외국기업 10곳 중 9곳 "데이터보호 취약"

[김국배기자] 10개 중 9개 기업은 스스로 민감한 데이터에 대한 보호가 취약하다고 느끼는 것으로 조사됐다. 또 기업들의 보안 전략은 여전히 규제를 준수하는데만 급급한 것으로 나타났다.

미국 데이터 보안업체 보메트릭은 이같은 내용의 '2016년 데이터 위협 보고서'를 3일 발표했다.

시장조사기관인 451리서치와 함께한 이번 조사는 미국, 영국, 독일, 일본, 호주, 브라질, 멕시코의 대기업에 종사하는 1천100명의 IT 보안 담당자를 대상으로 이뤄졌다. 한국은 조사대상에 포함되지 않았다.

조사 결과 절반이 넘는 60.4%의 기업은 데이터 보호에 관해 '다소 취약하다'고 답했다. '매우 취약하다'는 답도 22.0%나 됐다. 8.2%는 '극도로 취약하다'고 응답했다. 91%에 달하는 기업이 데이터 보호가 취약하다고 답한 셈이다. 반면 전혀 취약하지 않다고 대답한 기업은 불과 9.4%에 불과했다.

보고서는 보안 투자도 규제 준수 위주로 이뤄지고 있다고 평가했다. 보고서에 따르면 3분의 2에 달하는 64%는 보안 규제 준수 조치가 데이터 침해 방지에 매우 효과적이라고 답했다. 46%는 이같은 조치가 IT 보안 예산 지출의 우선순위를 차지한다고 대답했다.

특히 규제를 충족하는 것에 중점을 두는 산업 분야는 헬스케어(61%)와 금융서비스 기관(56%)이었다.

미국(54%), 호주(51%), 독일(47%)은 데이터 보안 전략을 수립하는데 가장 큰 영향을 미치는 요인으로 규제 요건을 꼽았다. 일본(50%)은 비즈니스 파트너, 고객의 요구사항이 가장 큰 요소였다.

보고서는 "보안 규제를 충족시킨 기관들에서 데이터 유출 사건이 속출함에도 아직까지 기업들은 보안 규제만 준수하면 데이터 보안이 충분하다고 믿고 있다"며 "데이터 보안과 규제 충족을 동일시한다는 의미"라고 분석했다.

이에 따라 보고서는 기업들의 IT 보안 투자가 비효율적으로 이뤄지고 있다는 지적이다. 사이버 공격은 점점 정교해지는데 데이터 유출 방어에 효과적이지 않은 외부적인 방어 정책에만 집중한다는 것.

실제로 78%의 응답자들은 네트워크 방어가 데이터 유출 방어에 매우 효과적이라고 응답했고, 62%의 응답자 역시 PC와 모바일 방어가 효과적이라고 대답했다. 반면 저장된 데이터 방어에 예산을 늘린다는 답은 39%로 전년의 47%에 비해 줄었다.

451리서치 가렛 베커 기업 보안 수석 연구원은 "기업들은 네트워크와 엔드포인트(end-point) 보안 같은 다단계 공격(multi-stage attacks)을 방어하는 데 예산을 지출하는 등 보안 예산을 비효율적으로 소모하고 있다"며 "저장 데이터 유출을 방어하는 기술에 투자를 집중해야 한다"고 주장했다.

보메트릭 티나 스튜어트 글로벌 마케팅 부사장은 "기업들은 위험 요인을 무시한 채 오늘날의 다단계의 사이버 공격 방어에 효과적이지 않은 보안 솔루션에 의존하고 있다"고 강조했다.