지속적인 진화와 함께 피해의 규모가 커지는 위협 환경에서 기업들은 디지털 자산을 노리는 다양한 사이버 위협에 맞서 고군분투하고 있다. 이에 지능화된 AI를 기반으로 하는 보안 운영(Security Operations) 솔루션이 자동화에 대한 시급한 요구사항을 해결할 뿐만 아니라, 인시던트 탐지 및 대응을 위한 포괄적인 전략으로 부상하고 있다.

네트워킹과 보안의 융합 솔루션 글로벌 사이버 보안 기업 포티넷 코리아가 ‘아태지역 보안 관제(SecOps) 현황 결과 보고서’를 발표했다. 이 보고서는 IDC가 한국을 비롯해 아태지역 11개 국가에서 550명의 사이버 보안 리더들을 대상으로 2023년 10월부터 11월까지 실시한 설문조사를 바탕으로 현재 보안 관제 환경 현황과 보안 운영에 대한 중요한 인사이트를 담고 있다.

보고서는 현재 확산되어 있는 보안 관행, 공격 빈도 및 영향, 탐지 및 대응 시간, 경보 피로, SecOps 워크플로우 자동화 현황 및 영향, SecOps 도메인 내 기술 개발과 관련된 과제 등을 담고 있다.

최다 사이버 위협은 피싱과 랜섬웨어, 그 이유는

보고서에 따르면 한국에서 가장 많이 발생하는 사이버 위협은 ‘피싱’과 ‘랜섬웨어’였으며, 50% 이상의 기업들이 이를 가장 큰 우려 사항으로 꼽았다. 상위 5대 위협으로 피싱과 랜섬웨어를 비롯해, 패치되지 않은 취약성, 신원 도용, 공급망 공격이 꼽혔다.

한국에서 랜섬웨어 공격이 2022년에 비해 2023년에 2배 이상 증가했다고 보고한 기업은 62%에 달했으며, 랜섬웨어 공격은 전 세계적으로도 2배 증가했다. 주요 공격 벡터는 피싱과 멀웨어이며, 다른 중요한 벡터로는 소셜 엔지니어링 공격, 내부자 위협, 제로데이 익스플로잇이 있다.

응답자의 절반 이상(54%)이 원격 근무로 인해 내부자 위협 인시던트가 증가했다고 답했다. 불충분한 교육, 직원 관리 부족, 부적절한 커뮤니케이션은 내부자 위협 인시던트가 급증한 원인으로 꼽히며, 이는 사이버 보안에서 인적 요소를 해결해야 한다는 점을 시사한다.

보안팀을 위한 전담 IT 리소스를 보유한 기업은 34%에 불과했으며, 이는 보안 조치를 강화하기 위해 기업들이 해결해야 할 과제가 많다는 점을 보여준다.

하이브리드 업무, AI, IT/OT 시스템 융합 등으로 인해 중요한 보안 과제가 발생되고 있다. 클라우드 기술 도입은 사이버 위협에 대한 조직의 취약성에 가장 큰 영향을 미치는 문제로 부상하고 있다.

경보 피로 및 위협 차단에 대한 어려움

기업의 44%는 위협 차단에 대한 준비가 부족하다는 우려를 나타냈다. 진화하는 사이버 위협에 효과적으로 대응하기 위해 사이버 보안 역량을 강화해야 할 필요성이 제기되는 대목이다. 놀랍게도 조직 4곳 중 3곳은 정기적인 리스크 평가를 수행하지 않아 적시에 위협을 탐지하는 데 어려움을 겪고 있는 것으로 나타났다.

기업의 50% 이상이 하루 평균 221건의 인시던트를 경험하고 있으며, 5곳 중 2곳은 매일 500건 이상의 인시던트를 처리하는 등 경보 피로가 높은 것으로 나타났다. 가장 많은 경보는 의심스러운 이메일(피싱)과 멀웨어 또는 바이러스 탐지로, 피싱 인식에 대한 적절한 교육이 시급하다는 점을 시사한다. 또한, 의심스러운 사용자 행동, 계정 잠금, 비정상적인 네트워크 트래픽, 여러 번의 로그인 시도 실패도 경보 피로를 유발하는 것으로 나타났다.

평균적으로 직원 170명당 SecOps 전문가가 한 명 배치되어 있으며, 이들은 매일 약 44개의 경보를 관리하는 것으로 나타났다. 이들은 하루 8시간의 근무 시간 중 11분 이내에 각 경보를 처리해야 하며, 이러한 업무량은 사이버 보안 전문가에게 상당한 부담을 준다. 이 같은 시간 제약으로 인해 효율적인 프로세스, 자동화, 우선순위 지정 등 업무를 효과적으로 관리해야 할 필요성이 강조되고 있다.

