Ernst & Young’s 2011 Global Information Security Survey
언스트앤영은 매년 실시하는 ‘글로벌 정보 보안 설문조사’를 통해 고객이 정보 보안과 관련한 강점과 약점을 스스로 진단하고, 중요한 위협 요소들에 집중함으로써 정보 보안 역량을 강화할 수 있도록 도움을 드리고자 노력해 왔습니다. 올해는 전 산업 분야에 걸쳐 52개국 1,700여 명의 CIO, CISO, CFO, CEO 등 고위 임원들과 정보 보안 전문가들을 대상으로 실시한 조사를 바탕으로 보고서를 작성했습니다. 설문 참여 기업이 매년 늘어나고 있는 것은 정보 보안이 오늘날 여러 고객사가 직면하고 있는 가장 중요한 이슈 중의 하나임을 보여주고 있습니다.
변화하는 IT 환경 – 경계의 소멸, 디지털화, 클라우드
기술의 발전과 비용절감의 요구로 인해 점점 더 많은 비즈니스 영역이 가상의 세계로 옮겨가고 있습니다. 이미 많은 기업들이 이러한 변화에 동참하고 있으며, 이같은 흐름은 앞으로 더욱 가속화될 것으로 보입니다.
우리는 최근의 변화 속에서 정보 보안과 관련한 세 가지 중요한 변화의 흐름을 발견합니다. 첫째, 비즈니스의 물리적 경계가 허물어지고 있습니다. 둘째, 정보는 물론 비즈니스의 많은 영역이 디지털화하고 있습니다. 끝으로 많은 기업들이 기존의 전통적 아웃소싱 계약 대신 클라우드 서비스로 이동하고 있습니다. 올해 언스트앤영의 정보 보안 설문조사는 이같은 흐름을 여실히 보여주고 있습니다.
본 보고서를 통해 최신 IT 환경의 변화와 리스크 대응 전략을 함께 모색해 보시기 바랍니다.
내∙외부 위협 증가에 따른 리스크 확대
디지털화, 클라우드화가 진행되면서 비즈니스의 물리적 경계가 허물어지고 있으며, 이에 따라 정보 보안과 관련한 리스크도 확대되고 있습니다. 하지만 이에 대한 기업들의 대비는 여전히 미흡한 수준에 머물고 있습니다.
올해 언스트앤영 설문조사 결과에는 이같은 현실이 여실히 드러나 있습니다. 일례로 응답자의 10명 중 7명 꼴로 외부 위협의 증가로 인한 IT 리스크 증대를 호소한 반면, 실제로 소속 기업의 정보 보안 기능이 조직의 요구 사항을 충족하고 있다고 답한 응답자는 절반에도 미치지 못했습니다.
- 응답자의 72%가 외부 위협 요소의 증가로 인해 리스크 수준이 높아지고 있다고 응답
- 49%의 응답자만이 현재의 정보 보안 기능이 조직의 요구를 충족하고 있다고 응답
모바일 컴퓨팅 – 생산성 향상 vs 리스크 증가
스마트폰과 태블릿 PC의 보급은 사무실과 집, 협력자와 경쟁자 사이의 경계를 허물고 있습니다. 스마트 기기를 통한 이메일과 애플리케이션 활용이 늘어남에 따라 개인 정보는 물론 중요한 기업 정보에까지 접근성이 높아지고 있습니다. 이러한 변화는 기업의 입장에서 볼 때 생산성이 향상됨과 동시에 리스크도 증가함을 의미합니다.
- 응답자의 80%는 소속 조직에서 업무 목적의 태블릿 PC 사용을 이미 허용하고 있거나, 향후 허용을 고려 또는 계획하고 있다고 답변
- 과반수의 응답자는 스마트폰과 태블릿 PC의 도입을 ‘어려운’ 혹은 ‘매우 어려운’ 과제로 지목
- 57%의 응답자가 모바일 컴퓨팅과 관련한 리스크를 완화하기 위해 회사 정책을 변경했다고 응답
< 언스트앤영의 조언 >
- 모바일 기기 및 관련 소프트웨어 제품 사용에 대한 거버넌스와 지침 마련
- 기본적인 통제 수단으로서 암호화 도입 (현재 절반 이상의 기업이 미도입 상태임)
- 애플리케이션 도입 전 보안 검토 실시 (공격 및 침투 테스트)
클라우드 컴퓨팅 - 외부 인증을 통한 신뢰성 확보 필요
최근 속도, 효율성, 비용 등 여러 가지 장점으로 인해 클라우드 컴퓨팅이 급속도로 확산되고 있습니다. 클라우드 환경으로의 이동은 단지 하나의 프로그램 변화가 아니라 비즈니스 프로세스의 전면적인 변화를 의미하며, 여기에는 관련된 리스크의 변화도 포함됩니다.
- 61%의 응답자가 현재 클라우드 기반 서비스를 사용하고 있거나, 내년까지 도입할 계획을 갖고 있다고 답변
- 48%의 응답자는 클라우드 컴퓨팅 도입을 ‘어려운’ 혹은 ‘매우 어려운’ 과제로 지목
- 소속 기업이 클라우드 컴퓨팅과 관련한 통제 수단을 갖추고 있다고 답한 응답자는 52%에 불과
- 절대 다수의 응답자(90%)는 외부 인증을 통해 클라우드 컴퓨팅에 대한 신뢰성을 높일 수 있을 것으로 기대
< 언스트앤영의 조언 >
- 검증 절차를 중요시하고 클라우드 컴퓨팅 도입 이전에 각 리스크에 대한 책임자가 누구인지 명확하게 이해할 것
- 지속성을 염두에 두고 도입 계획을 수립해야 하며, 백업/복원 등과 관련해 검증된 서비스 공급자를 선택할 것
- 검증된 보안 프로세스/기술 표준을 활용하여 진행하고 지속적으로 규정과 산업 표준에 근거한 리스크 평가 실시
기본에 충실한 리스크 대비 전략이 중요
이번 조사 결과에 따르면 도입 후 쓸모없거나 당초 기대에 미치지 못하는 보안 솔루션을 최근 구입한 적이 있다고 답한 응답자가 무려 31%에 달했습니다. 한편 문서화된 정보 보안 전략을 가지고 있다고 답한 비율은 42%에 불과했습니다. 최신 솔루션의 도입만이 능사가 아닙니다. 오히려 기본에 충실한 리스크 대비 전략을 수립하는 것이 수 십 억원을 들여 소프트웨어를 구매하는 것 보다 더 중요할 수 있습니다.
< 언스트앤영의 조언 >
- 변화된 IT 지형에 부합하도록 현재의 정보 보안 전략을 재검토
- 최신 솔루션을 도입하는 것보다는 기본에 충실한 리스크 대비 전략을 수립
- 실제 문제가 되는 리스크에 집중하기 위해 구조적, 실용적 리스크 관리 접근법 사용
- 단순히 정보 보안 범위를 넘어서서 IT 리스크 관리를 종합적인 거버넌스, 리스크 관리, 규제 준수(Governance, Risk Management & Compliance: GRC) 프로그램 속에 반영
