보안에 있어서 최대 위협 요소가 시스템 결함이 아닌 `사람`에 있다고 인식하는 보안 담당자가 늘어난다. 새로운 보안 솔루션을 도입하는 것보다 직원 인식 제고와 프로세스 확립이 필요하다는 분석이다.
28일 인포메이션위크는 1029개 기업 보안 담당자를 대상으로 실시한 `2013 전략 보안 서베이` 결과에서 `효과적 보안 정책 수립`이 필요하다는 응답이 지난해 대비 가장 큰 폭으로 증가했다고 보도했다.
충분하지 못한 보안 예산이나 시스템 복잡성이 가장 큰 위협일 거라는 예상은 빗나갔다. 보고서에 따르면 시스템 접근을 효과적으로 관리하고 적절한 정책을 수립하는 게 중요하다는 응답(33%)이 여러 항목 중 가장 큰 폭(11%)으로 증가했다. 2011년부터 사람에 대한 보안 우려가 지속적으로 늘어난다는 설명이다. 본인 비밀번호와 계정을 제대로 관리하고 절차를 밟아 시스템에 접근하도록 하는 직원 교육과 보안 인식 제고가 필요하다는 분석이다.
모바일 장비와 클라우드 환경 확산에 따른 시스템 복잡성 증가가 보안 위협이라는 응답은 여전히 가장 많은 비중(38%)을 차지했지만 지난해(52%)보다 14%나 떨어졌다. 데이터 증가가 위협이라는 응답 역시 19% 감소했다.
보고서는 보안 인식 제고 없이 무턱대고 솔루션만 도입한다고 해서 보안이 강해지지 않는다고 충고했다. 주기적인 보안 교육과 프로세스 확립이 우선시돼야 한다는 얘기다. 직원 개개인의 문제점을 파고들어 기업 정보에 접근하는 `소셜 엔지니어링 어택`이 증가하는 것도 보안 교육 강화가 필요한 이유다.
보고서는 “보안을 강화하기 위해 솔루션 도입을 논의하는 경향이 많지만 절차를 확립하고 교육을 늘리는 게 더 중요하다”며 “소셜 미디어와 BYOD 환경이 확산될수록 교육의 필요성은 더 커진다”고 말했다.
2013 전략 보안 서베이 주요 결과
자료:인포메이션위크
안호천기자 hcan@etnews.com
