[아이티데일리] 지난 한 해 기업 다섯 곳 중 한 곳이 랜섬웨어 대응을 위한 몸값 지불 경험이나 의사가 있다고 답했다는 조사 결과가 나왔다. 실제로 응답자 다섯 명 중 한 명(21%)은 랜섬웨어 공격을 경험했고, 그 중 43%는 운영에 심각한 영향을 받았다고 답했다.

29일 주요 정보 시스템, 사이버 보안 및 데이터 보안 업체 탈레스는 2022 데이터 위협 보고서(2022 Thales Data Threat Report)를 발표하며 이 같이 밝혔다. S&P 글로벌 마켓 인텔리전스 산하 451 리서치에 의뢰해 17개국의 IT 및 데이터 보안 분야 임직원 2,700여 명을 대상으로 실시한 이번 조사에는 한국도 포함돼 있어, 국내·외의 전반적인 데이터 보안 및 위협 트렌드를 파악할 수 있을 전망이다.

보고서에 따르면 암호화폐로 랜섬웨어 공격에 대한 지불이 가능해지면서 랜섬웨어의 발생 빈도와 파급력이 커지고 있다. 그러나 글로벌 응답자의 48%만이 공식적인 랜섬웨어 대응책을 보유하고 있다고 답했으며, 한국은 평균보다 낮은 40%로 나타났다. 기존의 사이버 보안 예산안을 변경할 계획이 없다고 응답한 비율 역시 41%에 달했다.

멀티 클라우드 전략과 하이브리드 근무가 확산되면서 IT리더들이 조직 전반에서 생성되는 데이터의 추적 및 파악에 어려움을 겪고 있다는 점도 지적됐다. 조사에서 데이터의 저장 위치에 확신이 있다고 답한 IT리더는 지난해 64%에서 올해 56%로 하락한 수치를 보였으며 모든 데이터를 분류할 수 있다고 답한 비율은 25%에 그쳤다.

조사에서 지난 12개월 동안 데이터 유출을 경험한 기업은 29%였으며, 43%에 달하는 IT리더가 규정 준수 평가를 통과하지 못했다고 답했다. 전 세계적으로 IT 리더들은 보안 공격의 주요 원인으로 악성코드(56%), 랜섬웨어(53%), 그리고 피싱(40%)을 꼽았다. 한국은 악성코드(51%), 랜섬웨어(58%)와 더불어 DoS(Denial of Service, 47%)를 주요 원인으로 꼽았다. IT 리더 중 거의 절반(45%)이 지난 12개월 동안 사이버 공격이 규모, 심각성, 범위면에서 증가했다고 답해 이러한 위험 관리가 지속적인 과제임을 시사했다.

클라우드의 복잡성 및 리스크가 증가하면서 생기는 문제들도 언급됐다. 온프레미스 네트워크보다 클라우드 환경에서 개인정보 보호 및 데이터 보호 규정을 관리하는 것이 복잡하다고 응답한 IT리더의 비율은 지난해 46%에서 증가한 51%로 나타났다. 한편 응답자의 34%가 50개 이상의 SaaS(서비스형 소프트웨어)를 사용한다고 답했으며, 워크로드와 데이터의 약 절반이 외부 클라우드에 상주하고 있다고 응답한 비율 역시 32%였다. 이는 기업에서 데이터를 클라우드에 저장하는 추세가 가속화되고 있음을 보여주는데, 한국의 경우 37%로 전세계 평균을 웃도는 수치를 나타냈다. 또한 응답자 중 50%만이 중요 데이터의 40% 이상이 암호화됐다고 밝히며, 민감 데이터 보호를 위한 암호화 사용이 낮은 수치를 보였다.

원격 근무 관련 고민도 포함됐다. 전 세계 응답자의 대다수(79%) 가 원격 근무로 인한 보안 위험과 위협에 대해 우려하고 있으나, 다중 요인 인증(MFA)을 구현했다고 답한 비율은 절반(55%)가량으로 전년도와 동일한 수치를 보였다.

한편으로 응답자들은 다양한 기술에 투자하는 양상을 보이며 고도화된 위협 환경에 대비했다. 광범위한 클라우드 보안 툴셋, 제로 트러스트 전략 기반의 키 관리 등이 주요 미래 투자 우선 순위로 선정됐다. 다가오는 위협 가운데 양자 컴퓨팅이 야기할 보안 위협에 대해서도 52%가 ‘데이터의 복호화’를 우려한다고 답했으며, 이러한 우려가 클라우드 환경의 복잡성과 함께 심화될 것으로 보인다고 보고서는 분석했다.

탈레스의 한국 및 중화권역 클라우드 보안 및 라이센싱 사업부 레이몬드 영(Raymond Yeung) 영업이사는 “팬데믹이 기업과 개인 모두에 영향을 미침에 따라, 이전 상태로의 ‘복귀’에 대한 기대는 사라졌다. 전 세계가 데이터 보안 문제를 직면하는 와중에 탈레스의 연구 결과는 보다 강력한 사이버 보안 전략을 개발하기 위한 기업의 긴급 조치가 필요하다는 것을 보여준다”며, “공격 표면과 자산 관리의 과제는 지속적으로 증가할 수밖에 없으며 기업이 탐지, 보호 및 제어를 기반으로 강력한 보안 전략을 구축하는 것이 필수적”이라고 말했다.

한편 탈레스와 451 리서치는 7월 6일(현지시간) 웨비나를 통해 2022 데이터 위협 보고서에 대한 자세한 사항을 발표할 예정이다. 해당 웨비나는 탈레스의 웹사이트에서 사전 신청해 참가할 수 있다.