연될수록 시스템이나 데이터가 보호되지 않은 상태로 랜섬웨어 등의 공격에 더 많이 노출되게 된다. 이제는 무너진 균형을 바로잡고 조치를 취해야 할 때”라고 강조했다.

▲ (출처 : 베리타스 코리아 제공)

이번 조사는 보안 취약점 극복이 지연될수록 클라우드 환경이 가장 큰 위험에 놓일 수 있다는 점을 지적했다.

전체 약 80%(한국의 경우 78%)의 응답자가 코로나 대유행으로 인해 기존의 계획을 넘어선 클라우드 기능을 도입하거나 클라우드 인프라 요소를 확장했다고 답했기 때문이다.

또한, 전체 응답자의 56%(한국 역시 56%)는 클라우드 환경에서 데이터 보호 전략의 격차가 존재한다고 답했다.

조사에 참여한 상당수의 IT 전문가들이 자신들의 회사에 어떤 클라우드 솔루션이 도입돼 있는지에 대해 명확하게 파악하고 있지 못했으며, 글로벌 58%의 응답자만이 현재 사용 중인 클라우드 서비스의 개수를 정확히 알고 있다고 대답했다.

기업은 어떤 데이터를 보호해야 할지에 대해 명확하게 인식하지 못하고 있는 것으로 나타났다.

평균적으로 기업이 저장하고 있는 데이터 중 50%는 중복되거나, 더 이상 쓸모가 없거나, 중요하지 않은(Redundant, Obsolete and Trivial, ROT) 데이터였고, 35%는 기업조차 정확히 파악하지 못하는 데이터로 조사됐다.

한국의 경우, 기업 데이터의 약 60%가 ROT 데이터인 것으로 나타나 글로벌 평균을 상회하는 수치를 기록했다.

김지현 CTO는 “좋은 데이터 보호 전략은 보호를 필요로 하는 데이터의 가치와 위치를 철저하게 파악하는 것을 기반으로 한다. 따라서 랜섬웨어와 같은 위협으로부터 클라우드 데이터 세트를 적절하게 보호하기 전에 IT 팀은 먼저 어떤 데이터가 어떤 클라우드로 전송되었는지를 정확하게 파악해야 한다”며 “40%가 넘는 기업들이 어떤 클라우드 서비스를 사용하고 있는지는커녕 몇 가지의 클라우드 서비스를 사용하고 있는지조차 파악하지 못하고 있는 실정이다. 기업들이 정상 궤도에 오르려면 시간과 자원이 필요하다”고 강조했다.

이어 김 CTO는 “데이터 보호 이전 데이터에 대한 통찰력을 확보하는 것이 매우 중요하다”며 “통합된 원스톱 데이터 전략과 데이터 컴플라이언스 준수 개선은 기업의 디지털 혁신을 위한 원동력으로 작용할 것”이라고 덧붙였다.

덧붙여 이 조사는 또한 취약점 극복 지연이 기업의 비즈니스 운영에 미치는 영향을 강조했다.

조사 응답자의 88%(한국은 63%)는 지난 12개월 동안 기업 내 다운타임을 경험했다고 답했으며, 평균 2.57건의 랜섬웨어 공격으로 인해 비즈니스 중단이나 다운타임이 발생한 것으로 조사됐다.

보안 취약점을 극복하고 기술 전략의 격차를 성공적으로 줄인 기업은 그렇지 못한 기업보다 다운타임을 유발하는 랜섬웨어 공격을 평균 약 5배 더 적게 경험한 것으로 나타났다.

김지현 CTO는 “보안 취약점을 극복하기 위해 기업이 수십 명의 IT 전문 인력을 추가로 고용하는 것은 현실적으로 어려운 일”이라며 “랜섬웨어의 지속적인 위협으로부터 데이터 보호 인프라를 강화하려면 기업의 현명한 대처가 필요하다”고 강조했다.

또 “데이터 센터와 퍼블릭 클라우드 등 전체 데이터 관련 인프라에서 작동할 수 있는 단일 데이터 보호 플랫폼을 도입하면 기업의 데이터 보호 관련 관리 부담을 효과적으로 줄일 수 있다”며“최신 데이터 보호 도구 도입을 통한 인공지능(AI) 및 머신러닝(ML) 기술 활용으로 IT 전문 인력의 업무 부담도 줄일 수 있다”고 김지현 CTO 덧붙였다.

<김동기 기자>kdk@bikorea.net