세계에서 가장 널리 퍼진 사이버 공격 수법은 ‘피싱’으로 파악됐다. 데이터를 볼모로 금전을 요구하는 랜섬웨어는 30%로 집계됐다. 사이버 공격 위협이 갈수록 커지고 있지만, IT 관리자 80%는 보안 전문 지식과 예산, 기술 부족으로 어려움을 겪고 있는 것으로 나타났다.

26일 네트워크 보안 기업 소포스가 세계 IT 관리자 3100명을 대상으로 설문조사한 결과를 분석한 ‘사이버 보안의 불가능한 퍼즐’ 보고서를 발표했다.

조사 결과에 따르면 세계 사이버공격 피해의 53%는 피싱 이메일에 당했고, 30%는 랜섬웨어 공격을 받았다. 소프트웨어 익스플로잇(취약점) 공격은 35% 수준으로 집계됐다.

특히 사이버 공격 방법이 다양화되고, 다단계화되면서 네트워크 방어에 어려움이 커지고 있는 것으로 파악됐다.

조사 결과에 따르면, IT 관리자의 75%가 소프트웨어 익스플로잇 공격, 패치없는 취약점, 제로데이 위협을 최고 보안 위험으로 꼽았다. 50%는 피싱을 최고 보안 위험 요소라고 응답했다.

IT 관리자 중 86%가 보안 지식이 개선돼야 한다고 답변했고, 80%는 보안 사고 탐지, 조사, 대응하기 위해 더 강력한 팀을 원한다고 답했다. 유능한 인재를 선발하는 것 자체도 문제여서 응답자의 79%가 사이버보안 기술 전문가를 뽑는 것이 쉽지 않은 일이라고 말했다.

예산에 관해서는 66%가 소속 기관의 사이버보안 예산(인원과 기술 포함)이 필요한 수준보다 낮다고 말했다. 현재 기술 수준을 유지하는 것은 또 다른 문제로, 75%가 사이버보안 기술의 최신 동향을 따라잡는 것 자체가 어렵다고 답했다. 이 같은 보안 전문 지식과 예산, 최신 기술의 부족은 IT 관리자들이 예방적 차원의 보안 계획을 짜거나 미래 예측을 기반으로 사전 대책을 세우기보다 당장의 사이버공격 대응에 급급하다는 것을 의미한다.

체스터 위스니에우스키 소포스 수석연구원은 “IT 관리자들은 유능한 인재를 찾는데 애를 먹거나, 공격에 신속하고 효율적으로 대응하는 적절한 보안 시스템을 갖추고 있지 못하다”면서 “보안 제품들이 서로 정보를 공유하고 위협에 자동 대응하는 보안 시스템을 구축할 수 있다면, IT 보안팀은 기존 공격 방식을 따라잡는 데만 급급하는 함정에 빠지지 않고, 새로운 위협에 더 효과적으로 방어할 수 있을 것”이라고 말했다.

한편 ‘사이버보안의 불가능한 퍼즐’ 설문 조사는 2018년 12월과 2019년 1월, 프리랜서 시장조사 전문가인 밴슨 본이 수행했다. 미국과 캐나다, 멕시코, 콜롬비아, 브라질, 영국, 프랑스, 독일, 호주, 일본, 인도, 남아공 등 6개 대륙 12개 국가에서 IT 정책결정자 3100명을 인터뷰하는 방식으로 진행됐다. 응답자들은 100명에서 5000명 규모의 직원이 있는 기관(회사)에서 근무하고 있다.

김태환 테크엠 기자 kimthin@techm.kr