응답자의 48%가 자신이 받는 경보의 25% 이상이 오탐이라고 밝혔고, 이메일 보안 경보/피싱, 트래픽 급증 경보, 클라우드 보안 경보가 가장 큰 원인이라고 답했다. 이는 오탐의 문제가 여전히 지속되고 있음을 보여준다. 또한, 98%의 팀이 경보를 확인하는데 15분 이상의 시간을 사용하고 있으며, 이는 자동화가 매우 절실하다는 점을 잘 보여준다.

보안 운영 자동화 현황과 전망

상당수(78%) 기업들이 보안 운영에 자동화 및 오케스트레이션 도구를 도입하고 있다고 밝혔다. 이는 기업들이 사이버 보안 전략을 강화하는데 자동화 및 오케스트레이션 도구의 중요성을 인식하고 있음을 보여준다.

조사에 따르면, 자동화 도구가 널리 채택되고 있음에도 불구하고 기업들은 아직 이러한 기술의 잠재력을 완전히 활용하지 못하고 있는 것으로 나타났다. 기업들은 스트리밍 대응 분류, 인시던트 격리, 복구 업데이트, 복원, 위협 억제 등의 영역을 개선해야 한다.

특히, 응답자의 약 95%가 자동화를 통해 인시던트 탐지 시간이 25% 이상 개선되는 등 생산성이 크게 향상되었다고 답했다.

기업들은 더욱 간소화된 사이버 보안 프레임워크를 구축하기 위해 자동화 프로세스의 최적화를 적극적으로 추진하고 있다. 향후 12개월 이내에 자동화 및 오케스트레이션 도구를 도입할 의향이 있다고 답한 국내 기업(64%)이 상당수에 달했다. 기업들은 자동화 도구를 전략적으로 활용하여 대응 분류를 간소화하고, 인시던트 억제를 가속화하며, 복구 시간을 최소화하는 데 집중하고 있다.

보안운영은 미래 위협 대비 1순위

기업들은 사이버 위협을 신속하고 효율적으로 탐지 및 대응하는데 있어 ‘자동화’가 매우 중요한 역할을 한다는 점을 인식하고 있으며, 이는 보안 회복력을 강화하기 위한 사전 예방적 접근 방식이 중요하다는 점을 잘 보여준다. 설문조사 결과에 따르면, 응답자의 85%는 더 빠른 위협 탐지를 우선시했고, 57%는 자동화를 통해 전반적인 위협 탐지 기능을 향상시키고자 한다고 답했다.

응답자의 50% 이상이 ‘자동화’가 가장 필요한 분야로 커버리지 확장, 오탐 최소화, 보안팀의 확장성 및 역량 강화, 기존 보안 리소스 및 인텔리전스의 운영 효율성 최적화 등을 꼽았다. 전체적인 자동화를 강조한다는 것은 인텔리전스 최적화와 자동화된 대응을 통합하여 보안 운영에 포괄적으로 접근한다는 것을 의미한다. 이 접근 방식은 역동적인 사이버 보안 문제 속에서 전반적인 효율성, 가시성 및 인텔리전스 활용도를 개선하는 것을 목표로 한다.

기업들은 향후 12개월간 보안 관제 투자의 우선순위를 정하기 위해 준비하고 있는 것으로 조사됐다. 5대 우선순위에는 네트워크 및 엔드포인트 보안 강화, 직원들의 사이버 의식 강화, 위협 헌팅 및 대응 강화, 중요 시스템 업데이트, 보안 감사가 포함된다. 이러한 우선 순위는 진화하는 위협 환경에 맞춰 포괄적인 사이버 보안 조치에 대한 전략적 초점을 강조한다.

포티넷코리아의 박종석 상무는 "포티넷의 혁신적인 솔루션은 역동적으로 변화하는 사이버 보안 환경에서 기업들이 보안 역량을 강화할 수 있도록 지원한다. 포티넷 솔루션은 위협을 탐지, 차단하는데 걸리는 평균 시간 1시간(대부분의 경우, 이보다 더 적은 시간 소요), 평균 조사 및 해결 시간 11분, 597%의 높은 ROI, 팀 생산성 2배 증가, 예상 침해사고 비용 139만 달러 절감 등의 이점을 구현한다."고 말했다.

포티넷코리아의 조원균 대표는 "끊임없이 정교화되는 사이버 보안 환경에서 70.7%의 기업들이 자동화를 통한 신속한 위협 탐지를 우선순위로 꼽고 있다. 포티넷은 강화된 사이버 보안 태세의 초석으로 신속한 탐지 및 대응이 필수라는 점을 인식하고 있다."라며, “자동화는 사이버 위협을 신속하게 식별하고 대응하여 취약성을 최소화하는데 중요하다. 포티넷은 AI와 고급 분석을 통해 탐지 시간을 평균 21일에서 단 1시간으로 단축했다. 자동화는 오늘날의 역동적인 위협 환경의 과제를 해결하기 위한 핵심 요소로 부상하고 있다”고 덧붙였다.