[아이티데일리] 눈에서 멀어지면 컴플라이언스도 멀어진다? IT환경 전반의 디지털 자산에 대한 가시성 갭(visibility gap)은 어떻게 조직을 취약하게 만드는가.

핵심 요약

사이버 범죄 경제는 연간 1조 5천억 달러에 이르는 것으로 추산되고 있으며, 신규 보안 위협 건수는 우려되는 수준까지 치솟고 있다. 각종 보고서를 종합할 때 2019년 1월부터 9월까지 9개월간 보안 위협에 대한 노출 건수는 약 79억 건으로 추정된다.

쉐도우 IT(Shadow IT), 클라우드 컴퓨팅, 컨테이너, 제로 트러스트(Zero-Trust), 소프트웨어 정의 기술 등에 대응하기 위한 각 기업의 IT팀의 업무 부담은 갈수록 늘어나고 있다. 대부분 관계자들은 이 모든 혼돈의 주범을 가시성 갭(Visibility gaps)으로 보고 있다.

IT와 관련된 네트워크가 분산되고 복잡해지면서 기업들은 네트워크와 연결된 수백만 개의 장치를 관리해야 하는 등 부담이 커지고 있다. 또한, GDPR(General Data Protection, Regulation, EU의 개인정보보호 법령) 및 CCPA(California Consumer Privacy Act, 캘리포니아주 소비자 프라이버시 보호법)처럼 규제가 강화되고 위험의 요인들이 계속해서 변화함에 따라 민감한 정보를 보호하는 일은 그 중요성이 더욱 강조되고 있다.

태니엄은 이처럼 기업들이 직면하고 있는 도전과제에 대해 더 자세히 살펴보기 위해 시장조사 전문업체 밴슨 본(Vanson Bourne)에 의뢰해 미국, 영국, 호주, 프랑스, 독일, 네덜란드, 일본, 캐나다의 IT 의사결정자 750명을 대상으로 조사를 실시했다. ‘가시성 갭(Visibility Gap)’이라는 제목의 이 보고서는 IT 분야에 대해 다음과 같은 다섯 가지 핵심적인 도전과제를 제시하고 있다.

• 컴플라이언스를 위한 대규모 지출은 뉴 노멀이다. 지난 12개월간 새로운 규제를 준수하기 위해 지출된 평균 비용은 7,030만 달러이며, 10개 조직 중 9곳(87%)은 평균 1억 8,500만 달러의 예산을 별도로 책정하거나, 사이버 책임 보험을 증액한 것으로 나타났다.

• 크리티컬한 가시성 갭이 만연하다. IT 의사결정자 대부분(94%)은 이전에는 인지하지 못한 조직 내 엔드포인트를 발견했다고 인정했다. 이는 무엇보다 컴플라이언스 위반으로 이어질 수 있을 정도로 가시성이 결여돼 있다는 것을 뜻하며, 많은 조직에서 가시성이 결여돼 있다는 사실을 여실히 드러내는 방증이기도 하다.

• 복잡성과 ‘도구 확산(Tool Sprawl)’으로 인해 갭(Gap)이 계속 남아 있다. 기업들은 평균 43개 IT 보안 및 운용 도구를 사용한다(특히 IT 운용 및 보안부문). 서로 단절된 팀, 쉐도우 IT(Shadow IT) 및 기타 기본적인 약점들도 여전히 공존하고 있다.

• 컴플라이언스 준비 상태와 관련해 잘못된 자신감을 갖고 있다. 응답자의 90%는 본인이 속한 조직이 72시간 내에 감독 당국에게 모든 필요한 침해 정보를 보고할 수 있을 것으로 확신했다. 하지만 응답자의 절반(47%)은 연결된 연산 장치에 대한 가시성을 확보하는데 어려움을 겪고 있었다. 하나의 엔드포인트만 놓치더라도 컴플라이언스 위반이 발생될 수 있기 때문이다.

• 가시성이 좋지 않을 경우, 네트워크는 재난에 취약해진다. 사이버 공격, 브랜드 평판 손상, 컴플라이언스 위반에 대한 높은 과징금 등 모든 부정적인 결과는 가시성 부족에서 유발될 수 있다. 이런 도전과제와 속도를 맞추기 위해서 기술 리더들은 반드시 자신의 IT 환경에 대한 통제력을 회복해야 한다. 효과적인 컴플라이언스 및 리스크 관리를 조금이라도 희망한다면, 리더들은 반드시 엔드포인트 관리 및 보안의 기초에 집중해야 한다.

또한 이번 조사는 다음과 같은 사실을 보여주고 있다: 기업들은 컴플라이언스 위험성을 최소화하기 위해 많은 비용을 투입하고 있지만, 크리티컬한 가시성 갭은 여전히 넓어지고 있다.

임직원 1천명 이상을 보유하고 있는 세계적인 기업들은 유럽연합의 일반 데이터 보호 규칙(General Data Protection Regulation, GDPR), 캘리포니아 소비자 프라이버시 보호법(California Consumer Privacy Act, CCPA) 그리고 기타 데이터 프라이버시 규제를 준수하기 위해 지난 12개월 동안 평균 7,030만 달러를 지출했다.

또한 대다수의 기업들은 지속적인 컴플라이언스를 담보하기 위해 신규 인력을 채용했으며(81%), 인력 트레이닝에 투자하고(85%), 새로운 소프트웨어 또는 서비스를 도입했다(82%). 뿐만 아니라 기업중 87%는 잠재적인 데이터 침해 결과에 대응하기 위해 사이버 책임 보험을 별도 편성하거나, 보험료를 높였다.

이 같은 투자 증가에도 불구하고, 기업들은 여전히 진화하는 규제 환경에 대응하는데 준비가 부족하다고 느끼고 있다. 1/3 이상(37%)의 응답자들은 엔드포인트 전반에 걸친 가시성 및 통제 결여가 규제 컴플라이언스 유지에 대한 가장 큰 장벽으로 인식하고 있었다.

운용 차원에서 진정한 가시성은 IT 환경 안에 있는 모든 컴퓨터 및 데이터 자산을 포괄적으로 볼 수 있는 시야 확보를 의미한다. 또한 가시성은 특정 시점에 어떤 머신이 취약한지 통찰을 갖게 된다는 뜻이기도 하다. 이를 통해 정보 기반 시정사항의 우선순위를 정하기 위한 결정을 내릴 수 있다. 더 나아가, 가시성은 침해를 저지하기 위해 신속히 대응할 수 있으며, 규제 보고 데이터의 품질을 자신할 수 있도록 만들어 준다.