기업의 73%는 최소한 분기별로 IT 환경에 대한 변경 사항을 보고하지만, 매 분기 침투 테스트를 수행하는 기업은 40%에 불과한 것으로 나타났다. 이는 IT 인프라 내에서 변화가 발생하는 속도와 보안 검증 테스트 속도 사이의 심각한 빈도 격차가 있으며, 조직이 장기간 위험에 노출될 수 있다는 것을 의미한다.

자동화된 보안 검증 업체인 펜테라(Pentera)가 세 번째 연례 설문조사인 ‘2024년 침투 테스트 현황 보고서(The State of Pentesting 2024)’를 통해 이처럼 분석했다. 이 보고서는 전 세계 기업의 보안 리더 450명을 대상으로 설문조사를 실시한 결과다.

보고서에 따르면, 위협 행위자들은 전체 공격 표면에서 지속적이고 성공적으로 침해를 시도하고 있으며 위험은 점점 더 커지고 있다. 침해를 인정한 기업의 93%는 예상치 못한 다운타임, 데이터 노출 또는 재정적 손실을 보았다고 답했다.

기업들은 보안 도구로 침투 테스트를 우선순위로 삼고 있으며, 이는 전체 IT 보안 예산의 거의 13%에 해당하는 평균 16만 4400달러에 달한다. 침투 테스트 프로그램의 주요 용도는 보안 제어의 효율성을 검증하고, 잠재적인 공격 영향을 이해하며, 보안 투자의 우선순위를 정하는 것이다. CISO의 50% 이상이 침투 테스트 결과를 경영진과 공유하고 있으며, 이러한 보고서를 조직 내외에서 사이버 보안 위험을 전달하는 도구로 사용한다고 답했다.

또한 보안팀은 보안 문제 발생률을 따라잡지 못하고 있는 것으로 나타났다. 기업의 60% 이상이 수정이 필요한 보안 이벤트를 매주 최소 500건 보고한다고 답했다. 완벽한 패치는 실현 불가능하고, 조직은 이전보다 리소스가 훨씬 더 제한되어 있다. 2023년에는 응답자의 21%만이 해결을 위한 내부 리소스 부족을 침투 테스트의 장벽이라고 지적했지만, 올해에는 그 수가 36%로 급증했다.

보안 기술이 증가했다고 해서 더 안전해지는 것은 아니다. 조직은 위험을 관리하기 위해 더 많은 수의 사이버 보안 솔루션을 채택하고 있다. 기업은 평균적으로 53개의 보안 솔루션을 사용하고 있다. 그럼에도 불구하고 기업의 51%가 지난 24개월 동안 침해를 경험했다.

펜테라의 CISO인 제이슨 마르탱(Jason Mar-Tang)은 “오늘날 조직의 인프라가 복잡해지고 그에 따라 보안 과제도 증가하고 있다. 공격 표면은 그 어느 때보다 역동적이고 리소스는 제한되어 있으므로 조직이 사전에 위험 노출을 정확하게 검증하고 전체 공격 표면에서 악용 가능한 격차를 정확히 찾아내는 것이 더욱 중요하다.”라고 강조했다.