“공격 표면 가시성 확보는 CISO의 최우선 과제” 센시스 보고서

보안 위협 인텔리전스 기업 센시스가 발간한 ‘2023 보안 리더십 현황 보고서‘에 따르면, 작년에 사이버 공격을 받은 조직의 93%가 공격 표면 가시성을 확보를 CISO의 최우선 과제로 삼고 있었다. 여기서 말하는 공격 표면 가시성은 조직의 디지털 기술과 관련된 모든 잠재적 진입 지점과 취약성을 식별하하는 능력을 말한다.

이번 조사는 직원 수 5,000명 이상의 미국 기업의 CISO 및 IT 임원 208명을 인터뷰해서 진행했다. 센시스의 최고 마케팅 책임자(CMO) 데이나 로스먼은 “이번 연구로 기업은 디지털 자산 관리의 중요성에 대한 논의를 이끌고, 지속적인 가시성을 제공하는 우수한 보안 관행을 유지하는 데 도움이 될 것”이라고 밝혔다.

보안 인시던트로 인한 공격 표면 가시성 확보의 중요성
설문조사에 참여한 응답자 대다수는 현재의 위험 환경에 대해 1년 전보다 더 부정적으로 보고 있었다. 이미 응답자 93%가 작년에 적어도 한 번 이상 사이버 공격을 경험한 바 있었다. 

엔터프라이즈 매니지먼트 어소시에이츠(Enterprise Management Associates, EMA)의 애널리스트 크리스 스테펜은 “최근 EMA가 자체적으로 조사한 설문에서도 참여한 응답자 중 거의 4분의 3이 지난 12~18개월 동안 사이버 보안 사고를 경험한 적이 있다고 답했다”라며 “물론 사고를 무엇으로 간주하느냐에 따라 항상 달라지지만, 어쨌든 기업은 사전 예방의 관점에서든 사후 처리 관점에서든 보안 사고 문제에 대비해야 한다”라고 설명했다. 

스테펜은 “최신 도구와 기술은 CISO가 일상적인 사이버 보안 취약성에 대처하는 데 도움이 되지만, 동시에 같은 기술이 사이버 범죄자에게도 도움이 되고 있다”라고 설명했다. 

이번 센시스 보고서에 따르면, 응답자의 절반 이상(53%)은 ‘조직의 전체 공격 표면을 보호해야 할 필요성’을 최우선 과제로 꼽았다. 센시스는 그만큼 외부 공격 표면 관리 솔루션이 조직을 보호하고 공격을 예방하는 데 중요한 요소로 작용하고 있다고 강조했다. 

스테펜은 “가시성 부족의 상당 부분은 조직이 사용 중인 도구의 기능에 있지만, 또 다른 중요한 부분은 조직의 공격 표면에 대한 이해 부족 또는 잘못된 구성이다”라며 “새로운 기술부터 업데이트, 새로운 공급업체, 타사 연결에 이르기까지 끊임없이 변화하는 기업 환경도 때때로 공격 면에 영향을 미친다”라고 설명했다. 

또한 센시스 보고서는 보안팀의 65%는 자격을 갖춘 리소스가 부족하다고 느끼고 있었으며, 이런상황이 관련 임원 및 팀 전체가 번아웃을 이끌고 있다고 응답했다. 

선호되는 보안 조치, 제로 트러스트·사이버 보험
센시스 보고서에 따르면, 응답자의 58%는 작년에 제로 트러스트로 전환(또는 확대)하는 형태로 방어 조치를 취했다. 이런 조치는 전 세계의 긴장 고조, 늘어나는 국가 주도의 공격, 전 세계적으로 분산된 디바이스, 미국 정부의 새로운 사이버 보안 전략 등 여러 가지 요인이 복합적으로 발생했다.

응답자의 상당수(91%)가 조직에 사이버 보험이 있다고 답했지만, 4분의 1 이상(27%)은 보험의 전체 의무 사항을 이해하지 못한다고 답했다.

스테펜은 해당 수치에 대해 “보험 시장 자체은 기준, 보험금 청구 절차, 보험금 평가 유형이 계속 변하는 측면 있기 때문에 관련 응답이 나온 것으로 보인다”라며 “최근 EMA의 설문조사에 따르며 랜섬웨어 피해자 중 75%는 몸값을 지불하면서 예상했던 모든 문제가 해결되었다고 응답했으며, 22%는 비용을 절감을 53%는 다운타임을 줄일 수 있었다”라고 설명했다. 

센시스는 보고서를 통해 “주요 위협을 식별하고 자산을 효과적으로 보호하기 위해서 CISO와 사이버 보안 전문가는 보안팀과 비즈니스 운영에 대해 보다 명확하게 대화하길 추천한다”라고 밝혔다. 
dl-ciokorea@foundryco.com